Valutazioni eseguite dai laboratori in qualità di operatori economici indipendenti dal CVCN

Il Laboratorio effettua valutazioni della sicurezza di sistemi, beni e servizi che non rientrano nel "Perimetro di Sicurezza Nazionale Cibernetico" (definito dal DPCM 15 giugno 2021).

Queste valutazioni possono rivolgersi a:

• Operatori economici (aziende di grandi dimensioni o PMI) che, pur non rientrando nel Perimetro, intendano garantire la protezione dei propri sistemi o dei dati dei clienti;
• Enti istituzionali o amministrazioni locali che desiderino proteggere i propri sistemi informativi.

Supporto alla gestione degli incidenti e della crisi (conformità NIS2 o DL 138 2024)

Il supporto per la gestione degli incidenti e della crisi è un servizio che aiuta le aziende a garantire la sicurezza informatica e a rispondere agli incidenti in modo efficace, in conformità con la direttiva NIS2 sulla sicurezza delle reti e dei sistemi di informazioni. Il Laboratorio fornisce assistenza per l’adeguamento e la conformità alla NIS2 supportando le aziende o gli enti pubblici operanti in settori strategici nella gestione degli incidenti (rilevazione, analisi, notifica, risposta) e della crisi attraverso la definizione di piani, politiche, processi e strumenti che garantiscano reazioni tempestive e adeguate nelle rispettive aree di servizio previste da ACN. Il Laboratorio supporta il progetto e l’implementazione di CSIRT presso soggetti privati a pubblici.

Supporto alla certificazione volontaria CC:2022 (fut. EUCC:2024)

Nell’ambito dello schema di certificazione volontaria EUCC (European Union Cybersecurity Certification), basato sullo standard dei Common Criteria (ISO IEC 15408), il Laboratorio fornisce servizi di consulenza per la preparazione della documentazione necessaria all’avvio del processo di valutazione: Security Target, Protection Profile, documentazione relativa allo sviluppo sicuro, test funzionale ed antiintrusione, documentazione relativa al ciclo di vita, guide operative di sicurezza, ecc... Inoltre, garantisce assistenza alle attività del partner previste nel corso del processo di certificazione.

Valutazioni per finalità di ricerca accademica

Il Laboratorio può collaborare con enti di studio, dipartimenti, accademie e università italiane e straniere per contribuire allo sviluppo di nuovi standard, best practice o metodologie per la prevenzione dei rischi informatici e per la conduzione di valutazioni con strumenti e tecniche innovative e sempre aggiornate rispetto al contesto tecnologico in continua evoluzione.

Consulenza per la preparazione di requisiti di sicurezza

Il Laboratorio offre servizi di consulenza per la definizione dei Requisiti Specifici di Sicurezza da implementare per la realizzazione delle misure di sicurezza dei sistemi (fisiche, procedurali, organizzative, informatiche) al fine di mitigare i rischi individuati negli specifici contesti.

Supporto per il rinnovo delle certificazioni

Il Laboratorio DEAS supporta aziende e attori istituzionali nella pianificazione e nell’elaborazione della gap-analysis per il rinnovo delle certificazioni che ruotano attorno a metodologie di omologazione e certificazione mediante uso dei Common Criteria.

Analisi del Rischio in contesti diversi dalle attività delegate dal CVCN

Il personale altamente specializzato del LAP supporta la definizione e stesura dell’Analisi del Rischio al fine di identificare, valutare e gestire i potenziali pericoli (minacce, vulnerabilità, rischi associati) che possono compromettere la sicurezza di un sistema o di un'organizzazione. Il Centro di competenza del Laboratorio si avvale di lead auditor, di standard di riferimento e framework quali ISO/IEC 27005, NIST 800-30, ISO 31000.

Supporto ai sistemi di gestione della Qualità di Laboratorio (ISO 17025, ISO 27001)

Consulenza specialistica su sistemi di gestione della qualità dei Laboratori di misura in ambito cyber, quali gli standard ISO 17025 ed ISO 27001, e che garantiscono la validità, l'affidabilità dei risultati delle prove funzionali e di sicurezza. Il personale altamente specializzato del LAP fornisce supporto all’implementazione dei Sistemi di Gestione aiutando a definire processi, politiche, procedure e controlli per la conformità.

Addestramento per i valutatori della cybersecurity in Italia (Scuola di Alta Formazione)

Il Laboratorio progetta sessioni formative e moduli didattici in ambito cybersecurity per l’addestramento di personale da impiegare nei Laboratori di valutazioni della sicurezza. L’offerta formativa concorre all’acquisizione di competenze altamente specialistiche nel settore cyber che spaziano dalla conoscenza degli schemi di valutazione e del quadro normativo alla formazione specialistica sulle tecniche avanzate di offensive e defensive security.

Centro di competenza common criteria 2017 2022 e EUCC

Il Laboratorio si presenta come centro di competenza nella conoscenza dello standard Common Criteria v3.1 R5 (2017) e nella nuova applicazione 2022 in grado di istruire personale competente e supportare i laboratori accreditati ITSEF per le attività di certificazione volontaria secondo lo schema EUCC per prodotti hardware/software/ICT relativo ai livelli di garanzia “sostanziale” e “alto”.