Supporto alle attività del centro di valutazione e certificazione nazionale (CVCN) istituito presso il Mise

L’obiettivo generale del progetto tra la Direzione generale per le tecnologie delle comunicazioni e la sicurezza informatica – Istituto superiore delle comunicazioni e delle tecnologie dell’informazione (DGTCSI-ISCTI) del Ministero per lo sviluppo economico (MISE) e la FUB, è il supporto alle attività del Centro di Valutazione e Certificazione Nazionale (CVCN), istituito presso il MISE con il decreto-legge n.105 del 2019, convertito nella legge n.133 dello stesso anno. Il compito affidato al CVCN prevede la verifica delle condizioni di sicurezza e dell’assenza di vulnerabilità di beni, sistemi e servizi ICT destinati ad essere impiegati su infrastrutture che supportano la fornitura di servizi essenziali o di funzioni essenziali per lo Stato.

Le attività inquadrate all’interno di questo progetto consentono al MISE, e quindi allo Stato Italiano, di assicurare la sicurezza di reti, sistemi informativi e servizi informatici necessari allo svolgimento di funzioni o alla prestazione di servizi, dalla cui discontinuità possa derivare un pregiudizio alla sicurezza nazionale.

Nell’ambito delle attività del progetto, la Fondazione supporta la DGTCSI-ISCTI del MISE riguardo ai seguenti obiettivi:

• contribuire sin dalla fase di avvio all’operatività del CVCN, ai sensi del DL105/2019, convertito con modificazione nella L. 133/2019;
• supportare tecnicamente la DGTCSI-ISCTI anche nell’ambito di collaborazioni con Enti di ricerca e Università finalizzate allo sviluppo di tecniche e strumenti per l’operatività del CVCN;
• eseguire studi e approfondimenti relativamente a verifiche di sicurezza ICT di tipo software, firmware e hardware su prodotti, sistemi e servizi destinati agli asset critici individuati ai sensi DL105/2019, convertito con modificazioni nella L. 133/2019, anche con riferimento alle reti 5G;
• fornire assistenza e supporto tecnico alla DGTCSI-ISCTI per studi e approfondimenti relativi alle azioni previste nella Raccomandazione UE 2019/534;
• fornire assistenza e supporto tecnico alla DGTCSI-ISCTI relativamente alle azioni previste nel DL 15/3/2012 n. 21 (Golden Power) ed ai compiti affidati al CVCN;
• eseguire verifiche sperimentali su componenti hardware, per quanto riguarda sia la resistenza ad attacchi esterni che la ricerca di funzionalità non dichiarate;
• effettuare sperimentazioni in un contesto reale di rete 5G all’interno del laboratorio già operativo presso la DGTCSI-ISCTI;
• progettare e realizzare una piattaforma informatica per la gestione di un registro delle valutazioni e delle certificazioni nazionali, condiviso tra DGTCSI-ISCTI e gli altri soggetti istituzionali di cui al DL105/2019, convertito con modificazioni nella L. 133/2019.

Lo scenario normativo nel campo della cybersicurezza è stato rivisitato dopo l’avvio del progetto, con l’emanazione del decreto-legge 14 giugno 2021, n. 82 convertito nella legge 4 agosto 2021, n. 109, che ha definito l’architettura nazionale di cybersicurezza e istituito l’Agenzia per la cybersicurezza nazionale. Nel nuovo contesto il Centro di Valutazione e Certificazione Nazionale (CVCN) è trasferito presso l’Agenzia.