Il Centro di Valutazione e Certificazione Nazionale e i poteri speciali del Governo su 5G e Cloud nazionale

È operativo, presso l’Agenzia per la Cybersicurezza Nazionale (ACN), il Centro di Valutazione e Certificazione Nazionale (CVCN) il cui compito si sostanzia in quello di valutare la sicurezza di beni, sistemi e servizi ICT dei soggetti inseriti nel perimetro di sicurezza nazionale cibernetica, ossia quelli che erogano servizi essenziali per il Paese.

Il Centro di Valutazione e Certificazione Nazionale è previsto dalla normativa sul Perimetro di Sicurezza Nazionale Cibernetica, nonché dal d.l. n. 82/2021 ed è incardinato nel Servizio Certificazione e Vigilanza dell’Agenzia per la Cybersicurezza Nazionale, diretto dall’Ing. Andrea Billet. Originariamente era istituito presso il Ministero dello Sviluppo Economico per volontà dell’allora Ministro Luigi Di Maio e mai operativo, ad oggi pertanto è stato trasferito all’interno dell’ACN.

Con il CVCN si vuole gestire il cd. rischio tecnologico, che – come ha ricordato Roberto Baldoni, direttore generale dell’ACN – è diverso dal rischio dei cyber attacchi, ma si associa maggiormente al rischio energetico.

Baldoni, infatti, ha spiegato che “il CVCN dovrà assicurare la qualità tecnica ed un controllo dei fornitori dei dispositivi che saranno installati nelle nostre infrastrutture critiche, cioè nelle aziende che gestiscono i servizi essenziali per l’Italia, tra cui il futuro Cloud Nazionale”.

Dunque l’attività di scrutinio e di analisi qualitativa sarà effettuata anche su 5G e Cloud nazionale, nonché sul Polo Strategico Nazionale, come previsto dal d.l. “Ucraina”, che ha rafforzato il Golden Power. Con la nuova normativa, il Cloud è considerato per la prima volta come un’infrastruttura critica per la sicurezza nazionale, alla stregua delle reti di telecomunicazione.

Nello specifico, la procedura di valutazione, regolamentata dal d.p.r. n. 54/2021, potrà prevedere l’esecuzione di test hardware e software sui componenti della fornitura; in questo processo, al CVCN fanno riferimento i Centri di Valutazione (CV) presso i Ministeri della Difesa e dell’Interno, con possibilità di avvalersi del supporto di una rete di Laboratori Accreditati di Prova (LAP), che saranno regolamentati da un apposito decreto in fase di pubblicazione in Gazzetta Ufficiale. Ai soggetti inclusi nel Perimetro, saranno rese disponibili FAQ e linee guida che li supportino nel processo di valutazione da parte del CVCN, elaborate anche a seguito di confronti avvenuti con diversi stakeholders. Come disposto dal quadro normativo vigente, le comunicazioni tra i soggetti del Perimetro, i loro fornitori e il CVCN avverranno per via telematica.

Quindi il CVCN svolgerà un ruolo di supporto tecnico per le attività connesse all’esercizio dei poteri speciali del Governo – i Golden Powers – in ambito 5G, come previsto dalle recenti modifiche apportate al d.l. n. 21/2012 dal “decreto Ucraina”. In particolare, il CVCN opererà sia nella fase istruttoria a supporto del Gruppo di Coordinamento, sia nella fase di monitoraggio, come organo di cui si avvale il Comitato allo scopo preposto. Il Gruppo di Coordinamento per l’esercizio dei poteri speciali è composto da rappresentanti della Presidenza del Consiglio dei Ministri, del Ministero dello Sviluppo Economico, dell’Economia e delle Finanze, dell’Interno, della Difesa, degli Esteri, dal Ministro per l’Innovazione tecnologica e la Transizione digitale, ove previsto, nonché da rappresentanti dell’ACN.

Il CVCN può già contare sulle unità di personale tecnico che hanno costituito il nucleo iniziale dell’ACN e su quelle di recente trasferite dal Ministero dello Sviluppo Economico. Nelle prossime settimane, la dotazione di personale sarà ulteriormente potenziata con l’assunzione degli esperti che avranno superato le prove del concorso in atto. Questa prima fase di reclutamento da parte dell’ACN ha avuto infatti come obiettivo prioritario proprio quello di assumere personale rientrante tra i profili destinati alle attività del CVCN (certificatori/ispettori, tecnici hardware e TLC, tecnici software e crittografi).

Il CVCN opererà secondo il principio di gradualità definito dal d.p.r. n. 54/2021, affinando le proprie procedure interne, incrementando progressivamente le dotazioni strumentali e tecnologiche, e attuando progetti di potenziamento della rete dei LAP per mezzo dei fondi dedicati nell’ambito del PNRR.

Roberto Baldoni ha spiegato che: “i Laboratori di Prova, previsti e finanziati dal PNRR, seguendo le regole del CVCN, dovranno analizzare dispositivi per valutare la qualità tecnica necessaria per essere utilizzati nelle nostre infrastrutture critiche. Potranno essere di natura pubblica, privata e pubblico-privata. Abbiamo invitato centri di ricerca, Università ed aziende strategiche italiane a dar vita alla rete dei LAP. Saranno strategici perché noi dobbiamo avere in Italia, a livello governativo, la componente tecnica per analizzare le tecnologie che ci arrivano dall’estero. Nel momento in cui noi non siamo in grado di analizzare una componente hardware o software, allora un attore ostile potrebbe veicolare qualsiasi elemento attraverso queste tecnologie”.

“L’obiettivo” – ha concluso Baldoni – “è avere entro il 2024 una ventina di Laboratori di Prova (tra pubblico, privato e pubblico-privato): a quel punto potremo pensare di avere 400-600 tecnici in grado di fornire sia alla Pubblica Amministrazione sia ai privati l’analisi della supply chain”.

 

Licenza Creative Commons
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 4.0 Internazionale