Il Centro di Valutazione e Certificazione Nazionale (CVCN) ha il compito di valutare la sicurezza di beni, sistemi e servizi ICT destinati a essere impiegati nel contesto del Perimetro e che rientrano nelle categorie previste dal DPCM 15 giugno 2021.
Il CVCN ha adottato le metodologie che sono impiegate nel corso del processo di valutazione, come quella per la predisposizione dell’analisi del rischio, che i soggetti inclusi nel Perimetro adottano per redigere la documentazione da allegare alla comunicazione di affidamento.
Le comunicazioni di affidamento ai sensi dell'articolo 1, comma 6, del DL 105/2019 possono essere inoltrate al CVCN tramite il portale appositamente predisposto.
Le funzioni del CVCN sono affidate al Servizio Certificazione e Vigilanza di ACN.
Comunicazioni di affidamento
Art. 1, comma 6, DL 105/2019
La procedura di valutazione che scaturisce da tali comunicazioni è regolamentata dal DPR 54/2021 e potrà prevedere l’esecuzione di test hardware e software sui componenti della fornitura.
In questo processo, il CVCN si coordina con i Centri di Valutazione (CV) presso i Ministeri della Difesa e dell’Interno e può avvalersi del supporto di una rete di Laboratori Accreditati di Prova (LAP).
Gruppo di coordinamento per l’esercizio dei poteri speciali
Art. 1-bis, DL 21/2012
L’Agenzia partecipa, per gli ambiti di propria competenza, al gruppo di coordinamento per l’esercizio dei poteri speciali, relativamente all’analisi degli aspetti tecnici di cybersicurezza nel contesto delle notifiche relative alla tecnologia 5G e, in previsione, degli ulteriori settori tecnologici che saranno inclusi nella disciplina Golden Power a seguito delle recenti modifiche normative.
Nello stesso ambito, l’Agenzia partecipa al Comitato di monitoraggio per le attività tese alla verifica dell’osservanza delle prescrizioni e delle condizioni impartite con il provvedimento dei poteri speciali.
Accreditamento LAP
Art. 1, comma 7, DL 105/2019
Il CVCN è l’ente di accreditamento dei Laboratori Accreditati di Prova (LAP) che potranno fornire supporto nella fase di esecuzione dei test.
Per richiedere l'accreditamento come LAP è necessario compilare gli appositi modelli, comprensivi di tutte le informazioni richieste dal DPCM, e trasmettere la documentazione tramite PEC all'indirizzo acn@pec.acn.gov.it.
Metodologie
adottate ai sensi del DPR 54/2021
Analisi del rischio
Metodologia per la predisposizione del documento di analisi del rischio
Ai sensi dell'articolo 3, comma 5, del DPR 54/2021, il CVCN ha adottato la metodologia per la predisposizione del documento di analisi del rischio, messa a disposizione dei soggetti Perimetro tramite il portale del CVCN, che la dovranno utilizzare per predisporre la comunicazione di affidamento.
Livelli di severità
Metodologia per il calcolo del livello di severità dei test
Ai sensi dell'articolo 3, comma 5, del DPR 54/2021, il CVCN ha adottato la metodologia per il calcolo del livello di severità dei test che, a partire dagli esiti dell'analisi del rischio condotta dai soggetti Perimetro con l'apposita metodologia, determina le tipologie di test che il CVCN può imporre.
Test di sicurezza
Test corrispondenti ai livelli di severità
Ai sensi dell'articolo 5, comma 4, del DPR 54/2021, il CVCN ha adottato la metodologia relativa ai test da eseguire in corrispondenza del livello di severità calcolato sulla base degli esiti dell'analisi del rischio presentata dal soggetto Perimetro.
L'elenco dei test è accessibile, oltre che al CVCN e ai CV, agli aspiranti Laboratori Accreditati di Prova (LAP), sotto il vincolo di non divulgazione.
