Il Centro di Valutazione e Certificazione Nazionale (CVCN), così come previsto dalla normativa in ambito Perimetro di Sicurezza Nazionale Cibernetica (PSNC) nonché dal D.L. n. 82 del 2021, è ora operativo e collocato all’interno del Servizio Certificazione e Vigilanza dell’Agenzia per la Cybersicurezza Nazionale (ACN). Tale passaggio si pone come un elemento imprescindibile per la piena istituzione del Perimetro di Sicurezza Nazionale Cibernetica.
Indice degli argomenti
Le funzioni del Centro di Valutazione e Certificazione Nazionale (CVCN)
Con riferimento a tale ambito, le funzioni, le attribuzioni e le responsabilità del CVCN trovano riscontro in particolare all’interno di due decreti attuativi del Perimetro stesso: il Decreto del Presidente della Repubblica n. 54 del 5 Febbraio 2021 e il DPCM 15 giugno 2021. Al Centro, è affidato il compito di effettuare la valutazione di beni, sistemi e servizi ICT destinati ad essere impiegati su infrastrutture ICT che supportano la fornitura di servizi essenziali o di funzioni essenziali per lo Stato. Nello specifico, il CVCN assume i seguenti compiti:
- contribuisce all’elaborazione delle misure di sicurezza per quanto concerne l’affidamento di forniture di beni, sistemi e servizi ICT;
- definisce le metodologie di verifica e di test da svolgere, dettando, se del caso, anche prescrizioni di utilizzo al committente;
- elabora e adotta schemi di certificazione cibernetica, tenendo conto degli standard definiti a livello internazionale e dell’Unione europea, laddove gli schemi di certificazione esistenti non siano ritenuti adeguati per ragioni di sicurezza nazionale.
Inoltre, il CVCN è coinvolto anche nell’ambito della tematica del “Golden Power” con riferimento al processo relativo all’esercizio dei poteri speciali in ambito 5G, così come previsto dal Decreto Ucraina che ha rafforzato le prescrizioni contenute nel D.L. n. 21/2012. Nello specifico, in questo campo il CVCN avrà un ruolo di supporto tecnico sia nella fase istruttoria, in collaborazione con il Gruppo di coordinamento, sia nella fase di monitoraggio, come organo di cui si avvale il Comitato preposto allo scopo.
L’operatività
L’operatività del CVCN trova applicazione anche a fronte della pubblicazione in Gazzetta Ufficiale, avvenuta il 30 giugno 2022, del Decreto Del Presidente Del Consiglio Dei Ministri 15 giugno 2022 che concretizza il trasferimento di funzioni, beni strumentali e documentazione dal Ministero dello sviluppo economico all’Agenzia per la Cybersicurezza Nazionale.
Tra tali funzioni rientrano anche quelle relative al CVCN, compresi gli aspetti legati ai beni strumentali correlati all’uso specifico dei laboratori del Centro di valutazione e certificazione nazionale (CVCN), tra cui sistemi informatici, strumentazione tecnica e banchi di lavoro destinati all’attività di valutazione. A tal proposito, l’avvenuto trasferimento di tali funzioni si pone in continuità con il ruolo, attribuito all’ACN nel suo decreto istitutivo, di Autorità nazionale di certificazione della cybersicurezza ai sensi dell’articolo 58 del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019.
Essa, tra le altre cose, assume tutte le funzioni in materia di certificazione di sicurezza cibernetica già attribuite al Ministero dello sviluppo economico dall’ordinamento vigente, comprese quelle relative all’accertamento delle violazioni e all’irrogazione delle sanzioni. In questo senso, accredita le strutture specializzate del Ministero della difesa e del Ministero dell’interno quali organismi di valutazione della conformità per i sistemi di rispettiva competenza e delega il Ministero della difesa e il Ministero dell’interno, attraverso le rispettive strutture accreditate di cui al rilascio del certificato europeo di sicurezza cibernetica.
Per quanto concerne gli aspetti operativi, il CVCN già dispone di personale tecnico che sarà ulteriormente ampliato a seguito dell’esito positivo delle prove concorsuali attualmente in atto. In questa prima fase di ampliamento i profili di interesse sono rappresentati da figure prettamente tecniche destinate alle attività del CVCN, tra cui certificatori/ispettori, tecnici hardware e TLC, tecnici software e crittografi.
Parte integrante dell’assetto relativo al CVCN sono i Centri di Valutazione (CV) presso i Ministeri della Difesa e dell’Interno nonché una rete di Laboratori Accreditati di Prova (LAP) che, di supporto alle attività del CVCN, saranno regolamentati da apposito Decreto in fase di pubblicazione. Il sistema dei LAP è già stato inserito all’interno di un percorso di potenziamento graduale che verrà alimentato anche per mezzo dei fondi dedicati nell’ambito del PNRR.
Gli adempimenti
A fronte dell’avviamento dell’operatività del CVCN, i soggetti inclusi nel Perimetro dovranno dare seguito a tutti gli adempimenti che coinvolgono quest’ultimo con particolare riferimento ai processi di procurement relativi all’acquisizione di forniture di beni, sistemi e servizi ICT (information and communication technology) destinate ad essere impiegate sui beni ICT in Perimetro. Per supportare la corretta realizzazione degli obblighi previsti dalla normativa, i soggetti inclusi nel Perimetro riceveranno delle apposite FAQ e linee guida, elaborate anche a seguito di confronti avvenuti con diversi stakeholder.
Un traguardo
Il percorso delineato a partire dal 2019 per l’istituzione del Perimetro di Sicurezza Nazionale Cibernetica raggiunge un traguardo fondamentale grazie alla piena operatività del CVCN e degli elementi ad esso correlati. L’inserimento del Centro all’interno della neonata Agenzia consente di affrontare il tema della certificazione e dell’acquisizione di beni ICT in maniera organica, attraverso la realizzazione di quelle prescrizioni – già presenti nell’impianto iniziale del Perimetro – volte a rafforzare i presidi di sicurezza a tutela di tutti i processi di forniture ICT operanti nello spazio cibernetico nazionale.
