È operativo da oggi, presso l’Agenzia per la Cybersicurezza Nazionale (ACN), il Centro di Valutazione e Certificazione Nazionale. Il CVCN ha il compito di valutare la sicurezza di beni, sistemi e servizi ICT dei soggetti inseriti nel Perimetro di sicurezza nazionale cibernetica, ossia quelli che erogano servizi essenziali per il Paese.
Quindi l’attività di scrutinio e di analisi della qualità sarà effettuata anche su 5G e Cloud nazionale e il futuro Polo Strategico Nazionale, come previsto dal decreto-legge ‘Ucraina’ che ha rafforzato il Golden power. Con la nuova normativa, il Cloud, per la prima volta, è ora considerato come una infrastruttura critica per la sicurezza nazionale, alla stregua delle reti di telecomunicazioni.
“Il CVCN ci dovrà assicurare la qualità tecnica e un controllo dei fornitori dei dispositivi che saranno installati nelle nostre infrastrutture critiche: le aziende che gestiscono i servizi essenziali per l’Italia, tra cui il futuro Cloud Nazionale”, ha spiegato Roberto Baldoni, il direttore generale dell’ACN.
Il Centro di Valutazione e Certificazione Nazionale è previsto dalla normativa sul Perimetro di Sicurezza Nazionale Cibernetica nonché dal D.L. n. 82 del 2021. È incardinato nel Servizio Certificazione e Vigilanza dell’ACN diretto dall’Ing. Andrea Billet.
Il CVCN, originariamente istituito presso il Ministero dello Sviluppo Economico per volontà dell’allora ministro Luigi Di Maio e mai operativo, è stato ora trasferito all’interno dell’ACN.
Con il CVCN si vuole gestire il “rischio tecnologico – che è diverso dal rischio dei cyber attacchi – e si associa al rischio energetico”, ha detto più volte Baldoni.
“Avere pochissimi fornitori è un rischio”, ha spiegato il dg dell’Agenzia cyber, “perché non si sa a chi rispondono e se chiudono i bocchettoni dei chip, del cloud e dell’IA ci rimandano indietro di 50 anni”.
Come avviene la valutazione su hardware e software da parte del CVCN?
La procedura di valutazione, che è regolamentata dal DPR n. 54/2021, potrà prevedere l’esecuzione di test hardware e software sui componenti della fornitura.
In questo processo, al CVCN faranno riferimento i Centri di Valutazione (CV) presso i Ministeri della Difesa e dell’Interno e potrà avvalersi del supporto di una rete di Laboratori Accreditati di Prova (LAP) che saranno regolamentati da apposito Decreto in fase di pubblicazione in Gazzetta Ufficiale.
Ai soggetti inclusi nel Perimetro, saranno rese disponibili FAQ e linee guida che li supportino nel processo di valutazione da parte del CVCN, elaborate anche a seguito di confronti avvenuti con diversi stakeholder. Come disposto dal quadro normativo vigente, le comunicazioni tra i soggetti Perimetro, i loro fornitori e il CVCN avverranno per via telematica.
Il CVCN a supporto del Golden Power su 5G
Dunque, il Centro di Valutazione e Certificazione Nazionale svolgerà un ruolo di supporto tecnico per le attività connesse all’esercizio dei poteri speciali “Golden Power” in ambito 5G, così come previsto dalle recenti modifiche apportate al DL n. 21/2012 dal “decreto Ucraina”. In particolare, il CVCN opererà sia nella fase istruttoria, a supporto del Gruppo di coordinamento, sia nella fase di monitoraggio, come organo di cui si avvale il Comitato preposto allo scopo. Il gruppo di coordinamento per l’esercizio dei poteri speciali è composto:
- dai rappresentanti della Presidenza del Consiglio dei ministri, del Ministero dello sviluppo economico, del Ministero dell’economia e delle finanze, del Ministero dell’interno, del Ministero della difesa, del Ministero per gli affari esteri e la cooperazione internazionale, dal Ministro per l’innovazione tecnologica e la transizione digitale, ove previsto, nonché dai rappresentanti dell’Agenzia per la cybersicurezza nazionale.
Il personale del CVCN
Il CVCN può già contare sulle unità di personale tecnico che hanno costituito il nucleo iniziale dell’Agenzia per la Cybersicurezza Nazionale e su quelle di recente trasferite dal Ministero dello Sviluppo Economico. Nelle prossime settimane, la dotazione di personale sarà ulteriormente potenziata con l’assunzione degli esperti che avranno superato le prove del concorso in atto. Questa prima fase di reclutamento dell’Agenzia ha avuto infatti come obiettivo prioritario proprio quello di assumere personale rientrante tra i profili destinati alle attività del CVCN (certificatori/ispettori, tecnici hardware e TLC, tecnici software e crittografi).
Il CVCN opererà secondo il principio di gradualità definito dal DPR n. 54/2021, affinando le proprie procedure interne, incrementando progressivamente le dotazioni strumentali e tecnologiche, e attuando progetti di potenziamento della rete dei LAP per mezzo dei fondi dedicati nell’ambito del PNRR.
Cosa sono i LAP, Laboratori Accreditati di Prova?
Roberto Baldoni ha spiegato che: “I Laboratori di Prova, previsti e finanziati nel PNRR, seguendo le regole del CVCN, dovranno analizzare dispositivi per valutare la qualità tecnica necessaria per essere utilizzati nelle nostre infrastrutture critiche. Potranno essere di natura pubblica, privata e pubblico-privata. Abbiamo invitato centri di Ricerca, Università ed aziende strategiche dell’Italia a dar vita alla rete di LAP. Saranno strategici perché noi dobbiamo avere in Italia, a livello governativo, la componente tecnica per analizzare le tecnologie che ci arrivano dall’estero. Nel momento in cui noi non siamo in grado di analizzare un componente hardware o software, allora un attore ostile potrebbe veicolare qualsiasi elemento attraverso queste tecnologie”.
“L’obiettivo, come ho scritto nel PNRR”, ha concluso Baldoni, “è avere entro il 2024 una ventina di Laboratori di Prova (tra pubblico, privato e pubblico-privato): a quel punto potremo pensare di avere 400-600 tecnici in grado di fornire sia alla Pubblica amministrazione sia ai privati l’analisi della supply chain”.
