Logo dell'Agenzia per la cybersicurezza nazionale
Agenzia per la cybersicurezza nazionale

Centro di Valutazione e Certificazione Nazionale

Il Centro di Valutazione e Certificazione Nazionale (CVCN) ha il compito di valutare la sicurezza di beni, sistemi e servizi ICT destinati a essere impiegati nel contesto del Perimetro e che rientrano nelle categorie previste dal DPCM 15 giugno 2021.

Il CVCN ha adottato le metodologie che sono impiegate nel corso del processo di valutazione, come quella per la predisposizione dell’analisi del rischio, che i soggetti inclusi nel Perimetro adottano per redigere la documentazione da allegare alla comunicazione di affidamento.

Le comunicazioni di affidamento ai sensi dell'articolo 1, comma 6, del DL 105/2019 possono essere inoltrate al CVCN tramite il portale appositamente predisposto.

Abstract

Ambiti di competenza

Le funzioni del CVCN sono affidate al Servizio Certificazione e Vigilanza di ACN.

Comunicazioni di affidamento

Art. 1, comma 6, DL 105/2019

La procedura di valutazione che scaturisce da tali comunicazioni è regolamentata dal DPR 54/2021 e potrà prevedere l’esecuzione di test hardware e software sui componenti della fornitura.

In questo processo, il CVCN si coordina con i Centri di Valutazione (CV) presso i Ministeri della Difesa e dell’Interno e può avvalersi del supporto di una rete di Laboratori Accreditati di Prova (LAP).

Gruppo di coordinamento per l’esercizio dei poteri speciali

Art. 1-bis, DL 21/2012

L’Agenzia partecipa, per gli ambiti di propria competenza, al gruppo di coordinamento per l’esercizio dei poteri speciali, relativamente all’analisi degli aspetti tecnici di cybersicurezza nel contesto delle notifiche relative alla tecnologia 5G e, in previsione, degli ulteriori settori tecnologici che saranno inclusi nella disciplina Golden Power a seguito delle recenti modifiche normative.

Nello stesso ambito, l’Agenzia partecipa al Comitato di monitoraggio per le attività tese alla verifica dell’osservanza delle prescrizioni e delle condizioni impartite con il provvedimento dei poteri speciali.

Accreditamento LAP

Art. 1, comma 7, DL 105/2019

Il CVCN è l’ente di accreditamento dei Laboratori Accreditati di Prova (LAP) che potranno fornire supporto nella fase di esecuzione dei test.

Le procedure di accreditamento sono definite nel DPCM 18 maggio 2022, n. 92 previsto dall'art. 1, comma 7, lettera b) del DL 105/2019 e sono state adottate le determinazioni tecniche.

Per richiedere l'accreditamento come LAP è necessario compilare gli appositi modelli, comprensivi di tutte le informazioni richieste dal DPCM, e trasmettere la documentazione tramite PEC all'indirizzo acn@pec.acn.gov.it.

Risposte alle domande frequenti - FAQ

Analisi del rischio

Metodologia per la predisposizione del documento di analisi del rischio

Ai sensi dell'articolo 3, comma 5, del DPR 54/2021, il CVCN ha adottato la metodologia per la predisposizione del documento di analisi del rischio, messa a disposizione dei soggetti Perimetro tramite il portale del CVCN, che la dovranno utilizzare per predisporre la comunicazione di affidamento.

Livelli di severità

Metodologia per il calcolo del livello di severità dei test

Ai sensi dell'articolo 3, comma 5, del DPR 54/2021, il CVCN ha adottato la metodologia per il calcolo del livello di severità dei test che, a partire dagli esiti dell'analisi del rischio condotta dai soggetti Perimetro con l'apposita metodologia, determina le tipologie di test che il CVCN può imporre.

Test di sicurezza

Test corrispondenti ai livelli di severità

Ai sensi dell'articolo 5, comma 4, del DPR 54/2021, il CVCN ha adottato la metodologia relativa ai test da eseguire in corrispondenza del livello di severità calcolato sulla base degli esiti dell'analisi del rischio presentata dal soggetto Perimetro.

L'elenco dei test è accessibile, oltre che al CVCN e ai CV, agli aspiranti Laboratori Accreditati di Prova (LAP), sotto il vincolo di non divulgazione.

adottate ai sensi del DPR 54/2021

Metodologie