Definire le procedure, le modalità ed i termini da seguire ai fini delle valutazioni da parte del Centro di Valutazione e Certificazione Nazionale (Cvcn) e dei Centri di Valutazione del Ministero dell’interno e del Ministero della difesa (CV), in ordine all’acquisizione di forniture utili ad assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, nonché degli enti e degli operatori nazionali anche privati, attraverso l’istituzione di un perimetro di sicurezza nazionale cibernetica. E’ questo l’obiettivo finale dello schema di decreto del presidente della repubblica recante attuazione dell’articolo 1, comma 6, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133 approvato nel corso dell’ultimo Consiglio dei Ministri del 29 gennaio. Il perimetro di sicurezza nazionale cibernetica è quindi, composto da attori privati e pubblici che esercitano funzioni essenziali dello stato o assicurano un servizio necessario alle sue attività strategiche. All’interno di esso i soggetti e i fornitori interessati dovranno trasmettere la comunicazione di richiesta di affidamento del servizio al CVCN e al CV nella quale saranno contenute le seguenti informazioni: descrizione generale dell’oggetto della fornitura, le informazioni e i servizi che l’oggetto della fornitura deve trattare e le relative modalità di gestione, la categoria di appartenenza dell’oggetto della fornitura, le informazioni relative all’eventuale acquisizione mediante gli strumenti utilizzati, il documento di analisi del rischio associato all’oggetto della fornitura, le misure di sicurezza che si intende applicare e i requisiti di sicurezza che caratterizzano l’impiego dell’oggetto della fornitura espressi in termini di capacità di proteggere la disponibilità, l’integrità e la riservatezza delle informazioni. Il CVCN e i CV , successivamente, esamineranno le informazioni in tre fasi: verifica preliminare, verifica e preparazione all’esecuzione dei test e infine esecuzione dei test di hardware e di software. Nella prima fase, eventualmente, potranno richiedere al soggetto incluso nel perimetro ulteriori informazioni necessarie per assicurare una positiva esecuzione del test. Nella seconda fase, verificheranno attraverso una piattaforma informatica operante presso il Ministero dello sviluppo economico se l’oggetto di fornitura è stato già sottoposto a precedenti valutazioni o se sono in corso valutazioni. Nella terza e ultima fase il CVCN o i CV comunicheranno l’avvio dei test che si dovrà concludere entro sessanta giorni a partire dalla data in cui il soggetto interessato comunicherà la disponibilità fisica dello strumento oggetto della valutazione finale. Conclusa l’analisi, il CVCN e i CV dovranno redigere un rapporto contenente l’esito dei test che sarà trasmesso al soggetto incluso nel perimetro e al fornitore.
