Perimetro di sicurezza nazionale cibernetica, il regolamento in vigore dal prossimo 8 maggio
Cybersecurity: adottato il secondo decreto attuativo del Perimetro di sicurezza nazionale cibernetica che disciplina la procedura di valutazione sugli acquisti ICT e i poteri di verifica e ispezione delle Autorità competenti
Dopo l'entrata in vigore del D.P.C.M. 30 luglio 2020, n. 131 , il quadro normativo relativo al Perimetro di Sicurezza Nazionale Cibernetica, istituito con D.L. 21 settembre 2019, n. 105, si arricchisce con l'adozione del D.P.R. 5 febbraio 2021, n. 54 , (di seguito il "Regolamento") che disciplina:
a) le procedure, le modalità e i termini da seguire ai fini delle valutazioni da parte del Centro di Valutazione e Certificazione nazionale (CVCN) e dei Centri di valutazione del Ministero dell'interno e del Ministero della difesa (CV), ciascuno nell'ambito delle rispettive competenze, in ordine all'acquisizione, da parte dei soggetti inclusi nel perimetro, dei beni, sistemi e servizi ICT rientranti nelle categorie previste dal Regolamento medesimo;
b) i criteri di natura tecnica per l'individuazione delle categorie di beni, servizi ICT oggetto di fornitura cui si applica la procedura di valutazione di cui al punto precedente;
c) le procedure, le modalità e i termini con cui le Autorità competenti effettuano le attività di verifica e ispezione ai fini dell'accertamento del rispetto degli obblighi stabiliti dal D.L. n. 105/2019 e nei successivi decreti attuativi.
Di seguito si riporta una sintesi dei contenuti principali del Regolamento.
• Procedimento di verifica e valutazione da parte del CVCN e dei CV
Il procedimento di cui al punto a) è finalizzato a verificare che i beni, sistemi e servizi ICT necessari all'approvvigionamento dei soggetti inclusi nel Perimetro soddisfino adeguati livelli di sicurezza. A tal fine, tali soggetti, prima di avviare la procedura di affidamento ovvero di concludere il contratto, devono darne comunicazione al Centro di valutazione competente (c.d. "comunicazione di affidamento") allegando altresì il "documento di analisi del rischio allegato associato all'oggetto della fornitura", che illustra i requisiti di sicurezza che il prodotto deve soddisfare in relazione all'ambito di impiego e le eventuali misure di sicurezza già implementate (art. 3).
Ricevuta la suddetta documentazione, il Centro di valutazione dispone di un termine di 45 giorni per effettuare le necessarie valutazioni preliminari e richiedere ulteriori informazioni al fine di verificare se sia opportuno imporre specifiche condizioni al fornitore e/o disporre l'esecuzione di test di hardware e software.
Decorso il termine senza che il CVCN o CV si sia pronunciato, i soggetti inclusi nel Perimetro potranno proseguire nella procedura di affidamento. Qualora, invece, il CVCN o il CV disponga condizioni e/o l'esecuzione di test, il relativo bando di gara o, eventualmente, il contratto dovranno essere integrati con condizioni sospensive o risolutive correlate al rispetto delle condizioni e all'esito favorevole dei test.
Successivamente all'aggiudicazione della gara o alla stipula del contratto, il soggetto incluso nel Perimetro comunica al CVCN o ai CV, in via telematica, i riferimenti del fornitore e ogni elemento utile ad individuare in modo univoco l'oggetto di fornitura. A seguito di tale comunicazione, il CVCN o il CV verifica se e quali test siano necessari, tenendo conto delle valutazioni eventualmente già effettuate o in corso di esecuzione.
Ove non si rendano necessari altri test, la procedura si conclude senza ulteriori conseguenze sull'esecuzione della fornitura, altrimenti il Centro di valutazione coinvolge il fornitore invitandolo a predisporre le attività preliminari all'esecuzione dei test individuati e definisce la sede in cui svolgere tali attività.
Quest'ultima fase si conclude entro 60 giorni dal momento in cui l'oggetto della fornitura è reso disponibile per l'esecuzione dei test: in caso di valutazione positiva i soggetti inclusi nel Perimetro potranno proseguire con l'esecuzione del contratto, nel rispetto delle eventuali prescrizioni imposte per l'utilizzo dei beni, sistemi e servizi ICT oggetto dell'affidamento. In caso contrario, il Centro di valutazione comunicherà l'esito negativo al soggetto incluso nel Perimetro e al fornitore con provvedimento motivato.
• Beni, sistemi e servizi ICT oggetto della procedura di verifica
Le categorie di beni, sistemi e servizi ICT oggetto della procedura di verifica saranno sono individuate con decreto del Presidente del Consiglio dei Ministri sulla scorta dei requisiti indicati dall'art. 13 del Regolamento e, in particolare, in base all'esecuzione o allo svolgimento delle seguenti funzioni:
(i) commutazione oppure protezione da intrusioni e rilevazione di minacce informatiche in una rete, ivi inclusa l'applicazione di politiche di sicurezza;
(ii) comando, controllo e attuazione di una rete di controllo industriale;
(iii) monitoraggio e controllo di configurazione di una rete di comunicazione elettronica;
(iv) sicurezza della rete con riferimento alla disponibilità, autenticità, integrità o riservatezza dei servizi offerti o dei dati conservati, trasmessi o trattati;
(v) autenticazione e allocazione delle risorse di una rete di comunicazione elettronica;
(vi) implementazione di un servizio informatico per mezzo della configurazione di un programma software esistente oppure dello sviluppo di un nuovo programma software, costituente la parte applicativa rilevante ai fini dell'erogazione del servizio informatico stesso.
• Poteri di ispezione e verifica delle Autorità competenti
Infine, l'art. 14 e ss. disciplinano i poteri di ispezione e verifica attribuiti alle Autorità competenti al fine di accertare il rispetto degli obblighi definiti dal D.L. n. 105/2019 e dai decreti attuativi (es. la predisposizione e l'aggiornamento dell'elenco delle reti, dei sistemi informativi e dei servizi informatici necessari per lo svolgimento della loro funzione o servizio essenziale, la notifica al CSIRT degli incidenti di sicurezza eventualmente subiti e l'adozione delle necessarie misure di sicurezza, la comunicazione di affidamento al CVCN con le modalità di cui al Regolamento in esame, ecc.).
Le suddette Autorità dispongono le verifiche e le ispezioni ritenute opportune sulla base degli atti di programmazione dalle medesime adottati, nonché in caso di esigenze derivanti da rilevati inadempimenti rispetto ai predetti obblighi nonché dalla notifica di eventuali incidenti di sicurezza o da segnalazioni provenienti da altre Autorità pubbliche.
All'esito dei controlli effettuati, l'Autorità competente potrà impartire specifiche prescrizioni e, qualora sia riscontrata la violazione di alcuno degli obblighi di cui all'art. 14, potrà avviare il procedimento per l'irrogazione delle sanzioni pecuniarie amministrative previste dall'art. 1, comma 9, D.L. n. 105/2019, salvo che il fatto costituisca reato.
Il Regolamento, pubblicato in G.U. (Serie generale n. 97 del 23 aprile 2021), entrerà in vigore l'8 maggio 2021.
_____
*A cura dell' Avv. Luca Tufarelli, founding partner, Avv. Maria Giulia Amato, Dott.ssa Maria Pia Bochicchio, Studio Legale Ristuccia Tufarelli & Partners