L’ACN: “Ai soggetti inclusi nel Perimetro, saranno rese disponibili FAQ e linee guida che li
supportino nel processo di valutazione da parte del CVCN”.
È operativo da oggi, presso l’Agenzia per la Cybersicurezza Nazionale (ACN), il Centro di Valutazione e Certificazione Nazionale. Il CVCN ha il compito di valutare la sicurezza di beni, sistemi e servizi ICT dei soggetti inseriti nel Perimetro di sicurezza nazionale cibernetica. Il CVCN, quindi, effettuerà l’attività di scrutinio, di analisi della qualità dei dispositivi tecnologici che sono utilizzati dai soggetti che erogano servizi essenziali per il Paese.
Baldoni (ACN): “Il CVCN assicurerà la qualità tecnica e un controllo dei fornitori dei dispositivi che saranno installati nelle nostre infrastrutture critiche“
“Il CVCN ci dovrà assicurare la qualità tecnica e un controllo dei fornitori dei dispositivi che saranno installati nelle nostre infrastrutture critiche: le aziende che gestiscono i servizi essenziali per l’Italia, tra cui il futuro Cloud Nazionale”, ci aveva spiegato, nella nostra videointervista, Roberto Baldoni, il dg dell’ACN.
Il Centro di Valutazione e Certificazione Nazionale è previsto dalla normativa sul Perimetro di Sicurezza Nazionale Cibernetica nonché dal D.L. n. 82 del 2021. È incardinato nel Servizio Certificazione e Vigilanza dell’ACN diretto dall’Ing. Andrea Billet.
Il CVCN, originariamente istituito presso il Ministero dello Sviluppo Economico per volontà dell’allora ministro Luigi Di Maio e mai operativo, è stato ora trasferito all’interno dell’ACN.
Come avviene la valutazione su hardware e software da parte del CVCN?
La procedura di valutazione, che è regolamentata dal DPR n. 54/2021, potrà prevedere l’esecuzione di test hardware e software sui componenti della fornitura.
In questo processo, al CVCN faranno riferimento i Centri di Valutazione (CV) presso i Ministeri della Difesa e dell’Interno e potrà avvalersi del supporto di una rete di Laboratori Accreditati di Prova (LAP) che saranno regolamentati da apposito Decreto in fase di pubblicazione in Gazzetta Ufficiale.
Le FAQ per i soggetti inseriti nel perimetro di sicurezza nazionale cibernetica
Ai soggetti inclusi nel Perimetro, saranno rese disponibili FAQ e linee guida che li supportino nel processo di valutazione da parte del CVCN, elaborate anche a seguito di confronti avvenuti con diversi stakeholder. Come disposto dal quadro normativo vigente, le comunicazioni tra i soggetti Perimetro, i loro fornitori e il CVCN avverranno per via telematica.
Il CVCN a supporto del Golden Power su 5G
Inoltre, il Centro di Valutazione e Certificazione Nazionale svolgerà un ruolo di supporto tecnico per le attività connesse all’esercizio dei poteri speciali “Golden Power” in ambito 5G, così come previsto dalle recenti modifiche apportate al DL n. 21/2012 dal “decreto Ucraina”. In particolare, il CVCN opererà sia nella fase istruttoria, a supporto del Gruppo di coordinamento, sia nella fase di monitoraggio, come organo di cui si avvale il Comitato preposto allo scopo.
Il CVCN può già contare sulle unità di personale tecnico che hanno costituito il nucleo iniziale dell’Agenzia per la Cybersicurezza Nazionale e su quelle di recente trasferite dal Ministero dello Sviluppo Economico. Nelle prossime settimane, la dotazione di personale sarà ulteriormente potenziata con l’assunzione degli esperti che avranno superato le prove del concorso in atto. Questa prima fase di reclutamento dell’Agenzia ha avuto infatti come obiettivo prioritario proprio quello di assumere personale rientrante tra i profili destinati alle attività del CVCN (certificatori/ispettori, tecnici hardware e TLC, tecnici software e crittografi).
Il CVCN opererà secondo il principio di gradualità definito dal DPR n. 54/2021, affinando le proprie procedure interne, incrementando progressivamente le dotazioni strumentali e tecnologiche, e attuando progetti di potenziamento della rete dei LAP per mezzo dei fondi dedicati nell’ambito del PNRR.
Cosa sono i LAP, Laboratori Accreditati di Prova?
Ce l’ha spiegato sempre Roberto Baldoni, durante l’intervista: “I Laboratori di Prova, previsti e finanziati nel PNRR, seguendo le regole del CVCN, dovranno analizzare dispositivi per valutare la qualità tecnica necessaria per essere utilizzati nelle nostre infrastrutture critiche. Potranno essere di natura pubblica, privata e pubblico-privata. Abbiamo invitato centri di Ricerca, Università ed aziende strategiche dell’Italia a dar vita alla rete di LAP. Saranno strategici perché noi dobbiamo avere in Italia, a livello governativo, la componente tecnica per analizzare le tecnologie che ci arrivano dall’estero. Nel momento in cui noi non siamo in grado di analizzare un componente hardware o software, allora un attore ostile potrebbe veicolare qualsiasi elemento attraverso queste tecnologie”.
“L’obiettivo, come ho scritto nel PNRR”, ha spiegato Baldoni, “è avere entro il 2024 una ventina di Laboratori di Prova (tra pubblico, privato e pubblico-privato): a quel punto potremo pensare di avere 400-600 tecnici in grado di fornire sia alla Pubblica amministrazione sia ai privati l’analisi della supply chain”.
Il CVCN è fondamentale anche, ha detto recentemente Baldoni, “per non perdere la capacità di analizzare le tecnologie, altrimenti l’Italia perde il controllo nel cyberspazio”.