È pronto da mesi il Dpr attuativo del Dl sul perimetro cibernetico (scarica qui il decreto attuativo), la misura nata per mettere in sicurezza le reti di Tlc nazionali in vista della realizzazione delle infrastrutture 5G. L’Italia che a suo tempo aveva anticipato tutti in Europa – le successive disposizioni della Commissione Ue di fatto ricalcano quelle emanate sulla carta dal nostro Paese – si ritrova oggi al palo, in attesa che il Consiglio dei Ministri dia l’ok definitivo al decreto attuativo e che quindi renda operativo il Cvcn (Centro di valutazione e certificazione nazionale) e metta le telco e tutti i soggetti del “perimetro” in grado di mandare avanti i lavori (alias i contratti le gli appalti per la realizzazione delle nuove reti).
Già inserito all’ordine del giorno di un pre-Cdm dello scorso agosto e condiviso – salvo non essere poi stato esaminato dal Consiglio dei Ministri – il dpr è tornato sul tavolo di un pre-Cdm il 26 gennaio dopo il parere (di ottobre 2020) del Consiglio di Stato (scarica qui il parere del Consiglio di Stato). E si attende ora il disco verde dal Consiglio dei ministri in data non ancora nota.
Cosa prevede il decreto attuativo
Il decreto attuativo mette nero su bianco gli elementi che devono essere inclusi nella comunicazione al Cvcn da parte dei soggetti inclusi nel perimetro prima della conclusione dei contratti relativi alla fornitura di beni, sistemi e di servizi Ict.
In dettaglio, la comunicazione dovrà include la descrizione generale dell’oggetto della fornitura; l’impiego, ovvero la destinazione d’uso dell’oggetto della fornitura nell’ambito dei beni Ict; la categoria di appartenenza dell’oggetto della fornitura; le informazioni e i servizi che l’oggetto della fornitura deve trattare e le relative modalità di gestione; le informazioni relative all’eventuale acquisizione mediante gli strumenti di cui all’articolo 1, comma 512, della legge 28 dicembre 2015, n. 208.
In aggiunta, la comunicazione include il documento di analisi del rischio associato all’oggetto della fornitura, anche in relazione all’ambito di impiego. E quindi il documento contiene la descrizione dei seguenti elementi: l’ambiente operativo dell’ambito di impiego specificando i componenti con i quali l’oggetto della fornitura interagisce e le configurazioni di tali componenti e le eventuali misure di sicurezza esistenti di tipo fisico, tecnico, procedurale, relative al personale con indicazione delle eventuali certificazioni o verifiche eseguite; i requisiti di sicurezza che caratterizzano l’impiego dell’oggetto della fornitura, espressi in termini di capacità di proteggere la disponibilità, l’integrità e la riservatezza delle informazioni e i servizi.
All’esito delle verifiche e dei test il il Cvcn o i CV, con apposito provvedimento, definiscono eventuali condizioni e test di hardware e di software da inserire nelle clausole del bando di gara o del contratto.
Le spese sono carico del fornitore per le attività di valutazione svolte dal Cvcn e dai CV e per le attività di test condotte dai Lap sono calcolate sulla base delle disposizioni di legge.
