Art. 5
Verifiche preliminari, individuazione
di condizioni e test
1. A seguito della comunicazione di cui all'articolo 3, il CVCN o i
CV effettuano verifiche preliminari ed eventualmente richiedono al
soggetto incluso nel perimetro le informazioni necessarie per
assicurare la collaborazione ai fini dell'individuazione delle
condizioni per il fornitore e della tipologia di test di hardware e
di software da eseguire. In caso di incompletezza o incongruenza
delle informazioni fornite dal soggetto incluso nel perimetro i
termini di conclusione del procedimento sono sospesi, per una sola
volta, fino al ricevimento delle informazioni richieste ai sensi
degli articoli 2, comma 7, e 6, comma 1, lettera b), della legge 7
agosto 1990, n. 241.
2. Nell'individuazione dei test da eseguire, il CVCN e i CV tengono
conto dell'analisi del rischio di cui all'articolo 3 e dei livelli di
severita' determinati sulla base della metodologia di cui al comma 5
del medesimo articolo 3.
3. Il CVCN e i CV possono richiedere l'esecuzione delle seguenti
tipologie di test:
a) test di corretta implementazione delle funzionalita' di
sicurezza allo scopo di verificare che queste ultime si comportino
secondo le relative specifiche di progetto;
b) test di intrusione a supporto dell'analisi di vulnerabilita'.
4. Con atto del CVCN, da adottarsi entro sessanta giorni dalla data
di entrata in vigore del presente decreto e da aggiornarsi
periodicamente, sono definiti i test corrispondenti ai livelli di
severita' derivanti dall'analisi del rischio di cui all'articolo 3.
5. Nel caso di imposizione di test, il fornitore e' tenuto ad
effettuare almeno le seguenti attivita' propedeutiche e
indispensabili alla loro esecuzione:
a) fornire evidenza dell'idoneita' delle funzioni di sicurezza e
delle loro configurazioni a soddisfare i requisiti di sicurezza di
cui all'articolo 3, comma 4, lettera b);
b) provvedere all'allestimento di un ambiente di test
adeguatamente rappresentativo della realta' di esercizio presso il
laboratorio o, se necessario, presso il fornitore o presso il
soggetto del perimetro;
c) fornire una descrizione generale dell'architettura
dell'oggetto di valutazione e delle sue funzioni;
d) fornire una descrizione delle funzionalita' di sicurezza
implementate nell'oggetto di valutazione;
e) fornire una descrizione dei test funzionali e di sicurezza
gia' eseguiti dal fornitore o dal produttore o da una parte terza,
comprensivi dei relativi risultati.
6. Ai sensi dell'articolo 4, comma 3, il CVCN e i CV definiscono,
con apposito provvedimento, da comunicarsi al soggetto incluso nel
perimetro le eventuali ulteriori condizioni, i test da eseguire ed
eventuali indicazioni per il supporto da parte del fornitore ai fini
dell'integrazione nei bandi di gara o nei contratti con clausole che
condizionano, sospensivamente ovvero risolutivamente, il contratto al
rispetto delle condizioni e all'esito favorevole dei test.
7. Le centrali di committenza, ai fini della realizzazione degli
strumenti di cui all'articolo 1, comma 512, della legge 28 dicembre
2015, n. 208, tengono conto, anche per le finalita' di cui
all'articolo 31, comma 5, del decreto-legge 16 luglio 2020, n. 76,
convertito, con modificazioni, dalla legge 11 settembre 2020, n. 120,
delle previsioni di cui all'articolo 1, comma 6, del decreto-legge, e
di cui al presente decreto, con riferimento alle acquisizioni di
beni, sistemi e servizi ICT inclusi nelle categorie di cui
all'articolo 1, lettera l), e di cui al capo III del presente
decreto. Al fine dell'effettuazione di tali acquisizioni mediante i
detti strumenti, i soggetti pubblici inclusi nel perimetro
specificano, secondo quanto previsto nella relativa documentazione di
gara e tenendo conto delle caratteristiche della specifica
acquisizione, gli elementi relativi a condizioni e a test di cui al
comma 6. Gli aggiudicatari assicurano il rispetto di dette
previsioni.
8. Nei bandi di gara o nei contratti, i requisiti di sicurezza
dell'oggetto di fornitura sono indicati dal soggetto incluso nel
perimetro adottando se necessario le opportune cautele di
riservatezza, anche nei casi in cui l'acquisizione avvenga attraverso
le centrali di committenza.
9. Il soggetto incluso nel perimetro, successivamente
all'aggiudicazione della gara o della stipula del contratto, comunica
al CVCN o ai CV, in via telematica, i riferimenti del fornitore e
ogni elemento utile ad individuare in modo univoco l'oggetto di
fornitura.
Note all'art. 5:
- Si riporta il testo degli articoli 2, comma 7, e 6,
comma 1, lettera b), della legge 7 agosto 1990, n. 241
«Nuove norme in materia di procedimento amministrativo e di
diritto di accesso ai documenti amministrativi»:
«Art. 2 (Conclusione del procedimento). - (Omissis).
7. Fatto salvo quanto previsto dall'articolo 17, i
termini di cui ai commi 2, 3, 4 e 5 del presente articolo
possono essere sospesi, per una sola volta e per un periodo
non superiore a trenta giorni, per l'acquisizione di
informazioni o di certificazioni relative a fatti, stati o
qualita' non attestati in documenti gia' in possesso
dell'amministrazione stessa o non direttamente acquisibili
presso altre pubbliche amministrazioni. Si applicano le
disposizioni dell'articolo 14, comma 2.
(Omissis).».
«Art. 6 (Compiti del responsabile del procedimento).
- 1. Il responsabile del procedimento:
a) valuta, ai fini istruttori, le condizioni di
ammissibilita', i requisiti di legittimazione ed i
presupposti che siano rilevanti per l'emanazione di
provvedimento;
b) accerta di ufficio i fatti, disponendo il
compimento degli atti all'uopo necessari, e adotta ogni
misura per l'adeguato e sollecito svolgimento
dell'istruttoria. In particolare, puo' chiedere il rilascio
di dichiarazioni e la rettifica di dichiarazioni o istanze
erronee o incomplete e puo' esperire accertamenti tecnici
ed ispezioni ed ordinare esibizioni documentali;
c) propone l'indizione o, avendone la competenza,
indice le conferenze di servizi di cui all'articolo 14;
d) cura le comunicazioni, le pubblicazioni e le
notificazioni previste dalle leggi e dai regolamenti;
e) adotta, ove ne abbia la competenza, il
provvedimento finale, ovvero trasmette gli atti all'organo
competente per l'adozione. L'organo competente per
l'adozione del provvedimento finale, ove diverso dal
responsabile del procedimento, non puo' discostarsi dalle
risultanze dell'istruttoria condotta dal responsabile del
procedimento se non indicandone la motivazione nel
provvedimento finale.».