L’impatto della normativa sul perimetro di sicurezza cibernetica sugli acquisti di beni e servizi ICT per la P.A. [L. 18 novembre 2019 n. 133]

di Giulia Campo -

Il 21 settembre 2019 è stato approvato il D.L. n. 105/2019, convertito con modificazioni dalla L. 18 novembre 2019 n. 133, che ha introdotto nel nostro ordinamento il perimetro di sicurezza cibernetica, con l’obiettivo di assicurare un elevato livello di sicurezza delle reti e dei sistemi informativi ed informatici, sia delle P.A. che degli enti ed operatori privati aventi sede nel territorio nazionale.
Il legislatore ha preso atto dell’importanza che reti e servizi informativi rivestono nello svolgimento di attività e nella prestazione di servizi sociali ed economici, che potrebbero essere danneggiati da malfunzionamenti, interruzioni ed utilizzi impropri.
I principali attori del perimetro di sicurezza sono gli enti pubblici e privati e le pubbliche amministrazioni e gli organismi a cui sono affidati specifici compiti di vigilanza. Tra questi, ad esempio il Centro di Valutazione e Certificazione Nazionale (CVCN) e i Centri di Valutazione Accreditati presso il Ministero dell’Interno e della Difesa (CEVA).
Per le pubbliche amministrazioni, in particolare, la normativa introduce delle novità nell’ambito degli acquisti di beni e servizi informatici, destinati a essere impiegati sulle reti, sui sistemi informativi e per l’espletamento dei servizi informatici.
L’art. 1 comma 6 prevede infatti che, a seguito dell’emanazione di apposito regolamento, le pubbliche amministrazioni e le centrali di committenza che intendono acquistare beni e servizi ICT, destinati all’impiego sulle reti e sui sistemi informativi, ne diano comunicazione al Centro di Valutazione e Certificazione Nazionale (CVCN), istituito presso il Ministero dello sviluppo economico, indicando la valutazione del rischio associato all’oggetto della fornitura, anche in relazione all’ambito di impiego. Il CVCN può effettuare verifiche preliminari ed imporre condizioni e test sull’ hardware e sul software, nel termine di quarantacinque giorni dalla ricezione della comunicazione, prorogabile di quindici giorni, una sola volta, in caso di particolare complessità.
Decorso il termine di 45 giorni senza che il CVCN si sia pronunciato, l’ente che ha effettuato la comunicazione può proseguire nella procedura di affidamento.
Nell’ipotesi in cui, invece, il CVCN si esprima nel senso di imporre delle condizioni o dei test, sia per l’hardware che per il software, il bando di gara e il contratto dovranno contenere specifiche clausole che condizionano, sospensivamente o risolutivamente, il contratto al rispetto delle condizioni e all’esito favorevole dei test disposti dal CVCN, che devono comunque essere conclusi nel termine di sessanta giorni. Decorso tale termine, l’ente che ha effettuato la comunicazione può proseguire nella procedura di affidamento.
In deroga a quanto stabilito, la legge prevede espressamente che non sono oggetto di comunicazione gli affidamenti delle forniture di beni, sistemi e servizi ICT destinate alle reti, ai sistemi informativi e ai servizi informatici per lo svolgimento delle attività di prevenzione, accertamento e repressione dei reati.

DECRETO-LEGGE 21 settembre 2019, n. 105, convertito con modificazioni dalla L. 18 novembre 2019, n. 133