Art. 3 Comunicazione di affidamento 1. I soggetti inclusi nel perimetro, prima dell'avvio delle procedure di affidamento ovvero, ove non siano previste, prima della conclusione dei contratti relativi alla fornitura di beni, sistemi e di servizi ICT di cui all'articolo 1, comma 6, lettera a), del decreto-legge, anche nel caso in cui tali procedure siano espletate attraverso le centrali di committenza, ne danno comunicazione al CVCN o ai CV. 2. La comunicazione e' trasmessa in via telematica al CVCN o ai CV per le valutazioni di rispettiva competenza del CVCN o dei CV. I dati contenuti nelle comunicazioni sono raccolti in archivi informatici istituiti presso le Amministrazioni nelle quali operano il CVCN e i CV, con risorse disponibili a legislazione vigente. 3. La comunicazione di cui al comma 1, oltre ai dati identificativi del soggetto incluso nel perimetro, contiene i seguenti elementi: a) la descrizione generale dell'oggetto della fornitura; b) l'impiego, ovvero la destinazione d'uso dell'oggetto della fornitura nell'ambito dei beni ICT di cui all'articolo 7 del DPCM; c) la categoria di appartenenza dell'oggetto della fornitura; d) le informazioni e i servizi che l'oggetto della fornitura deve trattare e le relative modalita' di gestione; e) le informazioni relative all'eventuale acquisizione mediante gli strumenti di cui all'articolo 1, comma 512, della legge 28 dicembre 2015, n. 208. 4. In aggiunta agli elementi di cui al comma 3, la comunicazione include il documento di analisi del rischio associato all'oggetto della fornitura, anche in relazione all'ambito di impiego. Il documento contiene la descrizione dei seguenti elementi: a) l'ambiente operativo dell'ambito di impiego specificando: 1. i componenti con i quali l'oggetto della fornitura interagisce e le configurazioni di tali componenti; 2. le eventuali misure di sicurezza esistenti di tipo fisico, tecnico, procedurale, relative al personale con indicazione delle eventuali certificazioni o verifiche eseguite; b) i requisiti di sicurezza che caratterizzano l'impiego dell'oggetto della fornitura, espressi in termini di capacita' di proteggere la disponibilita', l'integrita' e la riservatezza delle informazioni e i servizi di cui al comma 3, lettera d). 5. Con successivo atto del CVCN, da adottarsi entro sessanta giorni dalla data di entrata in vigore del presente decreto, sono definite le metodologie per la predisposizione del documento di analisi del rischio e per l'individuazione dei livelli di severita' dei test di cui all'articolo 5, comma 2. 6. Ai fini del comma 5, il CVCN, sulla base di standard tecnici di riferimento, tiene conto dell'impatto di violazioni intenzionali o accidentali sui requisiti di sicurezza, di cui alla lettera b) del comma 4, che determinano eventi di indisponibilita', malfunzionamento e compromissione della funzione essenziale o del servizio essenziale.