Obblighi di certificazione per i fornitori ICT di società del perimetro nazionale di sicurezza cibernetica

Sono operativi gli obblighi di certificazione a carico di fornitori di società rientranti nel Perimetro di Sicurezza Cibernetica Nazionale.

A partire dallo scorso 30 giugno 2022, sono operativi gli obblighi di certificazione e verifica a carico dei fornitori di beni, sistemi e servizi ICT a favore di società rientranti nel Perimetro di Sicurezza Cibernetica Nazionale.

In questo articolo, dopo un breve inquadramento normativo, vogliamo fornire una panoramica sulla procedure e metodologia di testing e certificiazione svolte dal Centro di Valutazione e Certificazione Nazionale (CVCN), nonché alcune considerazioni in merito agli obblighi in capo ai fornitori di beni e servizi ICT.

La normativa applicabile alle società del Perimetro di sicurezza cibernetica nazionale

Il D.L. n. 105/2019 ha definito il Perimetro di sicurezza cibernetica nazionale, istituito al fine di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici dei cosiddetti operatori di “servizi essenziali” (i) aventi una sede nel territorio nazionale, (ii) da cui dipende l’esercizio di una funzione essenziale o la  fornitura di un servizio essenziale per lo Stato Italiano e (iii) dal cui malfunzionamento, interruzione (anche parziali o utilizzo improprio) possa derivare un pregiudizio per la sicurezza nazionale.

A seguire, una serie di decreti sono stati emanati per dare attuazione al perimetro di sicurezza cibernetica nazionale, in particolare:

• il D.P.C.M. n.131/2020 ha individuato i soggetti pubblici e privati rientranti nel Perimetro (sulla base di specifici criteri e nell’ambito di diversi settori strategici, g. spazio e aerospazio, energia, telecomunicazioni, economia e finanza, trasporti, servizi digitali);
• il DPCM n. 81/2021 ha stabilito le misure di sicurezza, che i soggetti inclusi nel Perimetro sono tenuti ad adottare e le modalità di notifica degli incidenti. Infatti, ricordiamo che tali operatori sono tenuti a predisporre annualmente l’elenco degli asset ritenuti “strategici” per la fornitura dei servizi essenziali e funzioni essenziali di rispettiva pertinenza e, in relazione a tali asset, ad adottare misure per assicurare livelli elevati di sicurezza e a notificare eventuali incidenti al CSIRT (“Computer Security Incident Response Team”) attivo presso l’Agenzia per la Cybersicurezza Nazionale (“ACN”); infine,
• il P.R. n. 54/2021, in attuazione all’art. 1, co. 6, del D.L. n. 105/2019, ha introdotto l’obbligo per i soggetti inclusi nel Perimetro di comunicare al CVCN l’intenzione di acquisire beni, sistemi e servizi ICT da impiegare sui propri asset “strategici” e appartenenti a determinate categorie di cui al D.P.C.M. 15 giugno 2021.

La Procedura delle attività di certificazione

Alla luce del quadro normativo sopra riportato, le società soggette al Perimetro dovranno notificare al CVCN l’intenzione di procedere all’affidamento a dei fornitori di beni, sistemi e servizi ICT prima di stipulare un contratto o indire una gara d’appalto aventi ad oggetto la fornitura di beni, sistemi e servizi ICT rientranti nelle categorie di cui al D.P.C.M. 15 giugno 2021.

Di seguito illustriamo la procedura da seguire:

Fasi della procedura di test

Successivamente alla notifica, il CVCN dà il via a una procedura di test (le cui spese sono a carico del fornitore), articolata in tre fasi:

1. verifiche preliminari, da effettuarsi entro 45 giorni dalla comunicazione effettuata dalla società rientrante nel Perimetro che intende utilizzare un determinato bene o sistema ICT di cui al P.C.M. 15 giugno 2021. Tuttavia, un ulteriore termine di 15 giorni potrebbe essere eventualmente concesso – ma una sola volta – in casi di particolare complessità.

Se, allo scadere di tale termine, il CVCN non si sarà pronunciato, questo potrà essere interpretato come un silenzio assenso e la società soggetta al Perimetro potrà procedere con la contrattualizzazione o il lancio della gara di appalto con il fornitore individuato;

2. preparazione all’esecuzione dei test; e
3. esecuzione dei test hardware e software, da effettuarsi entro 60 giorni dalla data in cui la società soggetta al Perimetro comunicherà che il bene/servizio ICT è fisicamente disponibile e pronto per i test presso il CVCN.

Al termine della summenzionata procedura, anche in caso di esito positivo, il CVCN potrà prescrivere direttamente alla società rientrante nel Perimetro ulteriori requisiti sull’utilizzo/implementazione dei prodotti/beni ICT testati.

Metodologia e frequenza

Come indicato sul sito web dell’ACN, il CVCN ha adottato parametri interni di analisi del rischio e livelli di gravità che tuttavia non sono stati resi ancora noti. A seconda della valutazione effettuata dall’ACN su tali parametri, possono essere eseguiti i seguenti tipi di test:

• atti a valutare la corretta implementazione delle funzionalità di sicurezza per verificarne la coerenza con le specifiche di progetto;
• di intrusione a supporto dell’analisi delle vulnerabilità.

In ogni caso, i test dovrebbero essere eseguiti in modo tale da evitare duplicazioni.

Se lo stesso prodotto/servizio è già stato testato o è in corso di test, il CVCN non effettuerà ulteriori valutazioni posto che:

• siano già stati eseguiti o siano in corso di esecuzione i test relativi a tutte le funzioni di sicurezza e i test di intrusione dello stesso prodotto;
• siano stati eseguiti o siano in corso di esecuzione test di intrusione con riferimento a livelli di gravità non inferiori a quelli selezionati per l’ultima valutazione.

Negli altri casi, il CVCN dovrà individuare altri test da eseguire, escludendo quelli precedentemente eseguiti o in corso per evitare sovrapposizioni.

Principali conseguenze per i fornitori di beni e servizi ICT a favore delle società del Perimetro di sicurezza cibernetica nazionale

A seguito della comunicazione e nel caso di esecuzione di test presso il CVCN, i fornitori dei beni e servizi ICT oggetto delle attività di verifica sono soggetti a obblighi di collaborazione e supporto, oltre che a sostenere le spese per le attività di valutazione svolte dal CVCN e dai Centri di Valutazione presso i Ministeri della Difesa e dell’Interno e per le attività di test condotte dai Laboratori Accreditati di Prova, che costituiscono parte integrante dell’assetto relativo al CVCN.

In particolare, i fornitori sono tenuti a fornire:

• prova dell’idoneità delle funzioni di sicurezza del servizio/prodotto sottoposto a test;
• un ambiente di test adeguatamente rappresentativo della realtà operativa presso il laboratorio o, se necessario, presso la sede del fornitore stesso o della società rientrante nel Perimetro che intende acquistare i suoi beni/servizi ICT;
• una descrizione generale dell’architettura del servizio/prodotto da testare e delle sue funzioni;
• una descrizione delle funzionalità di sicurezza implementate nel servizio/prodotto in fase di test;
• una descrizione dei test di funzionalità e sicurezza già eseguiti dal fornitore o da altre terze parti, compresi i relativi risultati.

Si tratta di una procedura decisamente gravosa che potrebbe rallentare l’inizio delle forniture a beneficio delle società del perimetro di sicurezza cibernetica nazionale, il che evidentemente non è in linea con lo spirito della relativa normativa. Per questo motivo, stiamo supportando diversi fornitori al fine di trovare le soluzioni più efficienti per gestire questi oneri gravosi.

Su temi analoghi alla sicurezza del trattamento, potrebbero interessarvi La Direttiva NIS2 approvata – novità in materia cybersecurity (dirittoaldigitale.com) e “Approvato il Regolamento DORA: nuovi obblighi di cybersecurity per banche, assicurazioni e finanziarie”.