Art. 3
Comunicazione di affidamento
1. I soggetti inclusi nel perimetro, prima dell'avvio delle
procedure di affidamento ovvero, ove non siano previste, prima della
conclusione dei contratti relativi alla fornitura di beni, sistemi e
di servizi ICT di cui all'articolo 1, comma 6, lettera a), del
decreto-legge, anche nel caso in cui tali procedure siano espletate
attraverso le centrali di committenza, ne danno comunicazione al CVCN
o ai CV.
2. La comunicazione e' trasmessa in via telematica al CVCN o ai CV
per le valutazioni di rispettiva competenza del CVCN o dei CV. I dati
contenuti nelle comunicazioni sono raccolti in archivi informatici
istituiti presso le Amministrazioni nelle quali operano il CVCN e i
CV, con risorse disponibili a legislazione vigente.
3. La comunicazione di cui al comma 1, oltre ai dati identificativi
del soggetto incluso nel perimetro, contiene i seguenti elementi:
a) la descrizione generale dell'oggetto della fornitura;
b) l'impiego, ovvero la destinazione d'uso dell'oggetto della
fornitura nell'ambito dei beni ICT di cui all'articolo 7 del DPCM;
c) la categoria di appartenenza dell'oggetto della fornitura;
d) le informazioni e i servizi che l'oggetto della fornitura deve
trattare e le relative modalita' di gestione;
e) le informazioni relative all'eventuale acquisizione mediante
gli strumenti di cui all'articolo 1, comma 512, della legge 28
dicembre 2015, n. 208.
4. In aggiunta agli elementi di cui al comma 3, la comunicazione
include il documento di analisi del rischio associato all'oggetto
della fornitura, anche in relazione all'ambito di impiego. Il
documento contiene la descrizione dei seguenti elementi:
a) l'ambiente operativo dell'ambito di impiego specificando:
1. i componenti con i quali l'oggetto della fornitura
interagisce e le configurazioni di tali componenti;
2. le eventuali misure di sicurezza esistenti di tipo fisico,
tecnico, procedurale, relative al personale con indicazione delle
eventuali certificazioni o verifiche eseguite;
b) i requisiti di sicurezza che caratterizzano l'impiego
dell'oggetto della fornitura, espressi in termini di capacita' di
proteggere la disponibilita', l'integrita' e la riservatezza delle
informazioni e i servizi di cui al comma 3, lettera d).
5. Con successivo atto del CVCN, da adottarsi entro sessanta giorni
dalla data di entrata in vigore del presente decreto, sono definite
le metodologie per la predisposizione del documento di analisi del
rischio e per l'individuazione dei livelli di severita' dei test di
cui all'articolo 5, comma 2.
6. Ai fini del comma 5, il CVCN, sulla base di standard tecnici di
riferimento, tiene conto dell'impatto di violazioni intenzionali o
accidentali sui requisiti di sicurezza, di cui alla lettera b) del
comma 4, che determinano eventi di indisponibilita', malfunzionamento
e compromissione della funzione essenziale o del servizio essenziale.