Skip to content

Pnrr

Dpcm su 5G e Tim, ecco il testo

Che cosa prevede il Dpcm datato 7 agosto 2020 firmato dal presidente del Consiglio, Giuseppe Conte, sulle forniture per il 5G di Tim

Articolo 1:

Ai sensi e per gli effetti dell’articolo 1 bis del decreto legge 15 marzo 2012 n. 21 convertito, con modificazioni, dalla legge 11 maggio 2012 n. 56, si dispone l’imposizione delle seguenti specifiche prescrizioni nei confronti di Telecom Italia Spa:

a) coinvolgere la funzione aziendale Security nei processi di governance con particolare riferimento a tutti i processi decisionali afferenti ad attività ritenute rilevanti ex art. 1 bis del decreto legge 15 marzo 2012 n.21

b) comunicare tempestivamente al Comitato di monitoraggio aggiornamenti circa il numero di utenti serviti dai componenti oggetto di notifica;

c) Eseguire una nuova notifica;

1) Nel caso in cui mutino le caratteristiche delle componenti oggetto di notifica, a seguito di modifiche strutturali (sia in termini architetturali e di interconnessione tra sistemi, che di aggiornamento software) e a livello di configurazione che secondo le valutazioni del rischio condotte dall’operatore, siano rilevanti rispetto all’ambito di applicazione dell’articolo 1  bis del decreto legge 15 marzo 2012 n. 21

2) Allorquando verrà individuata l’esatta collazione geografica di tali componenti, comunicando le coordinate geografiche e le altre informazioni necessarie per delimitare la portata e fornendo una trasposizione su carta geografica comprensive delle coperture spaziali offerte dai singoli nodi;

d) Avvalendosi della funziona aziendale security, eseguire la progettazione e la gestione della sicurezza relativa a componenti 5G tenendo conto delle indicazioni fornite dal 5G Infrastructure Public Private Partnership

e) Fornire evidenza della modalità seguite nella selezione dei fornitori, sulla base di precisi indicatori di qualità, che ne consentano la valutazione del livello di sicurezza intrinseco ai processi di produzione, di delivery e di gestione del ciclo di vita dei prodotti. Le predette valutazioni possono essere effettuate dal notificante anche sulla base di documentazione, acquisita presso il fornitore o rilasciata da enti di certificazione terzi rispetto a esso, che attesti il rispetto di standard internazionali di qualità e sicurezza;

f) Garantire adeguate misure di controllo dell’accesso ai sistemi di gestione della rete a tutti i livelli  adottando-fatti salvi documentati limiti tecnici delle piattaforme in uso- sistemi di Authentication  Authorization and Accounting centralizzati, meccanismi di autenticazione a due fattori, di cui uno probabilmente biometrico e soluzioni di Privileged Access Management (Pam);

g) Integrare i contratti notificati con clausole che prevedano, a pena di risoluzione espressa ai sensi dell’articolo 1456 del codice civile, che la Società possa

  1. effettuare anche tramite terzi processi di verifica e di controllo del codice sorgente e dei disegni hardware degli apparati;

2) Comunicare tempestivamente i relativi risultati al Comitato di monitoraggio;

3) mettere a disposizione, ove richiesto, i suddetti codici sorgente e disegni hardware dei componenti oggetti di notifica al Comitato di monitoraggio, nonché mettere a disposizione supporto nella verifica della loro corrispondenza con le implementazioni dei componenti stessi;

h )integrare i contratto con clausole che prevedano, a pena di risoluzione espressa ai sensi dell’articolo 1456 del codice civile, che:

1)i fornitori e le società si obblighino a non comunicare ad autorità governative estere, o comunque, a terzi dati e informazioni comunque acquisiti in relazione all’operazione notificata, salvo preventivo accesso al Comitato di monitoraggio;

2)I fornitori di obblighino a informare tempestivamente la società notificante nei casi in cui sussistano ragionevoli indicazioni circa l’inadempimento all’obbligo di non comunicazione di cui al punto che precede ovvero nel caso in cui autorità governative estere o comunque terzi siano venuti a conoscenza di dati e informazioni comunque acquisiti in relazione all’operazione notificata;

I) Comunicare al comitato di monitoraggio qualsiasi informazione di cui siano venuti a conoscenza con riferimento agli obblighi derivanti dalle clausole contrattuali di cui alla lettera  h;

j) avvalersi delle clausole risolutive espresse di cui alle lettere g) e h) in caso di inadempimento agli obblighi in esse descritti;

k) Al fine di avviare un processo di diversificazione dei fornitori e promuovere in tal modo la resilienza complessiva delle infrastrutture di rete 5G, elaborare un piano di diversificazione:

1)”orizzontale” che valuti la sostenibilità di una strategia finalizzata all’impiego di soluzioni di produttori differenti all’interno delle diverse tipologie di componenti dell’infrastruttura di rete;

2)”orizzontale” che valuti la sostenibilità di adottare soluzioni di fornitori diversi per gli strati hardware, di virtualizzazione e applicativo di ciascuna componente dell’infrastruttura di rete. Tale piano redatto anche con riferimento alle misure stabilite nel toolbox Ue del 29 gennaio 2020 dovrà essere inviato in occasione della trasmissione della relazione di ottemperanza al Comitato di monitoraggio;

l) istituire e mantenere aggiornato il registro del personale che detiene il ruolo di amministratore degli appalti notificati, da esibire, su richiesta agli organi di controllo;

m) Far eseguire a parte terza e competente, riconosciuta dal comitato di monitoraggio, con frequenza almeno annuale, la valutazione delle vulnerabilità di sistemi oggetti di notifica. L’esito di tali assestment di sicurezza sarà partecipato al comitato di monitoraggio in occasione delle comunicazioni periodiche dirette al predetto organismo;

n) Effettuare test e verifica di sicurezza con cadenza almeno semestrale sui dispositivi a protezione dei collegamenti backhauling, da effettuarsi in esito di valutazioni di rischio e in aderenza agli standard e alle best practies di riferimento, e segnalare a comitato di monitoraggio eventuali criticità riscontrate;

o) Condurre le attività di operation and maintenance sotto la supervisione della funzione aziendale securuty, escludendo interventi da remoti di terze parti- anche tramite collegamento WPN- al di fuori del network operation center (NOC) della società e prevedendo, per le procedure di aggiornamento, una fase di validazione dei pacchetti software propedeutica al loro rilascio sui sistemi in esercizio. Nei soli casi in cui per far fronte a funzionamenti di carattere straordinario, che richiedano in via inderogabile un intervento da parte del fornitore, è ammesso in via eccezionale l’intervento da remoto, alle condizioni e con le modalità specificate nell’allegato 1 che costituisce parte integrante del presente decreto.

Art. 2

  1. Il comitato di cui al decreto del presidente del consiglio dei ministri 30 settembre 2019 cura il monitoraggio e la verifica del rispetto delle prescrizioni imposte con il presente decreto, ai sensi dell’art 7 del decreto del presidente della repubblica 19 febbraio 2014, n. 35

2) Telecom Italia Spa è tenuta a inviare alla presidenza del consiglio dei ministri entro il termine di 60 giorni dalla data del presente decreto e successivamente con cadenza semestrale una relazione con la quale sono comunicate le misure adottate ai fini del rispetto delle prescrizioni di cui all’articolo 1 e comunque a comunicare tempestivamente al comitato di monitoraggio di cui al comma1, qualsiasi determinazione societaria o aziendale rilevante in relazione alle predette prescrizioni.

3)Il comitato:

a)Verifica, sulla base della relazione prevista dall’articolo 2 comma 2, l’ottemperanza alle prescrizioni imposte con il presente decreto;

b)può richiedere, anche direttamente all’impresa, ogni altra informazione ivi inclusi dati e notizie, utili all’attività di monitoraggio ai sensi dell’articolo 7 comma 3, del decreto del presidente della repubblica 19 febbraio 2014, n. 35

4)Il comitato informa tempestivamente il gruppo di coordinamento di cui all’articolo 3 del decreto del presidente del consiglio dei ministri 6 agosto 2014, sugli esiti delle attività di monitoraggio,anche al fine di valutare, in caso di violazione alle prescrizioni di cui all’articolo 1, la revoca del presente decreto ovvero l’esercizio di ulteriori poteri speciali tra quelli previsti dall’articolo 1-bis del decreto legge 15 marzo 2012, n.21.

Art. 3 Sanzioni

1)In caso di inadempimento o violazione delle prescrizioni imposte dal presente decreto si applicano le disposizioni di cui all’articolo 1 del decreto legge 15 marzo 2012, n. 21.

Ai sensi degli art. 1 e 1-bis del decreto legge 15 marzo 2012, n 21 convertito dalla legge 11 maggio 2012, n. 56, ed ai sensi dell’art. 3, comma 1, let. a, della legge 14 gennaio 1994, n. 20, il presente decreto è inviato ai competenti organi di controllo.

Torna su