NOVITÀ NORMATIVE

La lap dance della sicurezza cibernetica nazionale

Nel prossimo CdM sarà esaminato il decreto del Presidente della Repubblica relativo alla sicurezza cibernetica nazionale. In anteprima i 20 articoli del decreto, con l’istituzione dei Lap e dei Cvcn

Le reti informatiche e di telecomunicazioni hanno bisogno di  certificazioni  imparziali e terze relative alla  sicurezza. Così pure gli apparati e i sistemi informatici e tutti i servizi di connettività.  Perciò  il prossimo Consiglio dei ministri darà il via libera ad un testo di 20 articoli che istituisce su tutto il territorio nazionale i Centri di valutazione e certificazione nazionali (CVCN) e i Laboratori accreditati di prova (LAP). Saranno questi ad “assicurare la sicurezza” di tutto quanto si agita nel perimetro cibernetico nazionale e dipenderanno dal Ministero dello Sviluppo economico.  La legge 133 dello scorso novembre aveva previsto l’esistenza di  soggetti pubblici e privati a cui demandare questi servizi essenziali  senza arrivare alla loro effettiva individuazione. Ora il nuovo Decreto definisce  modalità, procedure e termini per la loro individuazione e organizzazione.

Il Centro di valutazione e certificazione nazionale (CVCN) è  titolare del processo di verifica sia verso i  soggetti pubblici che privati (ma il Ministero della difesa e del Ministero dell’interno opereranno con propri specifici centri di valutazione per le acquisizioni destinate alle proprie reti, sistemi informativi e servizi informatici). Sono stati esclusi dal Decreto gli approvvigionamenti necessari per le attività di prevenzione, accertamento e repressione dei reati mentre invece viene demandato ad  uno specifico  decreto attuativo  la disciplina dei casi (e delle deroghe)  per le forniture in sede estera.

Le due sigle che presto  ci diventeranno familiari,  Lap e Cvcn, sono chiamate ad eseguire verifiche e rilasciare certificazioni  su beni, sistemi e servizi ICT e il Decreto  stabilisce i criteri di natura tecnica per l’individuazione delle categorie, ovvero all’elenco di beni, sistemi e servizi ICT a cui si applica la procedura di valutazione.

La comunicazione finale del Cvcn dovrà contenere anche  il documento di analisi del rischio associato all’oggetto della fornitura.  Il Decreto non dice nulla  circa le  metodologie per la predisposizione del documento di analisi del rischio  che verosimilmente verranno emanate dopo l’entrata in vigore del Decreto stesso.

Il  “Procedimento di verifica e valutazione”,  così come  si evince dal testo, si compone di  tre fasi; la prima  viene avviata  con l’individuazione di test e condizioni da includere nei bandi di gara o nei contratti. La seconda riguarda l’attività che il fornitore deve porre in essere per rendere possibile l’esecuzione dei test. La terza fase comprende l’esecuzione dei test.

Naturalmente gli oneri economici  per le attività di valutazione svolte dal Cvcn sono a carico del fornitore.

E’ prevista l’esclusione esplicita  dal campo di applicazione del decreto degli affidamenti delle forniture di beni, sistemi e servizi ICT destinate alle reti, ai sistemi informativi e ai servizi informatici per lo svolgimento delle attività di prevenzione, accertamento e repressione dei reati di competenza delle autorità di pubblica sicurezza e delle forze di polizia.

Altri casi particolari? Si: alcuni test tecnici potrebbero compromettere l’integrità e la sicurezza delle reti e dei dati che vi transitano. In questi casi viene in aiuto “l’articolo 1-bis del decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni dalla legge 11 maggio 2012, n. 56  e quindi il  Cvcn opera secondo le procedure, le modalità e i termini ai sensi dell’articolo 3, comma 2, del decreto-legge del Presidente della Repubblica”. E questo sarà il palo  attorno al quale  dovranno ruotare i certificatori e i laboratori  protagonisti della Lap dance della nuova sicurezza cibernetica nazionale.  

Anche l’individuazione delle categorie di beni, sistemi e servizi ICT che dovranno sottostare  alla valutazione del CVCN e dei CV sarà notificata a valle del decreto legge stesso.

Avremo modo di parlarne ancora, e tanto.

Back to top button