Regolamento recante attuazione dell'articolo 1, comma 6, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133. (21G00060)

I soggetti inclusi nel perimetro, prima dell'avvio delle procedure di affidamento ovvero, ove non siano previste, prima della conclusione dei contratti relativi alla fornitura di beni, sistemi e di servizi ICT di cui all'articolo 1, comma 6, lettera a), del decreto-legge, anche nel caso in cui tali procedure siano espletate attraverso le centrali di committenza, ne danno comunicazione al CVCN o ai CV.

La comunicazione e' trasmessa in via telematica al CVCN o ai CV per le valutazioni di rispettiva competenza del CVCN o dei CV. I dati contenuti nelle comunicazioni sono raccolti in archivi informatici istituiti presso le Amministrazioni nelle quali operano il CVCN e i CV, con risorse disponibili a legislazione vigente.

Con successivo atto del CVCN, da adottarsi entro sessanta giorni dalla data di entrata in vigore del presente decreto, sono definite le metodologie per la predisposizione del documento di analisi del rischio e per l'individuazione dei livelli di severita' dei test di cui all'articolo 5, comma 2.

Ai fini del comma 5, il CVCN, sulla base di standard tecnici di riferimento, tiene conto dell'impatto di violazioni intenzionali o accidentali sui requisiti di sicurezza, di cui alla lettera b) del comma 4, che determinano eventi di indisponibilita', malfunzionamento e compromissione della funzione essenziale o del servizio essenziale.

Il CVCN o i CV, secondo le rispettive competenze stabilite nell'articolo 1, comma 6, del decreto-legge, svolgono il procedimento di verifica e valutazione dell'analisi documentale contenuta nella comunicazione di cui all'articolo 3.

All'esito delle verifiche e dei test di cui al comma 2, il CVCN o i CV, con apposito provvedimento, definiscono eventuali condizioni e test di hardware e di software da inserire nelle clausole del bando di gara o del contratto, di cui all'articolo 5, nonche' eventuali prescrizioni di utilizzo al soggetto incluso nel perimetro, di cui all'articolo 8.

Le attivita' di cui alla lettera c) del comma 2 si concludono entro sessanta giorni a partire dalla data in cui il soggetto incluso nel perimetro comunica che l'oggetto della valutazione e' reso fisicamente disponibile per i test al CVCN o ai CV secondo le condizioni individuate ai sensi dell'articolo 5, commi 5 e 6.

Decorsi i termini di cui al comma 4 senza che il CVCN o i CV si siano pronunciati, i soggetti inclusi nel perimetro possono proseguire nella procedura di affidamento. Decorsi i termini di cui al comma 5, senza che il CVCN o i CV si siano pronunciati, i soggetti inclusi nel perimetro possono proseguire l'esecuzione del contratto.

Ai fini dello svolgimento delle attivita' di cui al comma 2, lettera c), il CVCN puo' avvalersi di LAP e si coordina, ove previsto, con i centri di valutazione del Ministero dell'Interno e del Ministero della Difesa, ai sensi dell'articolo 1, comma 7, lettera b), del decreto-legge.

Il CVCN condivide con i CV e i LAP le metodologie per l'effettuazione dei test ai sensi del decreto del Presidente del Consiglio dei ministri adottato in attuazione dell'articolo 1, comma 7, lettera b), del decreto-legge. Il CVCN, i CV e i LAP assicurano, anche con strumenti adeguati, la riservatezza di tali metodologie.

Gli atti del procedimento di verifica e valutazione sono adottati nel rispetto dell'esigenza di tutela della sicurezza nazionale per le finalita' di cui all'articolo 1, comma 1, del decreto-legge.

A seguito della comunicazione di cui all'articolo 3, il CVCN o i CV effettuano verifiche preliminari ed eventualmente richiedono al soggetto incluso nel perimetro le informazioni necessarie per assicurare la collaborazione ai fini dell'individuazione delle condizioni per il fornitore e della tipologia di test di hardware e di software da eseguire. In caso di incompletezza o incongruenza delle informazioni fornite dal soggetto incluso nel perimetro i termini di conclusione del procedimento sono sospesi, per una sola volta, fino al ricevimento delle informazioni richieste ai sensi degli articoli 2, comma 7, e 6, comma 1, lettera b), della legge 7 agosto 1990, n. 241.

Nell'individuazione dei test da eseguire, il CVCN e i CV tengono conto dell'analisi del rischio di cui all'articolo 3 e dei livelli di severita' determinati sulla base della metodologia di cui al comma 5 del medesimo articolo 3.

Con atto del CVCN, da adottarsi entro sessanta giorni dalla data di entrata in vigore del presente decreto e da aggiornarsi periodicamente, sono definiti i test corrispondenti ai livelli di severita' derivanti dall'analisi del rischio di cui all'articolo 3.

Ai sensi dell'articolo 4, comma 3, il CVCN e i CV definiscono, con apposito provvedimento, da comunicarsi al soggetto incluso nel perimetro le eventuali ulteriori condizioni, i test da eseguire ed eventuali indicazioni per il supporto da parte del fornitore ai fini dell'integrazione nei bandi di gara o nei contratti con clausole che condizionano, sospensivamente ovvero risolutivamente, il contratto al rispetto delle condizioni e all'esito favorevole dei test.

Le centrali di committenza, ai fini della realizzazione degli strumenti di cui all'articolo 1, comma 512, della legge 28 dicembre 2015, n. 208, tengono conto, anche per le finalita' di cui all'articolo 31, comma 5, del decreto-legge 16 luglio 2020, n. 76, convertito, con modificazioni, dalla legge 11 settembre 2020, n. 120, delle previsioni di cui all'articolo 1, comma 6, del decreto-legge, e di cui al presente decreto, con riferimento alle acquisizioni di beni, sistemi e servizi ICT inclusi nelle categorie di cui all'articolo 1, lettera l), e di cui al capo III del presente decreto. Al fine dell'effettuazione di tali acquisizioni mediante i detti strumenti, i soggetti pubblici inclusi nel perimetro specificano, secondo quanto previsto nella relativa documentazione di gara e tenendo conto delle caratteristiche della specifica acquisizione, gli elementi relativi a condizioni e a test di cui al comma 6. Gli aggiudicatari assicurano il rispetto di dette previsioni.

Nei bandi di gara o nei contratti, i requisiti di sicurezza dell'oggetto di fornitura sono indicati dal soggetto incluso nel perimetro adottando se necessario le opportune cautele di riservatezza, anche nei casi in cui l'acquisizione avvenga attraverso le centrali di committenza.

Il soggetto incluso nel perimetro, successivamente all'aggiudicazione della gara o della stipula del contratto, comunica al CVCN o ai CV, in via telematica, i riferimenti del fornitore e ogni elemento utile ad individuare in modo univoco l'oggetto di fornitura.

Nei casi di cui al comma 1, lettera a), diversi dal comma 2, ferme restando le condizioni di cui all'articolo 5, il CVCN o i CV, se necessario in collaborazione con il soggetto incluso nel perimetro, identificano i test da eseguire escludendo quelli precedentemente eseguiti o in corso di esecuzione.

Nei casi di cui al comma 2, il CVCN o i CV, ferma restando la possibilita' di prevedere le prescrizioni di utilizzo di cui all'articolo 8, comunicano al soggetto incluso nel perimetro, e per conoscenza al fornitore, la conclusione del procedimento.

Allo sviluppo e alla gestione della piattaforma di cui al comma 1 si fa fronte con le risorse disponibili a legislazione vigente.

Concluse le attivita' preliminari di cui all'articolo 6, il CVCN o i CV comunicano l'avvio dei test al soggetto incluso nel perimetro e al fornitore. I test si concludono entro i termini individuati dall'articolo 4, comma 5.

Con la comunicazione di cui al comma 1 il CVCN o i CV specificano le modalita' di collaborazione dei fornitori durante l'esecuzione delle prove.

I test sono eseguiti presso i laboratori del CVCN, dei CV e dei LAP. Se necessario, possono essere eseguiti da personale del CVCN, dei CV e dei LAP presso il fornitore o il soggetto incluso nel perimetro.

I test sono effettuati secondo le metodologie predisposte dal CVCN di cui dall'articolo 4, comma 8, assicurando il rispetto di quanto previsto all'articolo 4, comma 9. I CV e i LAP sono tenuti a non divulgare tali metodologie.

Ai sensi dell'articolo 10-bis della legge 7 agosto 1990, n. 241, nel caso in cui si verifichi un malfunzionamento dell'oggetto di valutazione o dell'ambiente di test predisposto dal fornitore che renda impossibile o difficoltosa l'esecuzione dei test, il CVCN o i CV comunicano tempestivamente al soggetto incluso nel perimetro, informando anche il fornitore, i motivi che ostano al proseguimento dei test. Entro il termine di dieci giorni dalla ricezione della comunicazione, il fornitore puo' provvedere a risolvere il malfunzionamento. La predetta comunicazione sospende i termini di cui all'articolo 4, comma 5, che iniziano nuovamente a decorrere dalla data di soluzione del malfunzionamento verificata dal CVCN o dai CV.
In caso di eventuale mancata soluzione entro il termine, il CVCN o i CV comunicano al soggetto incluso nel perimetro e al fornitore l'impossibilita' di proseguire l'esecuzione dei test e concludono il procedimento indicando la motivazione.

Il CVCN, i CV e i LAP redigono un rapporto di prova nel quale sono indicati in dettaglio l'ambiente di test, le prove eseguite ed i relativi esiti.

I LAP, eventualmente incaricati per l'esecuzione dei test, trasmettono il rapporto di prova al CVCN entro sette giorni lavorativi dalla scadenza dei termini per l'esecuzione dei test.

Nel caso in cui sia stato incaricato il LAP e si verifichi un malfunzionamento dell'oggetto di valutazione o dell'ambiente di test predisposto dal fornitore, lo stesso LAP informa tempestivamente il CVCN che procede ai sensi del comma 5.

Sulla base del rapporto di prova di cui all'articolo 7, commi 6 e 7, il CVCN e i CV redigono il rapporto di valutazione contenente l'esito dei test. Il rapporto di valutazione e' comunicato al soggetto incluso nel perimetro e al fornitore entro i termini di cui all'articolo 4, comma 5.

In caso di esito negativo del rapporto di valutazione, il CVCN e i CV, previa comunicazione dei motivi ostativi all'accoglimento dell'istanza ai sensi dell'articolo 10-bis della legge 7 agosto 1990, n. 241, comunicano al soggetto incluso nel perimetro e al fornitore il provvedimento negativo motivato.

Nel caso in cui l'esito di cui al comma 1 sia positivo, il CVCN puo' imporre al soggetto incluso nel perimetro prescrizioni per l'utilizzo dell'oggetto dell'affidamento ai sensi dell'articolo 1, comma 7, lettera b), del decreto-legge.

Le prescrizioni di cui al comma 3 possono riguardare anche il mantenimento nel tempo del livello di sicurezza nell'ambiente di esercizio.

Le spese a carico del fornitore per le attivita' di valutazione svolte dal CVCN e dai CV e per le attivita' di test condotte dai LAP sono calcolate sulla base delle disposizioni di cui all'articolo 6 del decreto legislativo 30 dicembre 2003, n. 366.

Nel rispetto dell'articolo 1, comma 6, lettera a), ultimo periodo, del decreto-legge, non sono tenute agli obblighi di comunicazione previsti dal presente decreto le Autorita' di pubblica sicurezza e le forze di polizia di cui agli articoli 1, 13, 14, 15 e 16, della legge 1° aprile 1981, n. 121.

L'elenco e la documentazione relativa agli affidamenti effettuati ai sensi del comma 2 sono resi disponibili per le verifiche e le ispezioni di cui al capo IV del presente decreto.

Nei casi di cui al presente articolo e' comunque garantito l'utilizzo di beni, sistemi e servizi ICT conformi alle misure di sicurezza di cui all'articolo 1, comma 3, lettera b), del decreto-legge.

Il CVCN e i CV individuano i test da eseguire secondo un approccio gradualmente crescente nelle verifiche di sicurezza ai sensi dell'articolo 1, comma 6, del decreto-legge. Nei primi diciotto mesi dalla data di entrata in vigore del presente decreto, ferma restando la possibilita' di imporre le condizioni di cui all'articolo 5 e le prescrizioni di utilizzo di cui all'articolo 8, nonche' di effettuare l'analisi documentale di cui all'articolo 4, il CVCN e i CV possono effettuare test con livello di complessita' crescente nel tempo, secondo un programma contenuto nell'atto di cui all'articolo 5, comma 4.

Ai sensi dell'articolo 3, comma 2, del decreto-legge, la valutazione degli elementi indicanti la presenza di fattori di vulnerabilita' che potrebbero compromettere l'integrita' e la sicurezza delle reti e dei dati che vi transitano, strumentale ai fini dell'esercizio dei poteri speciali di cui all'articolo 1-bis del decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56, e' effettuata secondo le procedure, le modalita' e i termini di cui all'articolo 1, comma 6, del decreto-legge, e di cui al presente decreto.

Le categorie, sulla base dei criteri di cui al comma 1, sono individuate con decreto del Presidente del Consiglio dei ministri, ai sensi dell'articolo 1, comma 6, lettera a), del decreto-legge.

Autorita' competenti

Le autorita' competenti istituiscono e aggiornano un elenco del personale da incaricare per lo svolgimento delle attivita' di ispezione e verifica. L'eventuale accesso ad informazioni classificate di cui all'articolo 42 della legge 3 agosto 2007, n. 124, derivante dallo svolgimento delle predette attivita', e' effettuato, nel rispetto del principio di cui al comma 1 del medesimo articolo e, nel caso di informazioni con classifica superiore a «riservato», esclusivamente da personale in possesso del requisito di cui al comma 1-bis del predetto articolo 42.

Ai fini dello svolgimento delle verifiche e delle ispezioni, le autorita' competenti individuano il personale incaricato, nonche' un responsabile del procedimento ai sensi dell'articolo 6 della legge 7 agosto 1990, n. 241.

Nell'attribuzione degli incarichi le autorita' competenti si attengono a criteri di professionalita' e di rotazione.

Al momento dell'accettazione dell'incarico, il personale incaricato dichiara di non trovarsi, per quanto a sua conoscenza, in una situazione di conflitto di interessi e si impegna a segnalare ogni sopravvenuta situazione di conflitto, anche potenziale.

Ai sensi dell'articolo 1, comma 8, lettera a), del decreto-legge, le autorita' competenti si raccordano, ove necessario per lo svolgimento delle verifiche e delle ispezioni, con le autorita' di cui all'articolo 7 del decreto legislativo 18 maggio 2018, n. 65, anche al fine di avvalersi di personale dipendente esperto nei settori di cui al medesimo decreto legislativo.

Attivita' di verifica e ispezione

Le ispezioni sono svolte anche successivamente alle verifiche qualora si ritenga necessario riscontrare le evidenze acquisite, oppure qualora le predette verifiche presentino elementi tali da richiedere un approfondimento.

Il responsabile del procedimento di cui all'articolo 15, comma 3, comunica ai soggetti di cui all'articolo 7, comma 1, della legge 7 agosto 1990, n. 241, inclusi nel perimetro, l'avvio del procedimento di verifica o di ispezione con le modalita' di cui all'articolo 8 della predetta legge, richiedendo le informazioni e la documentazione necessaria al fine dell'espletamento delle relative attivita'.

I soggetti destinatari della comunicazione di cui al comma 3 nominano un incaricato in possesso di professionalita' e di competenze nella materia della sicurezza cibernetica, quale unico referente per lo svolgimento delle attivita' di cui al comma 1, comunicandone il nominativo al responsabile del procedimento.

Il procedimento di verifica si conclude entro il termine di centoventi giorni dalla data della comunicazione di cui al comma 3.

Il procedimento di ispezione si conclude entro il termine di novanta giorni dalla data della comunicazione di cui al comma 3.

All'esito dell'attivita' di cui al comma 1, le autorita' competenti possono formulare specifiche prescrizioni a cui i soggetti inclusi nel perimetro devono attenersi. Il rispetto delle prescrizioni puo' essere oggetto di attivita' di verifica e ispezione.

Attivita' di verifica

Le verifiche sono effettuate mediante analisi e controllo documentale delle evidenze e di ogni altro elemento di fatto e di diritto, al fine di accertare l'adempimento degli obblighi previsti dal decreto-legge e dai relativi decreti attuativi.

Il procedimento di cui al comma 1 e' avviato secondo le modalita' di cui all'articolo 16, comma 3. I soggetti destinatari della comunicazione di cui al medesimo articolo 16, comma 3, rendono disponibile la documentazione richiesta ai fini delle attivita' di verifica di cui al comma 1, entro quindici giorni dalla ricezione della comunicazione.

Fatta salva l'applicazione delle sanzioni di cui all'articolo 1, comma 9, del decreto-legge, durante l'esecuzione delle attivita' di cui al comma 1, il responsabile del procedimento, qualora le evidenze risultino incomplete o incongruenti, puo' richiedere chiarimenti e integrazioni che sono resi entro dieci giorni dalla ricezione della richiesta, secondo le modalita' indicate dal richiedente.

Dell'attivita' svolta nel corso delle verifiche e' redatto apposito verbale che il personale incaricato trasmette al responsabile del procedimento.

Qualora nel corso della verifica vengano in rilievo evidenze di fatti che possono integrare violazioni di disposizioni normative rientranti nelle attribuzioni istituzionali di altre Amministrazioni, il personale incaricato ne da' conto nel verbale e l'autorita' competente trasmette senza ritardo alle Amministrazioni competenti la relativa documentazione.

Attivita' di ispezione

Per lo svolgimento delle attivita' di cui al comma 1, il personale incaricato puo' richiedere o eventualmente acquisire direttamente tutte le evidenze ritenute utili ai fini dell'accertamento.

In mancanza della proposta di cui alla lettera a) del comma 4, le date delle ispezioni si intendono confermate.

Almeno cinque giorni prima dell'ispezione prevista, il soggetto sottoposto alla stessa comunica il nominativo dell'incaricato di cui all'articolo 16, comma 4.

Durante il corso dell'ispezione, i soggetti inclusi nel perimetro mettono a disposizione tutte le risorse umane richieste e necessarie per agevolare le relative attivita', garantendo altresi' l'accesso ai locali, ai dispositivi e alle informazioni rilevanti ai fini dell'ispezione, anche se non esplicitamente e preventivamente indicati nella comunicazione di cui all'articolo 16, comma 3.

Qualora durante il corso dell'ispezione emergano evidenze meritevoli di approfondimento, le stesse possono essere esaminate in una fase successiva.

Dell'attivita' svolta nel corso dell'ispezione e' redatto apposito processo verbale da parte del personale incaricato che lo sottoscrive unitamente all'incaricato di cui all'articolo 16, comma 4. Qualora quest'ultimo si rifiuti di sottoscrivere il verbale, il personale incaricato ne da' evidenza nel verbale. Una copia del verbale e' comunque rilasciata all'incaricato di cui all'articolo 16, comma 4, e una copia e' trasmessa al responsabile del procedimento.

Qualora nel corso dell'ispezione vengano in rilievo evidenze di fatti che possono integrare violazioni di disposizioni normative rientranti nelle attribuzioni istituzionali di altre Amministrazioni, il personale incaricato ne da' conto nel verbale e l'autorita' competente trasmette senza ritardo alle Amministrazioni competenti la relativa documentazione.

Esiti delle attivita'
di verifica e di ispezione

L'autorita' competente, raccolti gli esiti delle attivita' di cui all'articolo 16, adotta il provvedimento di conclusione del procedimento, impartendo, se necessario, specifiche prescrizioni ai sensi dell'articolo 1, comma 6, lettera c), del decreto-legge e dandone comunicazione all'interessato. Nei casi previsti, l'autorita' competente avvia il procedimento per l'applicazione delle sanzioni di cui all'articolo 1, comma 9, del decreto-legge.

Dall'attuazione del presente decreto non devono derivare nuovi o maggiori oneri per la finanza pubblica e le amministrazioni pubbliche interessate vi provvedono con le risorse umane, finanziarie e strumentali disponibili a legislazione vigente.