Art. 4
Procedimento di verifica
e valutazione
1. Il CVCN o i CV, secondo le rispettive competenze stabilite
nell'articolo 1, comma 6, del decreto-legge, svolgono il procedimento
di verifica e valutazione dell'analisi documentale contenuta nella
comunicazione di cui all'articolo 3.
2. Il procedimento si articola in:
a) verifiche preliminari di cui all'articolo 5;
b) fase di preparazione all'esecuzione dei test, di cui
all'articolo 6;
c) esecuzione dei test di hardware e di software di cui
all'articolo 7.
3. All'esito delle verifiche e dei test di cui al comma 2, il CVCN
o i CV, con apposito provvedimento, definiscono eventuali condizioni
e test di hardware e di software da inserire nelle clausole del bando
di gara o del contratto, di cui all'articolo 5, nonche' eventuali
prescrizioni di utilizzo al soggetto incluso nel perimetro, di cui
all'articolo 8.
4. Le attivita' di cui alla lettera a) del comma 2 sono svolte
entro il termine di quarantacinque giorni dalla comunicazione di cui
all'articolo 3, prorogabile una sola volta di quindici giorni nei
casi di particolare complessita', nell'ipotesi in cui l'oggetto di
valutazione:
a) sia costituito da beni, sistemi e servizi ICT integrati tra di
loro;
b) sia basato su tecnologie di recente sviluppo per le quali non
si dispone di metodologie di test consolidate;
c) interagisce con componenti che erogano altre funzioni
essenziali o servizi essenziali.
5. Le attivita' di cui alla lettera c) del comma 2 si concludono
entro sessanta giorni a partire dalla data in cui il soggetto incluso
nel perimetro comunica che l'oggetto della valutazione e' reso
fisicamente disponibile per i test al CVCN o ai CV secondo le
condizioni individuate ai sensi dell'articolo 5, commi 5 e 6.
6. Decorsi i termini di cui al comma 4 senza che il CVCN o i CV si
siano pronunciati, i soggetti inclusi nel perimetro possono
proseguire nella procedura di affidamento. Decorsi i termini di cui
al comma 5, senza che il CVCN o i CV si siano pronunciati, i soggetti
inclusi nel perimetro possono proseguire l'esecuzione del contratto.
7. Ai fini dello svolgimento delle attivita' di cui al comma 2,
lettera c), il CVCN puo' avvalersi di LAP e si coordina, ove
previsto, con i centri di valutazione del Ministero dell'Interno e
del Ministero della Difesa, ai sensi dell'articolo 1, comma 7,
lettera b), del decreto-legge.
8. Il CVCN condivide con i CV e i LAP le metodologie per
l'effettuazione dei test ai sensi del decreto del Presidente del
Consiglio dei ministri adottato in attuazione dell'articolo 1, comma
7, lettera b), del decreto-legge. Il CVCN, i CV e i LAP assicurano,
anche con strumenti adeguati, la riservatezza di tali metodologie.
9. Gli atti del procedimento di verifica e valutazione sono
adottati nel rispetto dell'esigenza di tutela della sicurezza
nazionale per le finalita' di cui all'articolo 1, comma 1, del
decreto-legge.
Note all'art. 4:
- Si riporta il testo dell'art. 1, comma 1 del citato
decreto-legge 21 settembre 2019, n. 105, convertito con
modificazioni, dalla legge 18 novembre 2019, n. 133
«Disposizioni urgenti in materia di perimetro di sicurezza
nazionale cibernetica e di disciplina dei poteri speciali
nei settori di rilevanza strategica»:
«Art. 1 (Perimetro di sicurezza nazionale
cibernetica). - 1. Al fine di assicurare un livello elevato
di sicurezza delle reti, dei sistemi informativi e dei
servizi informatici delle amministrazioni pubbliche, degli
enti e degli operatori pubblici e privati aventi una sede
nel territorio nazionale, da cui dipende l'esercizio di una
funzione essenziale dello Stato, ovvero la prestazione di
un servizio essenziale per il mantenimento di attivita'
civili, sociali o economiche fondamentali per gli interessi
dello Stato e dal cui malfunzionamento, interruzione, anche
parziali, ovvero utilizzo improprio, possa derivare un
pregiudizio per la sicurezza nazionale, e' istituito il
perimetro di sicurezza nazionale cibernetica.
(Omissis).».