Il 29 gennaio il Consiglio dei Ministri ha approvato un nuovo decreto attuativo del Perimetro di sicurezza nazionale cibernetica, introdotto con decreto-legge 105/2019 e convertito dalla legge n. 133 del 2019.

Il decreto attuativo, adottato mediante Decreto del Presidente della Repubblica (DPR), individua le procedure, le modalità e i termini con cui il Centro di Valutazione e Certificazione Nazionale (CVCN) e i Centri di Valutazione dei Ministeri degli Interni e della Difesa (CV) effettuano valutazioni sull’acquisizione, da parte delle entità incluse nel Perimetro, di tecnologie e software ICT – inclusa la tecnologia 5G – che potrebbero presentare vulnerabilità e che, pertanto, le esporrebbero a rischi cyber.

Il DPR prevede che, prima dell’avvio delle procedure di affidamento o della conclusione dei contratti di fornitura, i soggetti inclusi nel Perimetro ne diano comunicazione al CVCN o ai CV. Successivamente il procedimento si articola in tre fasi: in una fase di verifiche preliminari, in una fase di preparazione all’esecuzione dei test e in una terza fase di esecuzione dei test di hardware e di software.

Rileviamo che le spese per le attività di valutazione svolte dal CVCN e dai CV e per le attività di test condotte negli appositi laboratori sono a carico di chi fornisce i beni, i sistemi o i servizi ICT, destinati alle reti, ai sistemi informativi e ai servizi informatici.

Secondo quanto disposto dal primo decreto attuativo, ossia il Regolamento in materia di perimetro di sicurezza nazionale cibernetica, DPCM n. 131 del 2020, sono ricompresi all’interno del Perimetro di sicurezza nazionale cibernetica tutti i soggetti, pubblici e privati, che svolgano funzioni con un impatto rilevante sulla sicurezza nazionale, tra cui quelli operanti nel settore delle tecnologie critiche e dei beni a duplice uso; la lista di tali soggetti, circa 100, è stata approvata lo scorso 25 novembre con DPCM ed è secretata.