Disco verde dal Consiglio dei ministri al decreto attuativo del Dl sul perimetro cibernetico, la misura nata per mettere in sicurezza le reti di Tlc nazionali in vista della realizzazione delle infrastrutture 5G. Dopo mesi di impasse – era stato inserito all’ordine del giorno di un pre-Cdm dello scorso agosto e condiviso – salvo non essere poi stato esaminato dal Consiglio dei Ministri – il dpr è tornato sul tavolo di un pre-Cdm il 26 gennaio dopo il parere (di ottobre 2020) del Consiglio di Stato (scarica qui il parere del Consiglio di Stato). E oggi il Consiglio dei ministri ha finalmente approvato il provvedimento.
Cosa prevede il decreto attuativo
Il decreto attuativo mette nero su bianco gli elementi che devono essere inclusi nella comunicazione al Cvcn da parte dei soggetti inclusi nel perimetro prima della conclusione dei contratti relativi alla fornitura di beni, sistemi e di servizi Ict.
In dettaglio, la comunicazione dovrà include la descrizione generale dell’oggetto della fornitura; l’impiego, ovvero la destinazione d’uso dell’oggetto della fornitura nell’ambito dei beni Ict; la categoria di appartenenza dell’oggetto della fornitura; le informazioni e i servizi che l’oggetto della fornitura deve trattare e le relative modalità di gestione; le informazioni relative all’eventuale acquisizione mediante gli strumenti di cui all’articolo 1, comma 512, della legge 28 dicembre 2015, n. 208.
In aggiunta, la comunicazione include il documento di analisi del rischio associato all’oggetto della fornitura, anche in relazione all’ambito di impiego. E quindi il documento contiene la descrizione dei seguenti elementi: l’ambiente operativo dell’ambito di impiego specificando i componenti con i quali l’oggetto della fornitura interagisce e le configurazioni di tali componenti e le eventuali misure di sicurezza esistenti di tipo fisico, tecnico, procedurale, relative al personale con indicazione delle eventuali certificazioni o verifiche eseguite; i requisiti di sicurezza che caratterizzano l’impiego dell’oggetto della fornitura, espressi in termini di capacità di proteggere la disponibilità, l’integrità e la riservatezza delle informazioni e i servizi.
All’esito delle verifiche e dei test il il Cvcn o i CV, con apposito provvedimento, definiscono eventuali condizioni e test di hardware e di software da inserire nelle clausole del bando di gara o del contratto.
Le spese sono carico del fornitore per le attività di valutazione svolte dal Cvcn e dai CV e per le attività di test condotte dai Lap sono calcolate sulla base delle disposizioni di legge
