I compiti assegnati alle unità locali di Sicurezza sono previsti dal Decreto del Presidente del Consiglio dei Ministri 1 aprile 2008 "
Regole tecniche e di sicurezza per il funzionamento del Sistema pubblico di connettività" pubblicato sulla G.U. del 21 giugno 2008, n. 144. dove allrt. 21 co 9 si diche che "l'Unità locale di sicurezza [..] svolge i seguenti compiti,  avvalendosi anche dei fornitori qualificati:

• garantire, anche per il tramite di un fornitore qualificato, la realizzazione ed il mantenimento dei livelli di sicurezza previsti per il dominio di competenza;
• garantire che la politica di sicurezza presso la propria organizzazione sia conforme agli indirizzi e alle politiche di sicurezza definiti dalla Commissione;
• interagire con la struttura centrale per raccogliere, aggregare e predisporre nel formato richiesto le informazioni necessarie per verificare il livello di sicurezza del PC;
• notificare alla struttura centrale ed al CERT-SPC-C ed ai CERT-SPC-R, secondo le modalità stabilite, eventuali incidenti informatici o situazioni di criticità o ulnerabilità delle infrastrutture SPC locali;
• adottare le necessarie misure volte a limitare il rischio di attacchi informatici ed eliminare eventuali vulnerabilità della rete, causate dalla violazione e utilizzo illecito i sistemi o infrastrutture della pubblica amministrazione."

Il CERT-SPC nell'espletamento dei compiti istituzionali attribuiti dalle regole tecniche non ha nessuna autorità nei confronti della propria Comunità di riferimento (Constituency) composta dalle Unità Locali di Sicurezza delle Pubbliche Amministrazioni connesse a SPC. Le citate Regole Tecniche hanno recepito nell'ambito del Sistema Pubblico di Connettività (SPC) il modello di funzionamento di un CERT che prevede 3 tipi di autorità: piena, condivisa o nessuna come nel caso del CERT-SPC. Tale caratteristica, da alcuni vista come un limite all'efficacia delle azioni del CERT-SPC, può essere spiegata tenendo in considerazione:

• l'art. 74 del Codice dell'Amministrazione Digitale (CAD) che garantisce piena autonomia al patrimonio informativo delle singole Amministrazioni ed in tal senso anche sulla gestione della sicurezza a questo collegava e pertanto un'azione obbligatoria da parte del CER-SPC potrebbe in alcuni casi minacciare questa autonomia;
• l'approccio "fiduciario" sul quale si fonda il Sistema Pubblico di Connettività, da un lato, e l'idea stessa del modello di riferimento del CERT, dall'altro. Infatti in un contesto così variegato di realtà la collaborazione e condivisione delle esperienze volte al miglioramento e a benefico di tutto il sistema mal si coniuga con imposizioni autoritarie.

Gli utenti registrati ed appartenenti alla comunità di riferimento del CERT-SPC (Constituency) possono partecipare attivamente attraverso:

• la segnalazione nel calendario di eventi di interesse per la sicurezza in SPC organizzati presso l'Amministrazione di appartenenza o delle quali ne abbiamo notizia o siano inviati a partecipare. Questa modalità consente di estendere ulteriormente le informazioni a beneficio di tutta la community;
• la redazione, attraverso il menù IL MIO PROFILO disponibile nell'intestazione del sito dopo essersi autenticati, di articoli che verranno pubblicati sul portale web del CERT-SPC, previa moderazione ed accessibili ai soli utenti registrati;
• la possibilità di commentare i temi proposti nel blog del portale web del CERT-SPC che, previa moderazione, saranno pubblicati ed accessibili ai soli utenti registrati;
• valutare gli articoli esprimendo un giudizio sull'utilità degli stessi (in fase di erogazione);
• partecipare a sondaggi;
• pubblicare e presentare documenti, attività o studi svolti su argomenti di interesse o pertinenti i temi della sicurezza in SPC che saranno inseriti nell'area download del portale web del CERT-SPC.

L'avvento del portale web del cert-spc ha trasformato la modalità di erogazione e fruizione dei bollettini precedentemente avviata con le modalità del progetto gocvert.it. L'archivio dei bollettini inviati con tale modalità è disponibile nelle apposite [rokdownload menuitem="32" downloaditem="374" direct_download="false"]sezioni[/rokdownload] del menù download.

Tali informazioni sono accessibili esclusivamente da parte della Constituency, ovvero degli utenti registrati al portale del CERT-SPC. Attesa la nomenclatura in formato alfanumerico assegnata alle informative del govcert.it, prima, e del CERT-SPC, poi, suggeriamo di avvalersi del motore di ricerca del sito web. Tale motore di ricerca, infatti, indicizza anche il contenuto dei file PDF nel cui formato sono memorizzati i bollettini del govcert.it e del CERT-SPC. Essendo contenuti ad accesso ristretto il motore di ricerca sarà in grado di indicizzarli soltanto quando l'utente è autenticato al portale.

Il servizio di early warning erogato dal CERT-SPC è quanto più possibile correlato con le informazioni disponibili sulle tecnologie maggiormente in uso nei sistemi informativi delle PA, o comunque per quelle in relazione alle quali le singole amministrazioni avessero rappresentato interesse attraverso la partecipazione alla comunità dei referenti del CERT.
La pubblicazione sul sito delle informazioni sulle vulnerabilità o sugli aggiornamenti di sicurezza relativi a tecnologie di interesse, inoltre, è preceduta da una valutazione oggettiva del pericolo associato alla singola vulnerabilità/minaccia, che fosse espressione di una metrica nota e condivisa. A tal fine lo standard internazionale adottato dal CERT-SPC per corrispondere a tale esigenza sono il CVSS (Common Vulnerability Scoring System) ed il CVE (Common Vulnerabilities and Exposures). La soglia di riferimento che segna il discrimen per la pubblicazione è pari ad un valore CVSS di 7.5 (prescindendo, ovviamente, dalla valutazione di impatto denominata “enviromental metric” ).

Le Unità Locali di Sicurezza (ULS), quale componente distribuita della sicurezza in SPC e destinatarie delle informative del CERT-SPC, possono richiedere ulteriori informazioni circa le informazioni ricevuta o richiedere, con le modalità previste dal processo di gestione e segnalazione degli incidenti in SPC, supporto di tipo informativo in ordine ad incidenti di sicurezza.

Soltanto gli utenti, che si occupano di sicurezza ICT, appartenenti alle pubbliche amministrazioni centrali e territoriali connesse al Sistema Pubblico di Connettività possono accedere al blog ed agli altri eventuali contenuti ad accesso ristretto presenti sul sito web del CERT-SPC oltre alla possibilità di inviare articoli sul portale.

Gli utenti registrati sono il personale assegnato alle Unità Locali di Sicurezza delle Amministrazioni connesse a SPC, i Responsabili dei Sisitemi Informativi di quelle Amminsitrazioni che ancora non hanno provveduto ad istituire l'Unità Locale di Sicurezza e tutti i partecipanti al corso sulla Sicurezza Informatica organizzato dall'ISCOM (Istituto Superiore delel Comunicazioni) del Ministero dello Sviluppo Economico dove il personale appartenente al CERT-SPC del CNIPA ha svolto attività didattica.

La registrazione degli utenti, pertanto, non avviene sul portale web del CERT-SPC.

Le credenziali di accesso (nome utente e password) sono inviate agli indirizzi di posta elettronica isituzionali delle Unità Locali di Sicurezza, degli utenti che hanno partecipato al corso sulla sicurezza ICT ed ai Responsabili dei Sistemi Informativigià in possesso di questo CERT-SPC.

Eventuali ed ulteriori registrazioni anche di enti, organizzazioni ed isituzioni non connesse al Sistema Pubblico di Connettività, sono possibili previa valutazione e sottoscrizione di accordi, forme di collaborazione o protocolli di Intesa tra il CNIPA presso cui opera il CERT-SPC e gli enti richiedenti.

L'aggiornamento degli utenti abilitati all'accesso delle aree riservate del portale web del CERT-SPC, così come tutte le comunicazioni dirette al CERT-SPC avvengono tramte i canali riportati nel pagina contatti del sito web.

Ha inserito una combinazione di nome utente e password non corretta. Invitiamo a verificare l'esattezza delle credenziali inserite.

• Questa pagina è visualizzata a seguito di una errato inserimento del nome utente assegnato o della password inserita. Consigliamo di verificare di non aver accidentalmente attivato la funzione "MAIUSCOLO" sulla tastiera. Per ulteriori informazioni sulla registrazione degli utenti puoi consultare questa faq o consultare la sezione contatti del portale per contattare il CERT-SPC.

La pagina richiesta è accessibile solo per gli utenti registrati oppure non è al momento disponibile.

• La pagina che stai cercando è accessibile soltanto dagli utenti appartenenti alla constituency del CERT-SPC. Pertanto ti inviatiamo a tornare alla pagina precedente ed autenticarti attraverso il modulo presente nell'intestazione del portale e quindi ripetere la richiesta. Per ulteriori informazioni sulla registrazione degli utenti puoi consultare questa faq o consultare la sezione contatti del portale.

• La pagina che stai cercando al momento non è disponibile o è stata modificata. Prova a ricercare il contenuto richiesto tramite il motore di ricerca interno al portale. Questo genere di inconveniente si registra solitamente quando si seguono link non aggiornati da altri siti web o dai risultati di un motore di ricerca.

La pagina richiesta è accessibile solo per gli utenti registrati oppure non è al momento disponibile.

• La pagina che stai cercando è accessibile soltanto dagli utenti appartenenti alla constituency del CERT-SPC. Pertanto ti inviatiamo a tornare alla pagina precedente ed autenticarti attraverso il modulo presente nell'intestazione del portale e quindi ripetere la richiesta. Per ulteriori informazioni sulla registrazione degli utenti puoi consultare questa faq o consultare la sezione contatti del portale.

• La pagina che stai cercando al momento non è disponibile o è stata modificata. Prova a ricercare il contenuto richiesto tramite il motore di ricerca interno al portale. Questo genere di inconveniente si registra solitamente quando si seguono link non aggiornati da altri siti web o dai risultati di un motore di ricerca.