CVCN (Centro di Valutazione e Certificazione Nazionale)

Il Centro di Valutazione e Certificazione Nazionale (CVCN) è un organismo istituito nell'ambito del Perimetro di Sicurezza Nazionale Cibernetica (PSNC) e previsto dal D.L. n. 82 del 2021. È diventato pienamente operativo dal 1° luglio 2022 ed è collocato all'interno del Servizio Certificazione e Vigilanza dell'Agenzia per la Cybersicurezza Nazionale (ACN). L'operatività del CVCN rappresenta un elemento imprescindibile per la completa implementazione del Perimetro di Sicurezza Nazionale Cibernetica.

FAQ generata da AI

Il CVCN ha il compito di effettuare la valutazione di beni, sistemi e servizi ICT destinati ad essere impiegati su infrastrutture che supportano servizi o funzioni essenziali per lo Stato. Inoltre, è coinvolto nel processo relativo all'esercizio dei poteri speciali in ambito 5G (Golden Power), fornendo supporto tecnico sia nella fase istruttoria che nella fase di monitoraggio. Il Centro svolge anche funzioni di certificazione di sicurezza cibernetica, precedentemente attribuite al Ministero dello sviluppo economico, comprese quelle relative all'accertamento delle violazioni e all'irrogazione delle sanzioni.

FAQ generata da AI

Le funzioni, le attribuzioni e le responsabilità del CVCN sono regolate principalmente da due decreti attuativi del Perimetro di Sicurezza Nazionale Cibernetica: il Decreto del Presidente della Repubblica n. 54 del 5 Febbraio 2021 e il DPCM 15 giugno 2021. Inoltre, il trasferimento di funzioni dal Ministero dello sviluppo economico all'Agenzia per la Cybersicurezza Nazionale è stato formalizzato con il DPCM 15 giugno 2022, pubblicato in Gazzetta Ufficiale il 30 giugno 2022. Il CVCN opera anche nell'ambito del Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, che definisce il quadro europeo per la certificazione della cybersicurezza.

FAQ generata da AI

Il CVCN opera in un ecosistema che include i Centri di Valutazione (CV) presso i Ministeri della Difesa e dell'Interno, nonché una rete di Laboratori Accreditati di Prova (LAP) che supportano le attività di valutazione. L'ACN accredita le strutture specializzate del Ministero della difesa e del Ministero dell'interno quali organismi di valutazione della conformità per i sistemi di rispettiva competenza. Inoltre, l'ACN può delegare questi ministeri, attraverso le rispettive strutture accreditate, al rilascio del certificato europeo di sicurezza cibernetica.

FAQ generata da AI

I soggetti inclusi nel Perimetro di Sicurezza Nazionale Cibernetica devono adempiere a specifici obblighi nei confronti del CVCN, in particolare per quanto riguarda i processi di procurement relativi all'acquisizione di forniture di beni, sistemi e servizi ICT destinati a essere impiegati sui beni ICT in Perimetro. Dal 30 giugno 2022, questi soggetti hanno l'obbligo di comunicare al CVCN l'intenzione di acquisire tramite procedure di affidamento specifici beni ICT destinati agli asset Perimetro. Per supportare la corretta realizzazione di questi obblighi, i soggetti inclusi nel Perimetro ricevono apposite FAQ e linee guida, elaborate anche a seguito di confronti con diversi stakeholder.

FAQ generata da AI

Il processo di valutazione del CVCN non è una semplice certificazione di prodotto, ma una valutazione specifica per l'utilizzo in un determinato contesto. Quando un'azienda inclusa nel Perimetro decide di acquisire un prodotto ICT, deve comunicare questa intenzione al CVCN insieme a una valutazione del rischio. Il CVCN può quindi decidere di effettuare valutazioni sulla sicurezza del prodotto, e fino a quando non fornisce una risposta o non scadono i termini per il silenzio assenso, il processo di acquisizione rimane sostanzialmente bloccato. Nel 2022, il CVCN ha gestito 63 procedimenti: 38 sono stati chiusi autorizzando il soggetto a proseguire con le procedure d'acquisizione (fornendo raccomandazioni di sicurezza) e per 16 procedimenti il CVCN ha imposto l'esecuzione di test di sicurezza.

FAQ generata da AI

Il CVCN svolge un ruolo centrale nel contesto della certificazione europea della cybersicurezza, operando all'interno dell'ACN che è stata designata come Autorità nazionale di certificazione della cybersicurezza secondo il Regolamento (UE) 2019/881. L'ACN, attraverso il CVCN, rilascia i certificati con livello di affidabilità elevato tramite l'Organismo di Certificazione della Sicurezza Informatica (OCSI). L'adozione dello schema europeo di certificazione di prodotto per la cyber security (EUCC) basato sui Common Criteria rappresenta un passo importante per armonizzare le certificazioni a livello europeo, con il CVCN che avrà un ruolo chiave nell'implementazione di questo schema in Italia.

FAQ generata da AI

La rete di supporto al CVCN include i Laboratori Accreditati di Prova (LAP), regolamentati da un apposito decreto. Il sistema dei LAP è stato inserito all'interno di un percorso di potenziamento graduale che viene alimentato anche attraverso i fondi dedicati nell'ambito del PNRR. Il CVCN sta accreditando 34 laboratori esterni (Laboratori Accreditati di Prova), ai quali può demandare l'esecuzione di test di sicurezza. Inoltre, l'ACN ha acquisito dotazioni strumentali per i propri laboratori per eseguire test su software e apparati di rete, oltre a un primo laboratorio di elettronica per i test su dispositivi hardware.

FAQ generata da AI

Le prospettive future per il CVCN e la certificazione di cybersicurezza in Italia sono legate all'implementazione degli schemi europei di certificazione. Entro la fine del 2024, la catena del valore pensata per la certificazione e la valutazione dei prodotti ICT in ambito di cyber security in Italia dovrà essere pienamente operativa. L'adozione dello schema europeo di certificazione di prodotto (EUCC) rappresenta un passo importante in questa direzione. Inoltre, il recepimento della Direttiva NIS 2 rappresenterà l'ultimo passo verso la necessaria resilienza del sistema Paese. Un'altra prospettiva significativa è l'arrivo del Cyber Resilience Act, che prevede che tutti i prodotti con elementi digitali immessi sul mercato europeo debbano rispettare requisiti obbligatori di sicurezza informatica durante tutto il loro ciclo di vita.

FAQ generata da AI

Il CVCN dispone già di personale tecnico che sarà ulteriormente ampliato a seguito dell'esito positivo delle prove concorsuali. Nella prima fase di ampliamento, i profili di interesse sono rappresentati da figure prettamente tecniche destinate alle attività del CVCN, tra cui certificatori/ispettori, tecnici hardware e TLC, tecnici software e crittografi. Queste figure professionali sono essenziali per svolgere le complesse attività di valutazione e certificazione dei prodotti ICT, che richiedono competenze specialistiche in diversi ambiti della cybersicurezza.

FAQ generata da AI