Contributi per l’attivazione di laboratori cybersecurity di prova per potenziare le capacità tecniche nazionali in materia di valutazione e audit continuo del rischio cyber.
Sono previsti finanziamenti per le proposte progettuali relative alla costruzione ed al consolidamento delle capacità tecniche di valutazione e scrutinio tecnologico continuo della sicurezza degli apparati elettronici e delle applicazioni utilizzate per l’erogazione di servizi critici da parte dei Soggetti rientranti nel Perimetro Nazionale di Sicurezza Cibernetica (PNSC). La finalità è quella di contribuire alla costituzione di una rete di laboratori di scrutinio tecnologico (LAP) a supporto del Centro di Valutazione e Certificazione Nazionale (CVCN) istituito presso l’Agenzia.
Beneficiari dei contributi per l’attivazione dei Laboratori di cybersecurity
Possono concorrere i Soggetti titolari di un laboratorio di prova attivo o da attivare appartenenti alle seguenti categorie:
- le Amministrazione pubbliche e gli Enti pubblici così come identificati ai sensi del Testo unico del Pubblico impiego (Decreto legislativo 30 marzo 2001, n. 165, articolo 1 comma 2);
- i Soggetti privati con sede nel territorio nazionale, iscritti, ove previsto dalla normativa vigente, nel Registro delle imprese della Camera di commercio, industria, artigianato e agricoltura.
Requisiti di ammissibilità delle proposte progettuali
Sono oggetto di finanziamento le proposte progettuali volte all’attivazione di interventi di rafforzamento delle dotazioni tecnico-professionali che rispettino i seguenti vincoli:
- essere coerente e pertinente con gli obiettivi individuati dal presente Avviso;
- avere ad oggetto interventi progettuali volti all’adeguamento/rafforzamento dei requisiti minimi e aggiuntivi così come disciplinati nelle Determinazioni tecniche:
- riguardare interventi da realizzare ex novo oppure il completamento di progettualità in corso di esecuzione alla data di presentazione della candidatura purché avviati a decorrere dalla data di pubblicazione delle determinazioni tecniche (11 agosto 2022). Non potranno essere ammessi progetti già conclusi prima della data di scadenza dei termini per presentare la Domanda;
- avere ad oggetto informazioni a cui non sono attribuite classifiche di segretezza, ai sensi dell’articolo 42 della Legge n. 124/2007, al fine di consentire il rispetto delle disposizioni in materia di pubblicità e trasparenza e la trasmissione della richiesta di trasferimento delle risorse, delle dichiarazioni sul conseguimento delle milestone e dei target e delle relazioni sullo stato di attuazione dei progetti alla Commissione Europea;
- prevedere l’attivazione del laboratorio di scrutinio e analisi software proposto in linea con le tempistiche dettate dalle milestone dell’Investimento 1.5 di riferimento (M1C1-7 o M1C1-21), comprovabile da apposita documentazione, in conformità con il modello e le istruzioni operative fornite dall’Agenzia, al fine altresì di documentare i seguenti elementi essenziali del laboratorio richiesti dalle milestone:
- struttura organizzativa e modello di funzionamento;
- procedure di esecuzione dei test e strumenti utilizzati;
- personale preposto ai test e loro competenze;
• stimare un valore economico per la realizzazione dell’intervento proporzionale agli obiettivi quantificati e ai target della misura.
Per ogni Soggetto partecipante, l’intervento proposto dovrà essere finalizzato alla creazione e attivazione di un laboratorio di prova cybersecurity accreditato dal CVCN ai sensi dell’articolo 1, comma 7, lettera b), del decreto-legge 21 settembre 2019, n. 105, rientrante nell’area di accreditamento “Software e Network”.
Specifiche degli interventi da realizzare nei singoli laboratori di cybersecurity
Per ogni Soggetto partecipante, l’intervento proposto dovrà portare alla creazione e attivazione di un laboratorio di analisi e scrutinio software rispondente alle seguenti caratteristiche:
- creazione di un team preposto con competenze di analisi software comprovate, ad esempio, da certificazioni specialistiche ed esperienze professionali rilevanti;
- acquisizione di strumenti professionali per l’analisi statica del codice sorgente, per la scansione di vulnerabilità e per l’esecuzione di vulnerability assessment e penetration test di applicazioni;
- creazione e attrezzaggio di spazi per il laboratorio atti a garantire le misure di sicurezza e di controllo fisico necessarie all’esecuzione delle attività in linea con le prassi e gli standard internazionali di settore;
- definizione e adozione del modello operativo di funzionamento del laboratorio e della sua integrazione con i processi di sviluppo/innovazione e di conduzione operativa ICT.
Tipologia di attività da inserire nel progetto
Al fine di costituire e attivare un Laboratorio LAP, l’intervento proposto potrà prevedere una o più delle seguenti tipologie di attività, come dettagliate nella Scheda di Progetto (Allegato B):
1) progettazione, sviluppo e messa in produzione di nuovi sistemi per l’esecuzione di analisi e scrutinio del software, vale a dire attività volte all’acquisizione e attivazione di strumenti tecnologici a supporto dell’esecuzione dei compiti del laboratorio come, a titolo esemplificativo:
- strumenti per la scansione di software per l’identificazione di vulnerabilità;
- strumenti per l’analisi statica del codice sorgente;
- strumenti per l’esecuzione di vulnerability assessment;
- strumenti per l’esecuzione di penetration test, ivi compreso strumenti per l’esecuzione di exploit noti delle vulnerabilità;
- infrastrutture e piattaforme a supporto dell’esecuzione delle attività del laboratorio (es. piattaforme di emulazione, sistemi di tracciamento e valutazione delle vulnerabilità, ecc.);
- potenziamento e adeguamento delle dotazioni informatiche del laboratorio a supporto dell’esecuzione delle attività di analisi e scrutinio, nonché per l’implementazione di misure di sicurezza logica sui sistemi e postazioni del laboratorio.
2) lavori di adeguamento logistico e infrastrutturale ovvero attività di potenziamento delle misure minime di sicurezza fisica del laboratorio quali, a titolo esemplificativo:
- acquisizione, nonché lavori di installazione, di sistemi di allarme e videosorveglianza;
- acquisizione, nonché lavori di installazione, di sistemi di controllo di accesso fisici;
- acquisizione di strumenti e attrezzature per l’implementazione di misure di sicurezza fisica;
3) realizzazione e miglioramento dell’organizzazione e dei processi operativi del laboratorio ovvero attività volte alla definizione dei modelli organizzativi e procedurali per il funzionamento del laboratorio, quali a titolo esemplificativo:
- definizione del modello organizzativo del laboratorio e dei processi di ingaggio dello stesso nell’ambito dell’organizzazione;
- definizione e potenziamento delle metodologie da applicare per l’esecuzione di vulnerability assessment e di penetration testing;
- realizzazione, potenziamento e adeguamento del Sistema di Gestione della Qualità in conformità ai requisiti UNI CEI EN ISO/IEC 17025 e UNI CEI EN ISO/IEC 27000.
4) reclutamento di personale a tempo determinato dedicato esclusivamente all’attivazione del laboratorio, in linea con le indicazioni attuative in relazione all’art. 1 del decreto-legge n. 80 del 2021, convertito con modificazioni in Legge n. 113 del 2021, di cui alla circolare RGS del 18 gennaio 2022 n. 4, recante “Modalità speciali per il reclutamento del personale e il conferimento di incarichi professionali per l’attuazione del PNRR da parte delle Amministrazioni Pubbliche”;
5) miglioramento delle competenze tecniche e delle professionalità del personale preposto al funzionamento del laboratorio, mediante a titolo esemplificativo:
- corsi di formazione tecnica per l’esecuzione di attività di vulnerability assessment e di penetration testing in ambito reti e sistemi ICT;
- corsi di formazione sull’adozione di metodologie di valutazione della sicurezza di sistemi o prodotti ICT, quali quelle dei “Common Criteria for ICT product security evaluation- Common Evaluation Methodology”
- corsi di formazione sulla sicurezza del software e sulle modalità di test e verifica della sicurezza del software.
L’importo massimo ammissibile a finanziamento, concesso nella forma di contributo in conto capitale, è pari a € 200.000,00 per progetto e comunque per Soggetto proponente
Potrà essere erogato un contributo in misura pari ad un massimo del 100% delle spese ritenute ammissibili
Non sono previste quote minime obbligatorie in capo ai Soggetti attuatori degli interventi.
I Soggetti interessati dovranno presentare l’Istanza di partecipazione a partire dalle ore 8.00 del 20/10/2022 e fino alle ore 18.00 del 30/11/2022 salvo chiusura anticipata per esaurimento risorse, tramite l’invio di Posta Elettronica Certificata (PEC) all’indirizzo dedicato pnrr@pec.acn.gov.it
Maggiori informazioni sono disponibili al seguente link