1. Ai fini del presente decreto si intende per:

a) decreto-legge, il decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133;

b) perimetro, il perimetro di sicurezza nazionale cibernetica istituito ai sensi dell'articolo 1, comma 1, del decreto-legge;

c) soggetti inclusi nel perimetro, i soggetti inseriti nell'elenco di cui all'articolo 1, comma 2-bis, del decreto-legge;

d) DPR, il decreto del Presidente della Repubblica 5 febbraio 2021, n. 54, di cui all'articolo 1, comma 6, del decreto-legge;

e) rete, sistema informativo:

1) una rete di comunicazione elettronica ai sensi dell'articolo 2, comma 1, lettera vv), del decreto legislativo 1° agosto 2003, n. 259;

2) qualsiasi dispositivo o gruppo di dispositivi interconnessi o collegati, uno o più dei quali eseguono, in base ad un programma, un trattamento automatico di dati digitali, ivi inclusi i sistemi di controllo industriale;

3) i dati digitali conservati, trattati, estratti o trasmessi per mezzo di reti o dispositivi di cui ai numeri 1) e 2), per il loro funzionamento, uso, protezione e manutenzione, compresi i programmi di cui al numero 2);

f) servizio informatico, un servizio consistente interamente o prevalentemente nel trattamento di informazioni, per mezzo della rete e dei sistemi informativi, ivi incluso quello di cloud computing di cui all'articolo 3, comma 1, lettera aa), del decreto legislativo 18 maggio 2018, n. 65;

g) bene ICT (information and communication technology), un insieme di reti, sistemi informativi e servizi informatici, o parti di essi, di qualunque natura, considerato unitariamente ai fini dello svolgimento di funzioni essenziali dello Stato o per l'erogazione di servizi essenziali, ai sensi dell'articolo 7 del decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131, recante il regolamento di cui all'articolo 1, comma 2, del decreto-legge;

h) categorie, le tipologie di beni, sistemi o servizi ICT destinati ad essere impiegati sui beni ICT individuate dal decreto del Presidente del Consiglio dei ministri 15 giugno 2021, sulla base di criteri tecnici di cui all'articolo 13 del DPR, la cui acquisizione è subordinata alla valutazione del CVCN o dei CV, ai sensi dell'articolo 1, comma 6, lettera a), del decreto-legge;

i) oggetto della fornitura, bene, sistema o servizio ICT appartenente alle categorie che il soggetto incluso nel perimetro intende acquisire, destinato all'impiego sui beni ICT individuati ai sensi dell'articolo 7 del decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131;

l) Agenzia, l'Agenzia per la cybersicurezza nazionale, istituita a tutela degli interessi nazionali nel campo della cybersicurezza, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico, con decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109;

m) CVCN, il Centro di Valutazione e Certificazione Nazionale di cui all'articolo 1, comma 6, lettera a), del decreto-legge, come modificato dal decreto-legge 14 giugno 2021, n. 82, che opera secondo modalità, termini e procedure definiti nel DPR;

n) CV, i Centri di Valutazione del Ministero dell'interno e del Ministero della difesa di cui all'articolo 1, comma 6, lettera a), del decreto-legge;

o) oggetto della valutazione, l'oggetto della fornitura sottoposto al procedimento di valutazione da parte del CVCN o dei CV secondo modalità, termini e procedure definiti nel DPR;

p) fornitore, persona fisica o giuridica che fornisce l'oggetto della fornitura destinato alle reti, ai sistemi informativi e ai servizi informatici di cui all'articolo 1, comma 2, lettera b), del decreto-legge;

q) LAP, laboratorio di prova che ha ottenuto l'accreditamento dal CVCN ai sensi dell'articolo 1, comma 7, lettera b), del decreto-legge;

r) accreditamento, il riconoscimento formale dell'indipendenza, affidabilità e competenza tecnica di un laboratorio di prova o CV, ai fini dell'esecuzione dei test di cui all'articolo 5, comma 3, del DPR, secondo le pertinenti modalità di cui all'articolo 7 del medesimo DPR;

s) determinazione tecnica del CVCN, documento elaborato dal CVCN, concordato con i CV per gli aspetti di loro competenza, contenente regole, requisiti, specifiche tecniche, procedure per l'accreditamento dei laboratori di prova e il raccordo tra il CVCN, i LAP e i CV;

t) rapporto di prova, documento su cui sono registrati gli esiti analitici e le informazioni necessarie all'interpretazione dei risultati dei test eseguiti, redatto in conformità alle prescrizioni della norma EN ISO/IEC 17025;

u) rapporto di valutazione, documento redatto dal CVCN e dai CV sulla base del rapporto di prova di cui all'articolo 8, commi 1 e 2, del DPR;

v) responsabile del laboratorio di prova, la persona che ha la responsabilità e l'autorità definite per l'esecuzione di tutte le operazioni gestionali e tecniche relative alle funzioni per cui il laboratorio di prova è accreditato;

z) responsabile del sistema di gestione per la qualità, la persona che ha la responsabilità e l'autorità definite per garantire che il sistema di gestione per la qualità sia attuato, seguito e migliorato in modo continuativo;

aa) responsabile per i rapporti con il CVCN, la persona che ha la responsabilità e l'autorità definite per curare i rapporti con il CVCN;

bb) richiedente, il soggetto che ha presentato domanda per l'accreditamento di un laboratorio di prova;

cc) amministrazione pubblica, amministrazione pubblica individuata nell'elenco di cui all'articolo 1, comma 3, della legge 31 dicembre 2009, n. 196;

dd) titolare di un laboratorio di prova, la persona fisica o giuridica che, quale proprietario, o nell'esercizio d'impresa o in base a ogni altro titolo, eserciti il controllo o la gestione del laboratorio;

ee) verifica, attività di analisi e controllo documentale delle evidenze al fine di accertare il rispetto e il mantenimento dei requisiti necessari per l'accreditamento;

ff) ispezione, attività di tipo ricognitivo e valutativo che si articola nell'analisi, rilevazione, acquisizione e verifica di conformità di elementi di fatto al fine di accertare il rispetto e il mantenimento dei requisiti necessari per l'accreditamento;

gg) incidente, ogni evento di natura accidentale o intenzionale che determina il malfunzionamento, l'interruzione, anche parziali, ovvero l'utilizzo improprio delle reti, dei sistemi informativi o dei servizi informatici;

hh) CSIRT Italia, il Computer security incident response team istituito ai sensi dell'articolo 8 del decreto legislativo 18 maggio 2018, n. 65.

1. Il presente decreto, in attuazione dell'articolo 1, comma 7, lettera b), del decreto-legge, definisce:

a) le procedure, le modalità ed i termini da seguire per l'accreditamento dei CV e dei laboratori di prova, ciascuno nell'ambito delle rispettive competenze, in ordine all'esecuzione dei test di cui all'articolo 5, comma 3, del DPR, secondo le pertinenti modalità di cui all'articolo 7 del medesimo DPR;

b) le procedure, le modalità ed i termini da seguire in ordine alla gestione dei raccordi del CVCN con i LAP e i CV, anche al fine di assicurare il coordinamento delle rispettive attività e perseguire la convergenza e la non duplicazione delle valutazioni in presenza di medesime condizioni e livelli di rischio.

1. L'organismo di accreditamento è il CVCN, che opera in conformità ai requisiti della norma UNI CEI EN ISO/IEC 17011 - «Valutazione della conformità - Requisiti per gli organismi di accreditamento che accreditano organismi di valutazione della conformità».

1. Ai fini del presente decreto il CVCN:

a) accredita i laboratori di prova, in possesso dei requisiti di cui agli articoli 8 e 9, per l'esecuzione dei test di cui all'articolo 5, comma 3, del DPR;

b) intraprende iniziative al fine di garantire il mantenimento del livello di qualità dei LAP e la corretta attuazione delle determinazioni tecniche di cui alla lettera e), delle specifiche tecniche e della redazione dei rapporti di prova;

c) stabilisce le metodologie di test di cui all'articolo 5, comma 4, del DPR;

d) vigila sull'attività dei LAP nel corso delle attività di test effettuando verifiche intermedie o a campione per la verifica del mantenimento dei requisiti di accreditamento;

e) adotta, in conformità e in attuazione di quanto previsto dal presente regolamento, specifiche determinazioni tecniche, assicurandone, nell'ambito delle proprie competenze, il rispetto e curandone l'aggiornamento. In particolare, tali determinazioni definiscono:

1) i requisiti tecnici e logistici, tra cui quelli relativi alla dotazione strumentale per l'esecuzione dei test e alla protezione degli ambienti di test;

2) le specifiche misure di sicurezza informatica;

3) i requisiti di competenza ed esperienza necessari per l'accreditamento dei laboratori di prova ivi comprese le modalità di redazione del curriculum professionale da presentare nella domanda di accreditamento;

4) le aree di accreditamento di cui all'articolo 7;

5) i test da eseguire di cui all'articolo 5, comma 3, del DPR;

6) le attività relative all'esecuzione dei test soggette al divieto di divulgazione di cui all'articolo 13, comma 2;

7) le modalità di notifica delle limitazioni di operatività superiori a 24 ore di cui all'articolo 13, comma 1, lettera f);

8) le modalità tecniche per l'applicazione dei raccordi di cui all'articolo 21 tra il CVCN e i CV, concordandoli con questi ultimi per gli aspetti di loro competenza;

9) le modalità esecutive delle comunicazioni con i LAP e i termini tecnici e organizzativi mediante i quali i raccordi trovano effettiva applicazione di cui all'articolo 21;

f) cura i raccordi con i LAP e i CV, anche al fine di assicurare il coordinamento delle rispettive attività e perseguire la convergenza e la non duplicazione delle valutazioni in presenza di medesime condizioni e livelli di rischio;

g) redige e aggiorna periodicamente la lista dei beni, sistemi e servizi ICT oggetto di valutazione, per i quali sia stato emesso un rapporto di prova;

h) gestisce la piattaforma informatica di cui all'articolo 6, commi 1 e 6, del DPR, anche ai fini di cui all'articolo 21, in particolare per la conservazione e condivisione:

1) di un elenco dei LAP contenente il nominativo del responsabile del laboratorio di prova, del responsabile del sistema di gestione per la qualità e del responsabile per i rapporti con il CVCN, nonchè la durata e l'area dell'accreditamento;

2) della documentazione di sintesi relativa ai rapporti di prova.

1. Per le finalità di cui al presente decreto è istituita presso il CVCN una commissione di accreditamento, con compiti consultivi, composta dal presidente designato dall'Agenzia e da due rappresentanti designati, rispettivamente, dal Ministero dell'interno e dal Ministero della difesa, in possesso di competenze tecnico-specialistiche nel campo della certificazione di processo e della sicurezza informatica. Il CVCN assicura le attività di segreteria e di supporto per il funzionamento della commissione.

2. La commissione di accreditamento esprime i pareri obbligatori previsti dagli articoli 12, 15 e 16.

3. Per la partecipazione alla commissione di accreditamento non sono previsti gettoni di presenza, compensi o rimborsi di spese.

1. Per la verifica della sussistenza e del mantenimento dei requisiti di cui all'articolo 9, commi 1, 2, 3 e 6, il CVCN può richiedere di effettuare i necessari riscontri alle Forze di polizia di cui all'articolo 16 della legge 1° aprile 1981, n. 121, le quali operano nell'ambito delle autonome competenze istituzionali loro attribuite dalla normativa vigente.

1. I laboratori di prova sono accreditati per una o più aree, indicate dal CVCN con la determinazione tecnica di cui all'articolo 4, comma 1, lettera e), numero 4), in relazione alle categorie, alle tipologie e ai livelli di severità dei test individuati dal CVCN. I

laboratori di prova indicano le aree per cui chiedono di essere accreditati nella domanda di cui agli articoli 10 e 11.

1. Possono richiedere l'accreditamento le amministrazioni pubbliche e gli enti pubblici, nonchè i soggetti privati aventi sede legale nel territorio nazionale, iscritti, ove previsto dalla normativa vigente, nel registro delle imprese della Camera di commercio, industria, artigianato e agricoltura, titolari di un laboratorio di prova.

2. Ai sensi dell'articolo 1, comma 7, lettera b), del decreto-legge i laboratori istituiti presso le amministrazioni centrali dello Stato, accreditati secondo le modalità di cui agli articoli 11 e 12, possono, su incarico del CVCN, eseguire i test su oggetti di fornitura in acquisizione presso le medesime amministrazioni.

3. Ai fini dell'accreditamento, il richiedente deve essere in possesso dei seguenti requisiti:

a) disponibilità sul territorio nazionale di locali e mezzi adeguati nei quali verranno svolte le funzioni per le quali il laboratorio di prova sarà accreditato in conformità all'articolo 4, comma 1, lettera e), numero 1);

b) conoscenze, competenze ed esperienza necessarie per l'esercizio delle funzioni connesse all'accreditamento, in conformità all'articolo 4, comma 1, lettera e), numero 3);

c) rispondenza ai criteri specificati nelle norme relative alla gestione dei laboratori di test e alla gestione dei dati UNI CEI EN ISO/IEC 17025, UNI CEI EN ISO/IEC 27001 e nelle determinazioni tecniche di cui all'articolo 4, comma 1, lettera e);

d) capacità di mantenere nel tempo i requisiti in virtù dei quali sono stati accreditati;

e) capacità di attuare le misure di sicurezza indicate nella determinazione tecnica di cui all'articolo 4, comma 1, lettera e), numero 2);

4. Ai fini dell'accreditamento dei laboratori di prova di cui sono titolari soggetti privati, è altresì valutato il possesso della capacità di garantire imparzialità, indipendenza, riservatezza e obiettività nello svolgimento delle funzioni connesse all'accreditamento.

1. Ai fini dell'accreditamento dei laboratori di prova, il legale rappresentante del laboratorio di prova, nonchè il responsabile del laboratorio di prova, il responsabile del sistema di gestione per la qualità, il responsabile per i rapporti con il CVCN, il responsabile della sicurezza e il personale chiamato a svolgere le attività per le quali il laboratorio di prova può essere accreditato che comportano l'accesso alle informazioni di cui all'articolo 13, comma 2, devono possedere la cittadinanza italiana e rispetto ai medesimi non deve ricorrere una delle seguenti circostanze:

a) stato di interdizione, inabilitazione, fallimento;

b) condanna, con sentenza anche non definitiva, o decreto penale di condanna o sentenza di applicazione della pena su richiesta ai sensi dell'articolo 444 del codice di procedura penale per uno dei seguenti reati:

1) delitti, consumati o tentati, indicati all'articolo 80, comma 1, del codice dei contratti pubblici di cui al decreto legislativo 18 aprile 2016, n. 50;

2) delitti, consumati o tentati, previsti dal Libro II, Titolo I, del codice penale;

3) delitti, consumati o tentati, di cui agli articoli 615-bis, 615-ter, 615-quater, 615-quinquies, 616, 617, 617-bis, 617-ter, 617-quater, 617-quinquies, 617-sexies, 617-septies 618, 619, 620, 621, 622, 623, 623-bis del codice penale;

4) ogni altro delitto da cui derivi, quale pena accessoria, l'interdizione dai pubblici uffici o l'interdizione dagli uffici direttivi delle persone giuridiche e delle imprese o l'incapacità di contrarre con la pubblica amministrazione;

c) sussistenza di cause di decadenza, di sospensione o di divieto previste dall'articolo 67 del decreto legislativo 6 settembre 2011, n. 159, e di un tentativo di infiltrazione mafiosa di cui all'articolo 84, comma 4, del medesimo decreto.

2. Relativamente ai laboratori di prova di cui all'articolo 10 costituisce motivo ostativo all'accreditamento l'applicazione all'ente delle sanzioni amministrative di cui al Capo I, Sezione III, del decreto legislativo 8 giugno 2001, n. 231.

3. Ferma restando la previsione di cui al comma 4, non può essere riconosciuto l'accreditamento al laboratorio:

a) che interviene direttamente nella progettazione, fabbricazione, costruzione, commercializzazione, installazione, utilizzo o manutenzione di beni, sistemi o servizi ICT rientranti nelle categorie o i cui dirigenti o personale sono il progettista, il fabbricante, il fornitore, l'installatore, l'acquirente, il proprietario, il rappresentante autorizzato o l'utente dei beni, sistemi o servizi ICT stessi;

b) appartenente a un'associazione d'imprese o ad una federazione professionale che rappresenta imprese coinvolte nella progettazione, nella fabbricazione, nella fornitura di beni, sistemi o servizi ICT rientranti nelle categorie;

c) che, singolarmente o in quanto componente di consorzio, eserciti un controllo, diretto o indiretto, anche congiuntamente, su un soggetto o un'associazione di imprese o una federazione professionale che rappresenta imprese coinvolte nella progettazione, nella fabbricazione, nella fornitura di beni, sistemi o servizi ICT rientranti nelle categorie;

d) sottoposto al controllo, diretto o indiretto, anche congiuntamente, da parte di un altro soggetto, singolo o componente di consorzio che rappresenta imprese coinvolte nella progettazione, nella fabbricazione, nella fornitura di beni, sistemi o servizi ICT rientranti nelle categorie;

e) sottoposto al controllo, diretto o indiretto, anche congiuntamente, da parte di un soggetto che a sua volta controlla, anche in via indiretta e/o congiunta, un altro partecipante, singolo o componente di consorzio coinvolto nella progettazione, nella fabbricazione, nella fornitura di beni, sistemi o servizi ICT rientranti nelle categorie.

4. Le disposizioni di cui al comma 3 non si applicano ai laboratori di prova aventi sede nel territorio nazionale e di cui sono titolari soggetti inclusi nel perimetro. Le attività svolte da detti laboratori non possono in ogni caso riguardare beni, sistemi e servizi ICT prodotti, forniti o acquisiti dal soggetto stesso ai sensi dell'articolo 1, comma 6, lettera a), del decreto-legge, nonchè beni, sistemi e servizi ICT prodotti, forniti o acquisiti da soggetti operanti nell'ambito del medesimo settore di attività.

5. Non è in ogni caso consentito l'accreditamento ove sussistano motivi ostativi inerenti alla sicurezza della Repubblica.

6. Ai fini di cui al comma 5 è oggetto di valutazione, tra l'altro, se il soggetto privato richiedente sia controllato, direttamente o indirettamente, da persone fisiche o giuridiche, incluse amministrazioni pubbliche, che abbiano la residenza, la dimora abituale, la sede legale o dell'amministrazione ovvero il centro di attività principale fuori dal territorio della Repubblica ovvero sia direttamente o indirettamente sottoposto all'influenza di dette persone fisiche o giuridiche, anche attraverso l'erogazione di finanziamenti consistenti.

1. La domanda di accreditamento, nel caso in cui titolare del laboratorio di prova sia un soggetto privato, deve essere firmata dal legale rappresentante con firma elettronica qualificata e inviata al CVCN tramite posta elettronica certificata, o altro servizio elettronico di recapito certificato qualificato, corredata dei seguenti elementi:

a) numero di iscrizione, ove prevista, al registro imprese della Camera di commercio, industria, artigianato e agricoltura e visura camerale storica o altro documento attestante l'identità giuridica del laboratorio di prova;

b) denominazione o ragione sociale del laboratorio di prova;

c) indirizzo della sede del laboratorio di prova in cui vengono eseguite le prove;

d) identificazione del legale rappresentante del laboratorio di prova;

e) nome, cognome, curriculum professionale redatto secondo quanto previsto dalla determinazione tecnica di cui all'articolo 4, comma 1, lettera e), numero 3), e certificato del casellario giudiziale e dei carichi pendenti del responsabile del laboratorio di prova, del responsabile del sistema di gestione per la qualità, del responsabile per i rapporti con il CVCN e del responsabile della sicurezza;

f) nome, cognome, curriculum professionale redatto secondo quanto previsto dalla determinazione tecnica di cui all'articolo 4, comma 1, lettera e), numero 3), e certificato del casellario giudiziale e dei carichi pendenti del personale coinvolto nelle attività di valutazione del laboratorio di prova e che sarà autorizzato ad accedere alle informazioni, necessarie per lo svolgimento delle stesse attività, individuate nella determinazione tecnica di cui all'articolo 4, comma 1, lettera e), numero 6);

g) sulla base delle prescrizioni contenute nella determinazione tecnica di cui all'articolo 4, comma 1, lettera e):

1) area di accreditamento di cui all'articolo 7, per la quale il laboratorio di prova chiede di essere accreditato, con riferimento al numero 4) dell'articolo 4, comma 1, lettera e);

2) descrizione dei requisiti tecnici e logistici, con riferimento al numero 1) dell'articolo 4, comma 1, lettera e);

3) descrizione delle conoscenze, competenze ed esperienza in possesso del personale assegnato alle attività di esecuzione dei test, con riferimento al numero 3) dell'articolo 4, comma 1, lettera e);

4) indicazione delle misure di sicurezza attuate, con riferimento al numero 2) dell'articolo 4, comma 1, lettera e);

h) impegno sottoscritto di non divulgazione di quanto oggetto di comunicazione, formale e informale, con il CVCN e delle informazioni di carattere tecnico-scientifico concernenti le metodologie di test, le specifiche tecniche e l'elaborazione dei rapporti di prova, con riferimento all'articolo 4, comma 1, lettera e), numero 6). L'atto di non divulgazione prevede l'indicazione del personale del richiedente che potrà avere accesso alle informazioni strettamente necessarie all'espletamento della procedura di accreditamento. L'atto contiene altresì una clausola penale relativa all'importo che il richiedente è tenuto a corrispondere in caso di violazione degli impegni assunti.

i) manuale della qualità che descrive la rispondenza ai criteri specificati nelle norme relative alla gestione dei laboratori di prova e alla gestione dei dati UNI CEI EN ISO/IEC 17025, UNI CEI EN ISO/IEC 27001;

l) dichiarazione di assunzione dell'impegno al pagamento delle spese di istruttoria calcolate sulla base di quanto previsto dall'articolo 19;

m) dichiarazione di assunzione di responsabilità per la corretta esecuzione dei test definiti dalla determinazione tecnica del CVCN di cui all'articolo 4, comma 1, lettera e), numero 5);

n) dichiarazione attestante il possesso dei requisiti soggettivi e la non sussistenza dei motivi ostativi di cui all'articolo 9;

o) estremi della polizza di assicurazione per la responsabilità civile con massimale non inferiore a euro 2.500.000,00, per ogni anno e per ogni sinistro, per rischi derivanti dall'esercizio dell'attività professionale.

2. La domanda e le relative dichiarazioni che attestano il possesso dei requisiti di cui al comma 1 sono sottoscritte ai sensi e per gli effetti di quanto previsto dal decreto del Presidente della Repubblica 28 dicembre 2000, n. 445.

1. La domanda di accreditamento del laboratorio di prova istituito presso una amministrazione o ente pubblico deve essere firmata dal dirigente responsabile, con firma elettronica qualificata, inviata al CVCN tramite posta elettronica certificata, o altro servizio elettronico di recapito certificato qualificato, corredata delle seguenti informazioni:

a) documentazione attestante l'identità giuridica del laboratorio di prova e comprovante l'appartenenza ad una amministrazione o ente pubblico;

b) identificazione del responsabile del laboratorio di prova;

c) denominazione o ragione sociale del laboratorio di prova;

d) indirizzo della sede del laboratorio di prova in cui vengono eseguite le prove;

e) nome, cognome, curriculum professionale redatto secondo quanto previsto dalla determinazione tecnica di cui all'articolo 4, comma 1, lettera e), numero 3), e certificato del casellario giudiziale e dei carichi pendenti del responsabile del laboratorio di prova, del responsabile del sistema di gestione per la qualità, del responsabile per i rapporti con il CVCN e dal responsabile della sicurezza;

f) nome, cognome, curriculum professionale redatto secondo quanto previsto dagli atti di cui all'articolo 4, comma 1, lettera e), relativi alle competenze e certificato del casellario giudiziale e dei carichi pendenti del personale coinvolto nelle attività di test del laboratorio di prova e che sarà autorizzato ad accedere alle informazioni, necessarie per lo svolgimento delle stesse attività, individuate nella determinazione tecnica di cui all'articolo 4, comma 1, lettera e), numero 6;

g) sulla base delle prescrizioni contenute nelle determinazioni tecniche di cui all'articolo 4, comma 1, lettera e):

1) area di accreditamento di cui all'articolo 7, per la quale il laboratorio di prova chiede di essere accreditato con riferimento al numero 4) dell'articolo 4, comma 1, lettera e);

2) descrizione dei requisiti tecnici e logistici, con riferimento al numero 1) dell'articolo 4, comma 1, lettera e);

3) descrizione delle conoscenze, competenze ed esperienza in possesso del personale assegnato alle attività di esecuzione dei test, con riferimento al numero 3) dell'articolo 4, comma 1, lettera e);

4) indicazione delle misure di sicurezza attuate, con riferimento al numero 2) dell'articolo 4, comma 1, lettera e);

h) impegno sottoscritto di non divulgazione di quanto oggetto di comunicazione, formale e informale, con il CVCN e delle informazioni di carattere tecnico-scientifico concernenti le metodologie di test, le specifiche tecniche e l'elaborazione dei rapporti di prova, con riferimento all'articolo 4, comma 1, lettera e), numero 6). L'atto di non divulgazione prevede l'indicazione del personale del richiedente che potrà avere accesso alle informazioni strettamente necessarie all'espletamento della procedura di accreditamento. L'atto contiene altresì una clausola penale relativa all'importo che il richiedente è tenuto a corrispondere in caso di violazione degli impegni assunti;

i) manuale della qualità che descrive la rispondenza ai criteri specificati nelle norme relative alla gestione dei laboratori di prova e alla gestione dei dati UNI CEI EN ISO/IEC 17025, UNI CEI EN ISO/IEC 27001;

l) dichiarazione di assunzione dell'impegno al pagamento delle spese di istruttoria calcolate sulla base di quanto previsto dall'articolo 19;

m) dichiarazione di assunzione di responsabilità per la corretta esecuzione dei test definiti dalle determinazioni tecniche del CVCN

di cui all'articolo 4, comma 1, lettera e);

n) indicazione delle misure di sicurezza attuate ai sensi della determinazione tecnica di cui all'articolo 4, comma 1, lettera e), numero 4);

o) garanzia della tutela da responsabilità civile del personale nell'esercizio delle funzioni.

2. La domanda e le relative dichiarazioni che attestano il possesso dei requisiti a corredo di cui al comma 1 sono sottoscritte ai sensi e per gli effetti di quanto previsto dal decreto del Presidente della Repubblica 28 dicembre 2000, n. 445.

1. La procedura di accreditamento si articola nelle seguenti fasi:

a) verifiche e adempimenti preliminari:

1) ricevuta la domanda di accreditamento, il CVCN verifica la completezza della documentazione presentata dal richiedente rispetto agli elementi indicati dagli articoli 9, 10 e 11;

2) nel caso in cui la documentazione risulti incompleta il CVCN ne dà comunicazione al laboratorio di prova assegnando un termine al fine di provvedere alle eventuali integrazioni. Nel caso in cui il laboratorio di prova non fornisca riscontro entro tale termine o comunque in caso di perdurante incompletezza della documentazione il CVCN comunica al richiedente i motivi ostativi all'accoglimento dell'istanza ai sensi dell'articolo 10-bis della legge 7 agosto 1990, n. 241;

3) in caso di esito positivo della verifica di completezza della documentazione, il CVCN trasmette al richiedente un elenco dei test corrispondenti all'area o alle aree di accreditamento indicate nella domanda e richiede, assegnando un termine per l'adempimento, di confermare la capacità di effettuare in tutto o in parte detti test e di indicare le modalità a tal fine seguite dal laboratorio di prova;

4) ricevuto riscontro dal richiedente in relazione a quanto previsto al numero 3) il CVCN conferisce l'incarico per le verifiche di cui alle lettere b) e c) del presente comma a personale dell'Agenzia in possesso di specifiche competenze tecnico-specialistiche nel campo della certificazione di processo e della sicurezza informatica;

b) verifica tecnico documentale:

1) il personale incaricato esamina il manuale della qualità e la documentazione tecnica e trasmette al CVCN il rapporto di verifica contenente gli esiti delle attività eseguite;

2) nel caso in cui, sulla base del rapporto di verifica, il CVCN ritenga necessarie integrazioni o modifiche del manuale e dei relativi documenti tecnici, ne dà comunicazione al laboratorio di prova assegnando un termine per la revisione della documentazione. Il laboratorio di prova, ricevuta la comunicazione, effettua le modifiche necessarie del manuale e della relativa documentazione o, in alternativa, può richiedere di ridurre l'area di accreditamento. Nel caso in cui il laboratorio di prova non fornisca riscontro entro il termine stabilito o comunque nel caso in cui il laboratorio di prova non proceda alle modifiche richieste il CVCN comunica al richiedente i motivi ostativi all'accoglimento dell'istanza ai sensi dell'articolo 10-bis della legge 7 agosto 1990, n. 241;

3) nel caso in cui il CVCN valuti con esito positivo la documentazione di cui ai punti 1) e 2), ne dà comunicazione al laboratorio di prova, fornendo contestualmente le indicazioni per lo svolgimento della visita ispettiva presso la sede del laboratorio di prova ai fini della verifica dell'effettiva conformità ai requisiti previsti e della capacità del laboratorio di eseguire i test per i quali ha richiesto l'accreditamento, ai sensi della lettera c);

c) visita ispettiva e verifica della capacità tecnica del laboratorio di prova:

1) il personale incaricato effettua una verifica presso il laboratorio di prova al fine di accertare il possesso dei requisiti di cui all'articolo 8 e la conformità rispetto a quanto descritto nelle determinazioni tecniche di cui all'articolo 4, comma 1, lettera e), e, infine, richiede al laboratorio di effettuare uno o più test e di produrre il relativo rapporto di prova;

2) all'esito della visita ispettiva il personale incaricato redige un processo verbale sottoscritto unitamente al rappresentante legale del laboratorio di prova, al responsabile del laboratorio di prova ed al responsabile del sistema di gestione per la qualità. Qualora il rappresentante legale del laboratorio di prova rifiuti di sottoscrivere il processo verbale, il personale incaricato ne dà evidenza nel rapporto riportando le motivazioni del diniego. Una copia del verbale è sempre rilasciata al rappresentante legale del laboratorio di prova;

3) il personale incaricato trasmette al CVCN il processo verbale corredato di tutta la documentazione prodotta o acquisita nel corso delle attività svolte;

4) qualora, sulla base del processo verbale, il CVCN valuti con esito negativo la capacità tecnica del laboratorio di prova, il CVCN comunica i motivi ostativi all'accoglimento dell'istanza ai sensi dell'articolo 10-bis della legge 7 agosto 1990, n. 241;

d) parere della commissione di accreditamento:

1) all'esito delle fasi di cui alle lettere a), b) e c), il CVCN inoltra alla commissione di accreditamento, ai fini della formulazione del parere di cui all'articolo 5, comma 2, tutta la documentazione relativa alla domanda presentata ed alle verifiche svolte, ivi comprese quelle espletate ai sensi dell'articolo 6. Entro 30 giorni dalla ricezione di detta documentazione la commissione di accreditamento esprime un parere in merito all'idoneità del richiedente ad effettuare i compiti previsti dall'accreditamento, nonchè sugli eventuali motivi ostativi di cui all'articolo 9, comma 6, e lo trasmette al CVCN;

e) rilascio o diniego dell'accreditamento:

1) il CVCN, acquisito il parere della commissione di accreditamento, in caso di valutazione positiva, rilascia al richiedente il certificato di accreditamento, che ha durata triennale ed è rinnovabile. In caso di valutazione negativa il CVCN comunica al laboratorio di prova richiedente un motivato diniego all'accoglimento dell'istanza ai sensi dell'articolo 10-bis della legge 7 agosto 1990, n. 241;

2) il certificato di accreditamento riporta il nome e l'indirizzo dell'organizzazione accreditata, nonchè l'area di accreditamento.

2. Qualora, in qualunque fase del procedimento, il laboratorio di prova comunichi di rinunciare all'accreditamento o non fornisca riscontro alle richieste nei termini previsti, il CVCN procede all'archiviazione dell'istanza.

3. Il CVCN conclude la procedura di accreditamento entro 180 giorni dalla ricezione della domanda di accreditamento.

4. Nei casi di cui al comma 1, lettera a), numeri 2) e 3), lettera b), numero 2), lettera c), numero 4), e lettera e), numero 1), il termine di cui al comma 3 è sospeso fino all'acquisizione della documentazione richiesta.

1. Ai fini del mantenimento dell'accreditamento, i LAP sono tenuti a:

a) operare sulla base di quanto previsto nelle determinazioni tecniche di cui all'articolo 4, comma 1, lettera e);

b) informare tempestivamente il CVCN di qualsiasi variazione concernente le informazioni presentate a corredo della domanda di accreditamento quali variazioni dell'assetto societario, del personale autorizzato ad accedere alle informazioni, necessarie per lo svolgimento delle attività di test del laboratorio di prova, individuate nella determinazione tecnica di cui all'articolo 4, comma 1, lettera e), numero 5), della sede del laboratorio di prova, nonchè di elementi che comportano l'emissione di una nuova versione del manuale della qualità;

c) trasmettere il rapporto di prova al CVCN entro i termini fissati;

d) svolgere le attività connesse all'accreditamento esclusivamente presso la sede collocata sul territorio nazionale e indicata nella domanda di accreditamento;

e) assicurare adeguata formazione al proprio personale ai fini del rispetto dell'impegno di non divulgazione di cui agli articoli 10, comma 1, lettera h), e 11, comma 1, lettera h);

f) fermo restando quanto previsto all'articolo 22, dare comunicazione al CVCN e all'eventuale CV interessato, qualora il LAP abbia trattato dati o sistemi inerenti quest'ultimo, di ogni limitazione della operatività superiore a 24 ore, entro le successive 24 ore. Le modalità di notifica saranno indicate nelle determinazioni tecniche di cui all'articolo 4, comma 1, lettera e).

2. E' fatto obbligo a coloro che ne vengano a conoscenza nell'ambito dello svolgimento delle attività per le quali il laboratorio di prova è accreditato, quale dovere inerente alla funzione o al servizio, di non rivelare a terzi, direttamente o indirettamente, informazioni, cognizioni, documenti, esperienze tecnico-industriali e dati tecnici relativi alle suddette attività. Al fine di assicurare il rispetto dell'obbligo di cui al presente comma e dell'impegno di non divulgazione di cui agli articoli 10, comma 1, lettera h), e 11, comma 1, lettera h), il LAP adotta adeguate misure di sicurezza ed esercita opportune attività di vigilanza.

1. Il CVCN dispone l'effettuazione di verifiche con cadenza periodica al massimo ogni 18 mesi, per la verifica del mantenimento dei requisiti di accreditamento.

2. Il CVCN può effettuare visita ispettiva a campione per la verifica del soddisfacimento delle condizioni per il mantenimento dell'accreditamento.

3. Il CVCN, con almeno due mesi di anticipo rispetto alla data fissata, comunica al LAP la data programmata per la visita ispettiva di vigilanza, richiedendo un'eventuale integrazione della documentazione qualora siano intervenute variazioni che abbiano comportato la necessità della revisione della documentazione di sistema.

4. Il personale incaricato, dopo aver effettuato la verifica della documentazione, effettua l'ispezione presso il LAP al fine di valutarne i requisiti previsti.

5. Al termine dell'ispezione il personale incaricato trasmette al CVCN il rapporto di verifica relativo al mantenimento dei requisiti del LAP con riferimento all'area di accreditamento.

6. Nel caso in cui la verifica effettuata dal personale incaricato dia esito positivo il CVCN comunica il risultato al LAP.

7. Nel caso in cui la verifica effettuata dal personale incaricato dia esito negativo, il CVCN comunica il risultato al LAP, fissando eventualmente modalità e termini per la rimozione delle non conformità come indicato nell'articolo 15.

1. Qualora sia dimostrato il mancato rispetto degli obblighi di cui all'articolo 13 e di cui all'articolo 22, il CVCN, sentita la commissione di accreditamento, intima al LAP non più conforme di porre in essere, entro il termine di 10 giorni, le misure necessarie ai fini del superamento delle difformità riscontrate. Qualora entro il termine fissato il laboratorio non abbia apportato le richieste azioni correttive, l'accreditamento è sospeso. Decorsi tre mesi dalla disposizione della sospensione senza che siano state rimosse le difformità, l'accreditamento è revocato.

2. In caso di non conformità riguardante gli obblighi di cui alla lettera a), con riferimento alle misure di sicurezza indicate dal CVCN, e alle lettere c) e f) del comma 1 dell'articolo 13, nonchè l'obbligo di cui al comma 1 dell'articolo 22, il CVCN, sentita la commissione di accreditamento, può disporre con provvedimento motivato la revoca dell'accreditamento.

1. Entro sei mesi antecedenti la scadenza del certificato di accreditamento, il LAP può presentare al CVCN richiesta di rinnovo dell'accreditamento per un ulteriore triennio, eventualmente integrando la documentazione qualora siano intervenute variazioni che abbiano comportato la necessità della revisione della documentazione.

2. Il CVCN esamina la domanda e dispone una visita ispettiva per la verifica della sussistenza dei requisiti richiesti per l'accreditamento. Nel caso in cui il personale incaricato esprima avviso favorevole, il CVCN, sentita la commissione accreditamento, rilascia il certificato di rinnovo dell'accreditamento.

3. Nel caso in cui il personale incaricato non esprima avviso favorevole, il CVCN comunica il risultato al LAP, fissando modalità e termini per la rimozione delle non conformità riscontrate, ove eliminabili.

4. In caso di non conformità non eliminabili, sentita la commissione accreditamento, il CVCN non rinnova l'accreditamento.

1. Il LAP può presentare domanda di estensione dell'accreditamento ad altre aree, in coincidenza con il termine di cui all'articolo 14, comma 1, ed in fase di rinnovo di cui all'articolo 16. L'istanza è considerata alla stregua di una domanda di accreditamento con l'esclusione delle verifiche di cui all'articolo 12, comma 1, lettera a).

2. Il LAP può chiedere di ridurre la portata dell'area di accreditamento di cui all'articolo 7.

1. I LAP sono responsabili delle loro attività, dei risultati delle prove che hanno effettuato e dei rapporti di prova che hanno rilasciato.

1. L'accreditamento e la vigilanza effettuati dal CVCN avvengono a titolo oneroso. Ai fini del calcolo dei relativi compensi, nelle more dell'adozione di una specifica determinazione tecnica adottata dall'Agenzia in attuazione del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, si applica l'articolo 3 del decreto del Ministero delle comunicazioni 15 febbraio 2006, pubblicato nella Gazzetta ufficiale n. 82 del 7 aprile 2006, recante individuazioni delle prestazioni, eseguite dal Ministero delle comunicazioni per conto terzi, ai sensi dell'articolo 6 del decreto legislativo 30 dicembre 2003, n. 366.

2. Copia della attestazione del versamento deve essere trasmessa al CVCN.

1. Ai fini del presente decreto, i CV sono accreditati, ai sensi dell'articolo 1, commi 6, lettera a), e 7, lettera b), del decreto-legge, per la verifica delle condizioni di sicurezza e dell'assenza di vulnerabilità note relativamente alle forniture di beni, sistemi e servizi ICT da impiegare sulle reti, sui sistemi informativi e sui servizi informatici, individuati ai sensi dell'articolo 1, comma 2, lettera b), del decreto-legge, dei rispettivi Ministeri, conformemente alle metodologie di verifica e di test definite dal CVCN.

2. Il CVCN procede all'accreditamento dei CV sulla base della comunicazione effettuata, tramite posta elettronica certificata, o altro servizio elettronico di recapito certificato qualificato, dai Ministeri dell'interno e della difesa, ciascuno nell'ambito di rispettiva competenza.

3. Ai fini dell'accreditamento, il CV emette una dichiarazione di conformità ai requisiti di cui all'articolo 8, comma 3, ed ai requisiti soggettivi di cui all'articolo 9, comma 1, e comunica al CVCN:

a) l'indirizzo della sede del laboratorio in cui verranno eseguite le prove;

b) la direzione generale/ente presso cui è istituito il CV;

c) il manuale della qualità e le misure di sicurezza attuate, con riferimento all'articolo 4, comma 1, lettera e), numero 2).

1. Il CVCN assicura i raccordi con:

a) i CV, per verificare se l'oggetto di fornitura è stato già sottoposto a precedenti valutazioni o se sono in corso valutazioni con l'obiettivo di assicurare il coordinamento delle attività e garantire la massima convergenza e non duplicazione delle valutazioni in presenza di medesime condizioni e livelli di rischio. I CV e il CVCN alimentano e consultano la piattaforma informatica di cui all'articolo 4, comma 1, lettera h), conformemente alle modalità indicate dall'articolo 6 del DPR;

b) i LAP, per affidare l'esecuzione dei test di cui all'articolo 5, comma 3, del DPR al LAP o ai LAP, nei casi in cui il CVCN intenda avvalersene ai sensi dell'articolo 4, comma 7, del medesimo DPR. Il CVCN e i LAP si raccordano secondo le modalità di cui all'articolo 7 del DPR;

c) i CV e i LAP, per affidare l'esecuzione dei test al LAP o ai LAP nei casi in cui i CV ritengano di non poter svolgere autonomamente i test di cui all'articolo 5, comma 3, del DPR. In tal caso, i CV comunicano l'esigenza al CVCN, fornendo le necessarie informazioni, tra cui quelle relative ai LAP di cui intendono avvalersi. Il CVCN affida, ai sensi dell'articolo 6, comma 4, lettera a), del DPR, l'esecuzione dei test al LAP o ai LAP indicati dai CV e comunica l'avvio dei test al soggetto incluso nel perimetro e al fornitore. L'esecuzione dei test avviene conformemente all'articolo 7 del DPR. Al termine dei test il LAP o i LAP incaricati trasmettono al CVCN, previa verifica ed eventuale espunzione da parte del CV richiedente in caso di esistenza di dati non divulgabili ai fini della tutela della sicurezza nazionale, il rapporto di prova entro i termini fissati dall'articolo 7, comma 7, del DPR. Il CVCN inserisce la documentazione di sintesi relativa ai rapporti di prova nella piattaforma informatica di cui all'articolo 4, comma 1, lettera h). I CV redigono il rapporto di valutazione conformemente all'articolo 8 del DPR.

2. Il CVCN assicura i raccordi di cui al comma 1 attraverso la piattaforma informatica di cui all'articolo 4, comma 1, lettera h).

3. Il CVCN, con la determinazione tecnica di cui all'articolo 4, comma 1, lettera e), numero 8), disciplina le modalità esecutive delle comunicazioni con i CV ed i termini tecnici ed organizzativi mediante i quali i raccordi trovano effettiva applicazione. Il CVCN con la determinazione tecnica di cui all'articolo 4, comma 1, lettera e), numero 9), disciplina le modalità esecutive delle comunicazioni con i LAP ed i termini tecnici ed organizzativi mediante i quali i raccordi trovano effettiva applicazione.

4. Le determinazioni tecniche di cui all'articolo 4, comma 1, lettera e), sono aggiornati ogni qualvolta l'evoluzione delle valutazioni e delle prove lo richiede.

l. Il CVCN, i CV e i LAP, al verificarsi di un incidente sulle reti, sui sistemi informativi e sui servizi informatici di pertinenza deputati allo svolgimento delle funzioni oggetto dell'accreditamento, in termini di compromissione della integrità o riservatezza dei dati e delle informazioni trattati, procedono alla notifica al CSIRT Italia secondo le modalità indicate dal CSIRT stesso entro il termine di sei ore dal momento in cui sono venuti a conoscenza dell'incidente.

2. Qualora il CVCN, i CV o i LAP vengano a conoscenza di nuovi elementi significativi, tra cui le specifiche vulnerabilità sfruttate, la rilevazione di eventi comunque correlati all'incidente oggetto di notifica, ovvero gli indicatori di compromissione (IOC) rilevati, la notifica di cui al comma l è integrata tempestivamente dal momento in cui ne sono venuti a conoscenza, salvo che l'autorità giudiziaria procedente abbia previamente comunicato la sussistenza di specifiche esigenze di segretezza investigativa.

3. Su richiesta del CSIRT Italia, il CVCN, i CV o i LAP che hanno proceduto a effettuare una notifica ai sensi dei commi 1 e 2 provvedono, secondo le modalità indicate dal CSIRT stesso, ed entro sei ore dalla richiesta, a effettuare un aggiornamento della notifica, salvo che l'autorità giudiziaria procedente abbia previamente comunicato la sussistenza di specifiche esigenze di segretezza investigativa.

4. I CV e i LAP assicurano che dell'avvenuta notifica sia fornita notizia al CVCN, nonchè, nel caso di notifica da parte del LAP, all'eventuale CV interessato, qualora i LAP abbiano trattato dati o sistemi inerenti a quest'ultimo.

l. Dall'attuazione del presente decreto non devono derivare nuovi o maggiori oneri a carico della finanza pubblica. L'Agenzia provvede con le risorse umane, strumentali e finanziarie previste a legislazione vigente.

Il presente decreto, munito del sigillo dello Stato, sarà inserito nella Raccolta ufficiale degli atti normativi della Repubblica italiana. E' fatto obbligo a chiunque spetti di osservarlo e di farlo osservare.

Roma, 18 maggio 2022

Il Presidente: DRAGHI

Visto, il Guardasigilli: CARTABIA

Registrato alla Corte dei conti l'11 luglio 2022

Ufficio di controllo sugli atti della Presidenza del Consiglio, del Ministero della giustizia e del Ministero degli affari esteri, reg.ne n. 1785