È stato pubblicato in Gazzetta Ufficiale il tanto atteso “DPCM 4” (DPCM 18 maggio 2022, n. 92), ovvero il Decreto che, regolamentando l’accreditamento dei Centri di Valutazione (CV) e dei Laboratori Accreditati di Prova (LAP), completa i decreti attuativi necessari per supportare l’operatività dell’ACN e delle strutture che ad essa afferiscono, assicurando il presidio del Perimetro di Sicurezza Nazionale Cibernetica (PSNC).
Questo decreto era molto atteso, perché il tema della valutazione di beni, prodotti e servizi indicati nel “DPCM 3” (DPCM 15 giugno 2021), era uno dei punti aperti più delicati in termini di adempimenti da parte dei soggetti inclusi nel PSNC.
Mentre, infatti, le misure di sicurezza di cui è richiesta l’adozione da parte dei soggetti in perimetro non rappresentano niente di nuovo, fortunatamente, rispetto alle buone pratiche di settore, e lo stesso si può dire per il processo di notifica degli incidenti, per quanto oneroso in termini di tempistiche, il tema della valutazione di beni, prodotti e servizi che i soggetti in perimetro intendono acquisire e appartenenti appunto alle categorie indicate nel DPCM 3 è, per la maggior parte dei soggetti interessati, una sostanziale novità.
La spinosa questione della sovranità digitale: così l’UE può recuperare lo svantaggio
Indice degli argomenti
Le implicazioni
Le implicazioni di questo processo di valutazione sono molte. Per quanto il DPCM 4 non interessi direttamente i soggetti in perimetro, ma riguardi invece le modalità di accreditamento dei centri di valutazione e dei laboratori, è il tassello che permette di iniziare a rendere operativa questa parte della normativa sul PSNC, e quindi di capire quali potranno essere realmente gli impatti per i soggetti in perimetro.
L’aspetto “nuovo” della valutazione è, prima di tutto, che non si tratta di una certificazione di prodotto. Non è, quindi, un “bollino” che un fornitore possa acquisire per i propri prodotti, e che consenta di acquistare quindi quei prodotti senza ulteriori oneri e complessità da parte dei soggetti in perimetro. Assomiglia molto di più, se vogliamo, alle certificazioni di sistema: non vengono quindi semplicemente valutate le caratteristiche del prodotto e, se vogliamo, del suo processo di realizzazione e gestione, ma questi aspetti vengono analizzati per l’utilizzo in uno specifico contesto, ad esempio in una specifica rete di uno specifico soggetto con rischi specifici.
Superare questo processo non vuole dire che lo stesso prodotto non debba essere nuovamente valutato quando lo si voglia utilizzare presso un altro soggetto, o anche presso lo stesso soggetto ma in un contesto diverso.
L’impatto sul processo di acquisizione di prodotti e servizi da parte dei soggetti in perimetro è evidente: solo nel momento in cui l’azienda ha deciso l’acquisizione del prodotto e comunica questa intenzione, unitamente ad una valutazione del rischio, al CVCN (Centro Valutazione e Certificazione Nazionale), inizia il processo di valutazione, che nel frattempo in generale ferma il processo di acquisizione.
Il CVCN poi può decidere di effettuare delle valutazioni sulla sicurezza del prodotto, ma fino a quando non fornisca una risposta o non siano almeno scaduti i termini per il silenzio assenso, il processo di acquisizione da parte del soggetto in perimetro rimane sostanzialmente bloccato. Inoltre, il processo di valutazione può comportare degli oneri, nonché la necessità di collaborazione, volta per volta, da parte del fornitore.
Una leva molto delicata
È chiaro come questo meccanismo rappresenti una leva molto forte per il CVCN per limitare l’accesso al mercato italiano a soggetti i cui prodotti non siano considerati sicuri, potendo influenzare in modo determinante il mercato della sicurezza in Italia. È una leva proprio per questo molto delicata da utilizzare. Si tratta anche di un processo potenzialmente molto oneroso: se è vero che il CVCN può esercitare una certa discrezionalità nel decidere se e con quale dettaglio effettuare le verifiche, è comunque un processo che anche solo per la gestione comporterà probabilmente un impegno notevole.
Tutto questo spiega perché fra i soggetti in perimetro ci sia attenzione al tema, e perché si aspettasse questo decreto per iniziare a vedere realmente come si potrà muovere la macchina delle valutazioni.
Naturalmente, vedendo la normativa italiana in modo isolato, l’onerosità e la discrezionalità che può comportare non potrebbero che preoccupare.
L’Italia non è da sola
Fortunatamente, l’Italia non si muove in modo isolato. La normativa, per quanto nazionale, è parte di un quadro più ampio, prima di tutto europeo, che mira ad aumentare la sicurezza e la resilienza dei sistemi informativi più critici, a fronte delle minacce sempre più importanti che dobbiamo affrontare in questo settore. Le norme europee mirano ad una sinergia ed ad una armonizzazione che dovrebbero mitigare i rischi ed anzi rendere più efficaci le normative nazionali.
Nel caso specifico, sicuramente è rilevante il cosiddetto Cybersecurity Act, che rende più centrale il ruolo dell’agenzia europea ENISA, e che punta a sviluppare un framework di certificazione europeo.
È ragionevole aspettarsi che l’ACN e il CVCN si muovano in coerenza con queste iniziative europee, e che quindi alla fine, i prodotti e servizi che avranno adeguate certificazioni a livello europeo, possano seguire un percorso di valutazione più snello e veloce, riducendo l’impatto sui soggetti in perimetro senza però ridurre l’efficacia in termini di sicurezza, mitigando nel contempo il rischio di influenzare in modo anomalo il mercato.
Naturalmente, è tutto da vedere, ma l’ACN finora ha mostrato di saper operare in coerenza con le buone pratiche e con un’efficacia alla quale non siamo abituati, per quanto molto del lavoro sia ancora da fare.
