cybersecurity

Perimetro di sicurezza cibernetica, atto terzo: il DPR sulle procedure di verifica degli acquisti

Pubblicato in Gazzetta Ufficiale il Decreto del Presidente della Repubblica che affronta le procedure e i termini per le valutazioni da parte del CVCN e dei CV su prodotti in acquisizione da parte dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica. Ecco cosa prevede

Pubblicato il 29 Apr 2021

Luisa Franchina

Presidente Associazione Italiana esperti in Infrastrutture Critiche

Sicurezza-data-center

È stato pubblicato in Gazzetta Ufficiale il 23 aprile il Decreto del Presidente della Repubblica 5 febbraio 2021, n. 54 – Regolamento recante attuazione dell’articolo 1, comma 6, del decreto-legge sul Perimetro di sicurezza nazionale cibernetica (DL 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133).

Si tratta del terzo atto di attuazione della legge sul perimetro, successivo ai primi due dpcm, uno pubblicato in GU il 20 ottobre 2020 relativo ai criteri di identificazione e alla identificazione dei soggetti inclusi nel perimetro, il secondo in discussione alle Camere e relativo alle notifiche di incidente e ai requisiti minimi di sicurezza.

Verso il Perimetro di Sicurezza Nazionale Cibernetica: impatti su imprese e PA

Il DPR in Gazzetta ufficiale

Il DPR affronta le procedure e i termini per le valutazioni da parte del CVCN e dei CV (Centri di Valutazione relativi alla materia, rispettivamente del Ministero Difesa e del Ministero degli Affari Interni, da non confondere con i Ce.Va. anch’essi centri di valutazione per le certificazioni di sicurezza cibernetica di prodotto in ambito common criteria per i prodotti che operano su dati classificati), su prodotti in acquisizione da parte dei soggetti inclusi nel perimetro.

Stabilisce inoltre i criteri per individuare gli oggetti di fornitura rientranti nelle categorie a cui si applica la procedura di valutazione

Le categorie di beni, sistemi e servizi ICT oggetto della valutazione da parte del CVCN o dai CV sono individuate sulla base dell’esecuzione o svolgimento delle seguenti funzioni:

  • commutazione oppure protezione da intrusioni e rilevazione di minacce informatiche in una rete, ivi inclusa l’applicazione di politiche di sicurezza;
  • comando, controllo e attuazione in una rete di controllo industriale
  • monitoraggio e controllo di configurazione di una rete di comunicazione elettronica
  • sicurezza della rete riguardo alla disponibilità, autenticità, integrità o riservatezza dei servizi offerti o dei dati conservati, trasmessi o trattati
  • autenticazione e allocazione delle risorse di una rete di comunicazione elettronica
  • implementazione di un servizio informatico per mezzo della configurazione di un programma software esistente oppure dello sviluppo, parziale o totale, di un nuovo programma software, costituente la parte applicativa rilevante ai fini dell’erogazione del servizio informatico stesso.

Le categorie saranno poi dettagliate in un decreto del Presidente del Consiglio dei ministri attuativo del decreto-legge, previsto per la fine della primavera.

I soggetti inclusi nel perimetro comunicheranno l’avvio di una procedura di acquisizione di tecnologia.

L’analisi dei rischi

La verifica sarà basata su una analisi dei rischi che verrà trasmessa congiuntamente alla comunicazione. L’analisi dei rischi viene quindi effettuata prioritariamente e tutto l processo sarà “risk based”, metodologia perfettamente allo stato dell’arte.

Tale analisi dei rischi viene parzialmente dettagliata nel decreto e sarà poi oggetto di ulteriori chiarimenti e indicazioni da parte del CVCN nella emanazione delle procedure operative.

Il CVCN può avvalersi di LAP, Laboratori Accreditati di Prova, rispetto ai quali il perimetro prevede il quinto e ultimo decreto attuativo, un dpcm che ci aspettiamo entro l’autunno in gazzetta.

I test potranno essere eseguiti presso i laboratori del CVCN e dei CV oppure presso i LAP. Se necessario, potranno anche essere eseguiti da personale delle suddette tre entità presso il fornitore o il soggetto incluso nel perimetro.

Metodologie di verifica e oneri economici

Il CVCN predisporrà le metodologie di verifica e questo è il nodo principale del provvedimento. Esiste un tempo transitorio di diciotto mesi durante i quali si prevedono livelli crescenti di complessità dei test. Il lavoro del CVCN andrà di pari passo con quello di ENISA per la individuazione dello schema di certificazione di sicurezza cyber di prodotto europea che sostituisca l’attuale alleanza sovranazionale in vigore basata sugli standard common criteria e IT SEC mutuamente riconosciuti da quasi ogni Stato del mondo.

Al termine della valutazione viene redatto un rapporto di prova contenente l’esito dei test e comunicato al soggetto incluso nel perimetro e al fornitore. Il rapporto può essere negativo oppure contenere, nel caso di esito positivo, prescrizioni per l’utilizzo dell’oggetto che possono riguardare anche il mantenimento nel tempo del livello di sicurezza nell’ambiente di esercizio.

Gli oneri economici sono a carico del fornitore, quindi occorrerà prevedere un assestamento del mercato in tal senso. Infine, il decreto affronta il tema delle verifiche e delle ispezioni che hanno lo scopo di accertare, da parte dei soggetti inclusi nel perimetro:

  • la predisposizione, l’aggiornamento e la trasmissione dell’elenco delle reti, dei sistemi informativi e dei servizi informatici
  • notifica al CSIRT italiano (Computer Security Incident Response Team) degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici
  • adozione delle misure di sicurezza
  • comunicazione al CVCN di eventuali acquisti o affidamenti
  • impiego di prodotti e servizi sulle reti, sui sistemi informativi e per l’espletamento dei servizi informatici in conformità alle condizioni e con superamento dei test imposti dal CVCN
  • collaborazione per l’effettuazione delle attività di test
  • osservanza delle prescrizioni formulate dalle autorità competenti all’esito delle attività di ispezione e verifica;
  • osservanza delle prescrizioni di utilizzo fornite dal CVCN al soggetto.

Conclusioni

Il DPR risponde alle attese e alle previsioni della comunità sulla base del decreto-legge. I tempi di espletamento delle verifiche sono 45 giorni prolungabili una sola volta a 60 e adesso il CVCN avrà da assolvere un compito non banale nella stesura delle metodologie di verifica e di test.

L’esperienza maturata negli oltre venti anni di operatività dell’OCSI, Organismo di Certificazione per la sicurezza Informatica del MISE, sotto l’egida del SOGIS (senior Officials Group Information Systems Security), l’alleanza mondiale di mutuo riconoscimento dei certificati, potrà decisamente aiutare il CVCN, posizionato accanto all’OCSI, nell’individuare, descrivere e preparare le suddette metodologie.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati