Certificazione cybersicurezza e obbligo di SOA per bonus 110%

Disposizioni che interessano l’Infrastruttura per la Qualità:

  • Quadro di certificazione della cybersicurezza – Schema D.Lgs. di attuazione del Cybersecurity Act
  • Obbligo di SOA per bonus 110% – Legge di conversione del DL 21/2022

 


Schema di D.Lgs. “Quadro di certificazione della cybersicurezza” – attuazione del titolo III del Regolamento UE 2019/881


Dando seguito all’art. 18 della Legge di delegazione europea 2019-2020, il Governo ha predisposto uno schema di D.Lgs. l’Atto Governo n. 388, per l’attuazione del Titolo III del Regolamento UE 2019/881 (Cybersecurity Act): “Quadro di certificazione della cybersicurezza”. Attualmente lo schema è all’esame del Parlamento per i pareri, che potranno o meno essere accolti dal Governo prima della stesura del provvedimento definitivo.

Il provvedimento:

  1. individua nella neo costituita Agenzia per la Cybersicurezza Nazionale (ACN) l’Autorità nazionale di certificazione della cybersicurezza in Italia
  2. individua in Accredia l’Ente per l’accreditamento degli organismi di certificazione e i laboratori coinvolti nel sistema di verifiche della cybersicurezza dei prodotti, sistemi e processi ICT
  3. definisce l’organizzazione dell’Agenzia in base ai compiti e ai poteri a essa attribuiti in materia di vigilanza in ambito nazionale e di rilascio dei certificati di cybersicurezza, con riferimento al quadro europeo di certificazione
  4. definisce le modalità di svolgimento delle attività di vigilanza dell’Agenzia
  5. definisce le modalità di cooperazione dell’Autorità con le altre Autorità pubbliche nazionali ed europee e con l’Organismo di accreditamento
  6. definisce un sistema sanzionatorio applicabile in caso di violazione delle norme del quadro europeo di certificazione con sanzioni effettive, proporzionate e dissuasive

Il provvedimento non interviene laddove sono state emanate disposizioni specifiche per le attività nel settore della pubblica sicurezza, della difesa, della sicurezza nazionale e per le attività dello Stato nell’ambito del diritto penale. Lo schema integra il contenuto del Titolo III del Regolamento, richiedendo perciò una lettura congiunta con il Regolamento stesso, e rinvia a un successivo provvedimento dell’Agenzia la definizione dell’organizzazione e le procedure per lo svolgimento dei compiti quale Autorità nazionale di certificazione della cybersicurezza.

Lo schema di D.Lgs. e il Regolamento prevedono tre livelli di affidabilità dei sistemi ICT: “di base”, “sostanziale” o “elevato”. Il livello di affidabilità è commisurato al livello del rischio associato al previsto uso del prodotto, servizio o processo ICT, in termini di probabilità e impatto di un incidente:

  • Rischio basso: il produttore deve dimostrare le misure prese per garantire la cybersicurezza per il livello di rischio basso
  • Rischio sostanziale: la certificazione, svolta da organismi accreditati, interviene a garanzia della cybersicurezza per i prodotti, servizi e sistemi ICT che presentano un livello di rischio sostanziale
  • Rischio elevato: l’ Agenzia per la Cybersicurezza Nazionale deve intervenire direttamene nell’accertamento delle garanzie di cybersicurezza per prodotti, servizi e processi ICT con rischio elevato. L’Autorità interviene anche, in determinati casi giustificati, in certificazioni in cui il livello di affidabilità richiesto per l’oggetto della certificazione sia sostanziale.

L’organismo che, all’interno della struttura di Agenzia per la Cybersicurezza Nazionale, si occuperà delle certificazioni di competenza dell’Agenzia, dovrà avere completa autonomia rispetto alle strutture dell’Agenzia che si occupano di vigilanza e dovrà essere accreditato da Accredia.

Il coinvolgimento degli organismi accreditati nella gestione della cybersicurezza definito nello schema di D.Lgs. “Quadro di certificazione della cybersicurezza” testimonia la riconosciuta attitudine del sistema volontario e privato della valutazione della conformità accreditata a cooperare proficuamente con la Pubblica Amministrazione.

Il Provvedimento si inserisce nel quadro delle misure di attuazione della Strategia nazionale di cybersicurezza 2022-2026, varata il 18 maggio dal Comitato Interministeriale per la Cybersicurezza, che prevede di sviluppare un ambiente digitale sicuro anche grazie alla partnership tra imprese pubbliche e private, guidate da una strategia unitaria che permetta di rendere sinergici gli sforzi di tutti gli attori e di spendere al meglio le risorse del Piano Nazionale di Ripresa e Resilienza. La strategia ha tre obiettivi fondamentali: la protezione dagli attacchi, la risposta alle crisi e lo sviluppo di tecnologie e attitudini che rendano la sicurezza cibernetica una caratteristica intrinseca degli ambienti digitali. I fattori abilitanti per raggiungere questi obiettivi sono: la cooperazione, la formazione e la cultura della sicurezza.

La protezione dagli attacchi e la risposta alle crisi, così come la formazione, potranno dunque trovare supporto negli strumenti dell’Infrastruttura per la Qualità, a partire dall’accreditamento. Le prove accreditate per la sicurezza cibernetica e le certificazioni accreditate dei sistemi di gestione per la sicurezza delle informazioni e dei professionisti in campo ICT, sono validi esempi della capacità dell’IQ di soddisfare la domanda di un mercato in rapida evoluzione e dare risposte affidabili alle esigenze del Paese.

 


Obbligo di SOA per bonus 110% – Art. 10 bis DL 21/2022 convertito in Legge


La Legge di conversione del DL 21/2022 (GU n. 117 del 20 maggio) ha introdotto l’art. 10 bis “Qualificazione delle imprese per l’accesso ai benefici di cui agli articoli 119 e 121 del decreto-legge 19 maggio 2020, n. 34, convertito, con modificazioni, dalla legge 17 luglio 2020, n. 77”.

L’articolo prevede che i lavori di importo superiore a 516.000 euro finalizzati a efficienza energetica, sisma bonus, fotovoltaico, colonnine di ricarica di veicoli elettrici e adeguamento degli ambienti di lavoro, per godere degli incentivi definiti negli articoli 119 e 120 citati, a decorrere dal 1° gennaio 2023 e fino al 30 giugno 2023, siano affidati ad imprese che, al momento della sottoscrizione del contratto di appalto o di subappalto:

  • sono in possesso della cosiddetta attestazione SOA (ai sensi dell’articolo 84 del D.Lgs 50/2016)
  • documentano al committente ovvero all’impresa subappaltante l’avvenuta sottoscrizione di un contratto finalizzato al rilascio dell’attestazione SOA. In questo caso la detrazione relativa alle spese sostenute a decorrere dal 1° luglio 2023 è condizionata dell’avvenuto rilascio dell’attestazione all’impresa esecutrice.

A decorrere dal 1° luglio 2023 l’esecuzione dei lavori è affidata esclusivamente alle imprese in possesso, al momento della sottoscrizione del contratto di appalto o di subappalto, dell’attestazione SOA.

Come noto, la richiesta dell’attestazione SOA prevede anche la presentazione di un certificato di conformità del sistema di gestione per la qualità, rilasciato da organismo accreditato: un altro attestato di fiducia della Pubblica Amministrazione nell’Infrastruttura per la Qualità.