Consiglio di Stato, sez. C, parere definitivo 2021-10-01, n. 202101584

Numero 01584/2021 e data 01/10/2021 Spedizione

REPUBBLICA ITALIANA

Consiglio di Stato

Sezione Consultiva per gli Atti Normativi

Adunanza di Sezione del 7 settembre 2021

OGGETTO:

Presidenza del consiglio dei Ministri.

Schema di decreto del Presidente del Consiglio dei ministri recante regolamento in materia di accreditamento dei laboratori di prova e di raccordi tra Centro di Valutazione e Certificazione Nazionale, i laboratori di prova accreditati e i Centri di Valutazione del Ministero dell’interno e del Ministero della difesa, ai sensi dell’articolo 1, comma 7, lettera b), del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133.

LA SEZIONE

Vista la nota di trasmissione della relazione in data 6 agosto 2021 con la quale il Presidenza del consiglio dei ministri ha chiesto il parere del Consiglio di Stato sull'affare consultivo in oggetto;

Esaminati gli atti e udito il relatore, consigliere P A;

Premesso:

1. Lo schema di decreto, in attuazione dell’articolo 1, comma 7, lettera b ), del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, stabilisce i criteri per l’accreditamento dei laboratori di prova di cui il Centro di Valutazione e di Certificazione Nazionale (di seguito CVCN) può avvalersi per la verifica delle condizioni di sicurezza e dell’assenza di vulnerabilità note, nonché i raccordi, compresi i contenuti, le modalità e i termini delle comunicazioni fra il CVNC e i laboratori, e quelli tra il CVNC e i Centri di Valutazione del Ministero dell’interno e del Ministero della difesa (di seguito CV), anche al fine di assicurare il coordinamento delle rispettive attività.

2. Il decreto-legge n. 105/2019 (di seguito, decreto-legge) ha introdotto misure urgenti in materia di perimetro di sicurezza nazionale cibernetica e disposizioni normative riguardanti la disciplina dei poteri speciali nei settori di rilevanza strategica, dovendosi peraltro rammentare che l’attuazione della normativa sul perimetro di sicurezza nazionale cibernetica è demandata a quattro decreti del Presidente del Consiglio dei ministri e a un regolamento da emanare ai sensi dell’art. 17, comma 1, della legge 23 agosto 1988, n. 400. Nello specifico:

- il 21 ottobre 2020 è stato pubblicato nella Gazzetta Ufficiale il DPCM 30 luglio 2020, n. 131 che, in attuazione dell’art. 1, comma 2, lettere a) e b), del decreto-legge, definisce modalità e criteri procedurali per l’individuazione di soggetti inclusi nel perimetro, assieme ai criteri per la predisposizione e l’aggiornamento degli asset rilevanti (beni, sistemi informativi e servizi informatici) per l’esercizio di funzioni essenziali dello Stato;

- il 23 aprile 2021 è stato pubblicato il dPR 5 febbraio 2021, n. 54, che in attuazione dell’art. 1, comma 6, del decreto-legge, reca la definizione di procedure, modalità e termini con cui i soggetti inclusi nel perimetro e che intendano procedere all’affidamento di forniture di beni, sistemi e servizi ICT, ne danno comunicazione al Centro di Valutazione e Certificazione nazionale (CVCN), attualmente operante presso l’Agenzia per la cybersicurezza nazionale istituita con decreto-legge 14 giugno 2021, n. 82;

- l’11 giugno 2021 è stato pubblicato il dPCM 14 aprile 2021, n. 81, in materia di notifica degli incidenti e misure di sicurezza al CSIRT ( Computer Security Incident Response Team ), di cui all’art. 1, comma 2, lettera b ) e comma 3, del decreto-legge;

- il 15 giugno 2021 è stato adottato il decreto del Presidente del Consiglio dei ministri di cui all’articolo 1, comma 6, lettera a ), del decreto-legge, che individua sulla base di criteri eminentemente tecnici, le categorie di beni ICT.

3. Lo schema di decreto in esame si compone complessivamente di 22 articoli ed è suddiviso in 5 Capi, rubricati rispettivamente in “Definizioni, compiti del CVCN e aree di accreditamento” (Capo I); “Accreditamento dei laboratori di prova” (Capo II); “Accreditamento dei CV” (Capo III); “Raccordi con il CV” (Capo IV); “Notifica degli incidenti” (Capo V).

4. Lo schema di decreto è corredato della relazione illustrativa, dell’analisi tecnico-normativa nonché della dichiarazione di esenzione dall’AIR, formulata in conformità a quanto stabilito dall’art. 6, comma 1, lettera c), del decreto del Presidente del Consiglio dei ministri 15 settembre 2017, n. 169, che dispone l’esclusione dell’AIR per i provvedimenti normativi concernenti “disposizioni direttamente incidenti su interessi fondamentali in materia di sicurezza interna ed esterna dello Stato”. La relazione tecnica, pure allegata, attesta la neutralità finanziaria del regolamento, ma non risulta corroborata dalla verifica formale della Ragioneria Generale dello Stato.

Considerato:

1. Come già rilevato in altri pareri resi in materia da questa Sezione (n. 1664/2020 e n. 983/2020), la normativa primaria di riferimento presenta varie complessità nel suo compito di definizione del quadro normativo completo. Sia per tale ragione, sia per l’articolazione delle distinte fonti regolamentari, appena rammentate, va posta una cura particolare nel raccordo tra le norme.

In proposito, la Sezione rileva come già nei pareri sopra citati abbia sollecitato la Presidenza del Consiglio dei ministri, nel suo ruolo di sintesi e coordinamento, a procedere, alla fine del percorso attuativo, alla redazione di un “documento unitario”, con efficacia dichiarativa, che possa fornire un quadro attuativo chiaro e omogeneo per