Il perimetro cyber entra nel vivo. Sul tavolo del pre-Consiglio dei ministri questo martedì è finito lo schema di decreto del Presidente della Repubblica (Dpr) che attua il perimetro di sicurezza nazionale cibernetica introdotto con il Dl. 105/2019.
Il testo mette a punto il sistema dei controlli dei Cvcn (Centri di valutazione e certificazione nazionale) e dei due centri di valutazione del ministero degli Interni e della Difesa.
Dopo un primo Dpcm contenente i criteri di individuazione dei soggetti rientranti nel perimetro che ha da poco terminato il suo iter nelle commissioni parlamentari, il nuovo decreto si sofferma sulle procedure di valutazione dei centri, di comunicazione di affidamento, le verifiche e i test preliminari, gli oneri per i fornitori della rete, i controlli (in capo a Palazzo Chigi per la Pa, al Mise per i soggetti privati).
Il decreto conferma una stretta in particolare sulle procedure di affidamento dei soggetti inclusi nella rete. Questi, recita l’articolo 3, “prima dell’avvio delle procedure di affidamento ovvero, ove non siano previste, prima della conclusione di contratti relativi alla fornitura di beni, sistemi e di servizi Ict”, anche nel caso in cui “tali procedure siano espletate attraverso le centrali di committenza”, sono tenuti a darne comunicazione “al Cvcn o al Cv (Centro di valutazione, ndr)”.
Tanto nel caso di una procedura negoziata, tanto in quello di una gara pubblica tramite una centrale di committenza (come la Consip) i soggetti rientranti nel perimetro sono dunque obbligati a dare previa comunicazione ai Cvcn e ai Cn e ad attendere l’esito della loro valutazione.
“Successivamente all’aggiudicazione della gara o della stipula del contratto, il soggetto incluso nel perimetro comunica al Cvcn o ai Cv, in via telematica, i riferimenti del fornitore e ogni elemento utile ad individuare in modo univoco l’oggetto di fornitura”, si legge nella relazione illustrativa.
Si tratta di una parziale inversione di marcia rispetto alla previsione contenuta nella versione iniziale del “Decreto Cura Italia”, che all’articolo 75 prevedeva una procedura negoziata (e non una gara pubblica) per la fornitura del cloud della Pa. Già nella legge di conversione del decreto, l’articolo era stato modificato inserendo un collegamento al “decreto cyber” (dl. 105/2019) e al sistema dei cvcn.
Il rimando contenuto nel nuovo Dpr rafforza i controlli per evitare che, in nome dello snellimento delle procedure, i soggetti del perimetro acquistino equipaggiamento Ict pericoloso o vulnerabile.
Insomma, il governo spinge sull’acceleratore della sicurezza tech, dopo qualche ritardo nell’attuazione del perimetro. Sia dovuto alla pandemia che ha bloccato, ad esempio, i colloqui per i tecnici dei Cvcn (il bando per le selezioni è stato pubblicato in Gazzetta questo lunedì). Sia a una modifica al Milleproroghe che ha previsto per il primo Dpcm attuativo il parere obbligatorio del Consiglio di Stato e rimandato di altri 45 giorni l’inizio dei lavori.
“Con questo Dpr sta prendendo forma concreta il puzzle del governo italiano sull’innalzamento dei livelli di sicurezza cibernetica e la creazione del perimetro di sicurezza nazionale cibernetica – commenta a Formiche.net Stefano Mele, partner dello studio Carnelutti e presidente della Commissione cibernetica del Comitato atlantico italiano – la bozza conferma quelle che sono le aspettative e ciò che era previsto nella legge sul perimetro. Le aziende e le Pa devono cominciare a muoversi immediatamente con la compliance alla normativa perché molte di queste previsioni andranno a impattare in maniera significativa sui processi di procurement e di security”.
