Art. 5 Verifiche preliminari, individuazione di condizioni e test 1. A seguito della comunicazione di cui all'articolo 3, il CVCN o i CV effettuano verifiche preliminari ed eventualmente richiedono al soggetto incluso nel perimetro le informazioni necessarie per assicurare la collaborazione ai fini dell'individuazione delle condizioni per il fornitore e della tipologia di test di hardware e di software da eseguire. In caso di incompletezza o incongruenza delle informazioni fornite dal soggetto incluso nel perimetro i termini di conclusione del procedimento sono sospesi, per una sola volta, fino al ricevimento delle informazioni richieste ai sensi degli articoli 2, comma 7, e 6, comma 1, lettera b), della legge 7 agosto 1990, n. 241. 2. Nell'individuazione dei test da eseguire, il CVCN e i CV tengono conto dell'analisi del rischio di cui all'articolo 3 e dei livelli di severita' determinati sulla base della metodologia di cui al comma 5 del medesimo articolo 3. 3. Il CVCN e i CV possono richiedere l'esecuzione delle seguenti tipologie di test: a) test di corretta implementazione delle funzionalita' di sicurezza allo scopo di verificare che queste ultime si comportino secondo le relative specifiche di progetto; b) test di intrusione a supporto dell'analisi di vulnerabilita'. 4. Con atto del CVCN, da adottarsi entro sessanta giorni dalla data di entrata in vigore del presente decreto e da aggiornarsi periodicamente, sono definiti i test corrispondenti ai livelli di severita' derivanti dall'analisi del rischio di cui all'articolo 3. 5. Nel caso di imposizione di test, il fornitore e' tenuto ad effettuare almeno le seguenti attivita' propedeutiche e indispensabili alla loro esecuzione: a) fornire evidenza dell'idoneita' delle funzioni di sicurezza e delle loro configurazioni a soddisfare i requisiti di sicurezza di cui all'articolo 3, comma 4, lettera b); b) provvedere all'allestimento di un ambiente di test adeguatamente rappresentativo della realta' di esercizio presso il laboratorio o, se necessario, presso il fornitore o presso il soggetto del perimetro; c) fornire una descrizione generale dell'architettura dell'oggetto di valutazione e delle sue funzioni; d) fornire una descrizione delle funzionalita' di sicurezza implementate nell'oggetto di valutazione; e) fornire una descrizione dei test funzionali e di sicurezza gia' eseguiti dal fornitore o dal produttore o da una parte terza, comprensivi dei relativi risultati. 6. Ai sensi dell'articolo 4, comma 3, il CVCN e i CV definiscono, con apposito provvedimento, da comunicarsi al soggetto incluso nel perimetro le eventuali ulteriori condizioni, i test da eseguire ed eventuali indicazioni per il supporto da parte del fornitore ai fini dell'integrazione nei bandi di gara o nei contratti con clausole che condizionano, sospensivamente ovvero risolutivamente, il contratto al rispetto delle condizioni e all'esito favorevole dei test. 7. Le centrali di committenza, ai fini della realizzazione degli strumenti di cui all'articolo 1, comma 512, della legge 28 dicembre 2015, n. 208, tengono conto, anche per le finalita' di cui all'articolo 31, comma 5, del decreto-legge 16 luglio 2020, n. 76, convertito, con modificazioni, dalla legge 11 settembre 2020, n. 120, delle previsioni di cui all'articolo 1, comma 6, del decreto-legge, e di cui al presente decreto, con riferimento alle acquisizioni di beni, sistemi e servizi ICT inclusi nelle categorie di cui all'articolo 1, lettera l), e di cui al capo III del presente decreto. Al fine dell'effettuazione di tali acquisizioni mediante i detti strumenti, i soggetti pubblici inclusi nel perimetro specificano, secondo quanto previsto nella relativa documentazione di gara e tenendo conto delle caratteristiche della specifica acquisizione, gli elementi relativi a condizioni e a test di cui al comma 6. Gli aggiudicatari assicurano il rispetto di dette previsioni. 8. Nei bandi di gara o nei contratti, i requisiti di sicurezza dell'oggetto di fornitura sono indicati dal soggetto incluso nel perimetro adottando se necessario le opportune cautele di riservatezza, anche nei casi in cui l'acquisizione avvenga attraverso le centrali di committenza. 9. Il soggetto incluso nel perimetro, successivamente all'aggiudicazione della gara o della stipula del contratto, comunica al CVCN o ai CV, in via telematica, i riferimenti del fornitore e ogni elemento utile ad individuare in modo univoco l'oggetto di fornitura.
Note all'art. 5: - Si riporta il testo degli articoli 2, comma 7, e 6, comma 1, lettera b), della legge 7 agosto 1990, n. 241 «Nuove norme in materia di procedimento amministrativo e di diritto di accesso ai documenti amministrativi»: «Art. 2 (Conclusione del procedimento). - (Omissis). 7. Fatto salvo quanto previsto dall'articolo 17, i termini di cui ai commi 2, 3, 4 e 5 del presente articolo possono essere sospesi, per una sola volta e per un periodo non superiore a trenta giorni, per l'acquisizione di informazioni o di certificazioni relative a fatti, stati o qualita' non attestati in documenti gia' in possesso dell'amministrazione stessa o non direttamente acquisibili presso altre pubbliche amministrazioni. Si applicano le disposizioni dell'articolo 14, comma 2. (Omissis).». «Art. 6 (Compiti del responsabile del procedimento). - 1. Il responsabile del procedimento: a) valuta, ai fini istruttori, le condizioni di ammissibilita', i requisiti di legittimazione ed i presupposti che siano rilevanti per l'emanazione di provvedimento; b) accerta di ufficio i fatti, disponendo il compimento degli atti all'uopo necessari, e adotta ogni misura per l'adeguato e sollecito svolgimento dell'istruttoria. In particolare, puo' chiedere il rilascio di dichiarazioni e la rettifica di dichiarazioni o istanze erronee o incomplete e puo' esperire accertamenti tecnici ed ispezioni ed ordinare esibizioni documentali; c) propone l'indizione o, avendone la competenza, indice le conferenze di servizi di cui all'articolo 14; d) cura le comunicazioni, le pubblicazioni e le notificazioni previste dalle leggi e dai regolamenti; e) adotta, ove ne abbia la competenza, il provvedimento finale, ovvero trasmette gli atti all'organo competente per l'adozione. L'organo competente per l'adozione del provvedimento finale, ove diverso dal responsabile del procedimento, non puo' discostarsi dalle risultanze dell'istruttoria condotta dal responsabile del procedimento se non indicandone la motivazione nel provvedimento finale.».