Con la crescita della digitalizzazione del Paese, aumenta il livello di vulnerabilità per possibili minacce cyber. La crescente interdipendenza delle “catene del valore digitali” e una sempre maggiore connessione con i sistemi software fanno emergere nuove necessità di tutela dal rischio.
Sono queste le esigenze alla base dell’Investimento 1.5 “Cybersecurity”, ricompreso nella Missione 1, Componente 1, che promuove l’attuazione di specifici interventi, finalizzati al rafforzamento delle capacità tecniche nazionali, in materia di valutazione e audit continuo del rischio cyber.
La misura finanzierà tutte le proposte progettuali che riusciranno a creare e consolidare le capacità tecniche di valutazione e scrutinio, con riferimento agli apparati elettronici e alle applicazioni utilizzate nel settore cyber.
Queste capacità rappresentano un elemento abilitante per il raggiungimento di una transizione digitale sicura, in Italia - in linea con la Strategia Nazionale di Cybersicurezza. Pertanto, la materia è di particolare interesse, soprattutto per le imprese sempre più innovative.
I Laboratori di Prova: la Milestone M1C1-21 del PNRR
La normativa che rende operativa la misura è l’Avviso pubblicato sul sito Italia Domani, il portale governativo dove sono riportati tutte i Bandi legati al PNRR.
Nell’ambito dell’Investimento 1.5, l’Avviso contribuisce al raggiungimento della milestone M1C1-7 “Avvio della rete dei laboratori di screening e certificazione della cybersecurity” da realizzare entro dicembre 2022 e di quella M1C1-21 “Completamento della rete dei laboratori e del CVCN (Centro di Valutazione e Certificazione Nazionale)” istituito presso l’Agenzia per la Cybersicurezza Nazionale, per dicembre 2024.
Con le risorse messe a disposizione, i Soggetti attuatori - coloro cioè che realizzeranno gli interventi finanziati - avranno la possibilità di dotarsi di strumenti e processi di analisi e valutazione del software. L’obiettivo è quello di dare un valido supporto (economico) per vedere attuata una rete di LAP (laboratori di prova) dove verranno svolte attività di scrutinio tecnologico, a supporto del suddetto Centro di Valutazione e Certificazione Nazionale.
Grazie alla rete LAP, sarà possibile creare ex novo, o rendere più solide, le capacità tecniche di valutazione e di audit continuo per la sicurezza dei beni ICT. Dunque, sono ben accette tutte le proposte finalizzate ad attivare interventi di rafforzamento delle dotazioni tecnico-professionali delle imprese beneficiarie.
Risorse e soggetti attuatori nei LAP
Le risorse mobilitate con l’Avviso sono pari a 5 milioni di euro, a valere quindi sulla M1C1, Investimento 1.5. Il contributo, per realizzare gli interventi di rafforzamento delle capacità tecniche nazionali, può essere richiesto da Soggetti titolari di un laboratorio di prova già attivo o da attivare. Dunque sono ammessi, esclusivamente in forma singola, sia Amministrazioni ed Enti pubblici, sia Soggetti privati residenti in Italia e iscritti nel Registro delle imprese.
Oltre ai tipici requisiti per la partecipazione ai Bandi (tracciabilità finanziaria del soggetto, regolarità contributiva, sana gestione finanziaria, rispetto dei limiti derivanti dal principio de minimis e del doppio finanziamento, assenza di sanzioni amministrative e clausole ostative tra cui interdizione, inabilitazione, fallimento), i beneficiari dovranno possedere specifiche competenze, risorse e qualifiche professionali (tecniche e amministrative).
In altre parole, i Soggetti dovranno – attraverso una dichiarazione espressa – garantire di essere idonei alla realizzazione del progetto proposto, assicurando cioè il raggiungimento delle Milestone e dei target associati. In caso contrario sarebbe non solo uno spreco di soldi ma (anche e soprattutto) una mancata occasione per la realizzazione delle finalità in ambito PNRR.
E, in questo momento storico economico, l’Italia non può permettersi di “fallire”.
Milestone M1C1-21: i progetti e gli interventi
Le proposte progettuali dovranno rafforzare le dotazioni tecnico-professionali dei Soggetti Attuatori, mostrando requisiti minimi e aggiuntivi per l’accreditamento alla Rete dei laboratori di prova; dovranno risultare coerenti e pertinenti con gli obiettivi richiesti dall’Avviso, realizzando interventi ex novo o completando i lavori in corso.
Saranno esclusi i progetti conclusi prima della scadenza dei termini (30 novembre 2022) e quelli già divulgati – senza, quindi, classifica di segretezza (ex art. 42 dell’apposita Legge). Considerando che la misura rientra nel perimetro normativo del PNRR, è applicato il principio DNSH (non arrecare un danno significativo agli obiettivi ambientali), come stabilito dall’articolo 17 dell’apposito Regolamento UE.
I progetti dovranno prevedere, infine, l’attivazione di un laboratorio di scrutinio e analisi software secondo le tempistiche richieste dalle due Milestone dell’Investimento 1.5 (quindi dicembre 2022 e dicembre 2024): verrà richiesta una documentazione che individui le procedure di esecuzione dei test e gli strumenti utilizzati, il personale preposto e una stima del valore economico per la realizzazione dell’intervento.
I costi di realizzazione di un Laboratorio di Prova
L’agevolazione assume la forma di contributo in conto capitale e non può superare i 200mila euro a progetto (e a soggetto); è cumulabile con altre fonti finanziarie europee, sempre senza superare i limiti imposti dalle norme. Il beneficio potrà coprire anche la totalità delle spese considerate ammissibili e non è previsto un minimo di costi da sostenere – a differenza di altri Bandi pubblici.
I costi finanziabili dovranno risultare strettamente connessi allo svolgimento delle attività progettuali, con apposita prova documentale. Tra le varie voci di spesa sono ricomprese, ad esempio, quelle per l’acquisto di servizi tecnici (analisi, studio, sviluppo software) e di servizi di consulenza ad hoc; quelle per le attività di formazione specifica, per la progettazione/sviluppo/implementazione di software specifici, nonché le spese per l’acquisto di hardware e software.
Sono altresì ammessi anche i costi del personale – collegato al progetto – e quelle per interventi logistici, così come le spese generali, nel limite però del 7% sul totale ammissibile.
Il procedimento di accesso e l’istruttoria
Ogni Soggetto potrà presentare una sola proposta progettuale, con istanza tramite PEC indirizzata all’ l’Agenzia per la Cybersicurezza Nazionale. C’è tempo fino alle ore 18:00 del prossimo 30 novembre. Tutte le caratteristiche della domanda di partecipazione sono riportate nell’articolo 6 dell’Avviso de quo.
L’istruttoria seguirà la procedura a sportello, quindi in ordine cronologico di arrivo delle domande. La valutazione verterà sui requisiti formali (presentazione, completezza documentale, regolarità) e su quelli di ammissibilità sostanziale (conformità a quanto richiesto per il progetto, ovvero attinenza alla finalità dell’avviso).
Verrà predisposto un elenco di proposte progettuali suddivise tra (1) ammesse e totalmente finanziabili, (2) ammesse e parzialmente finanziabili, (3) idonee ma non ammesse al finanziamento per mancanza di risorse e (4) non ammesse (con motivazione). Questa classificazione servirà per attingere ai meritevoli, in caso di rinunce o revoche.