È stato pubblicato nella Gazzetta Ufficiale n. 102 del 5 maggio 2025 il Decreto del Presidente del Consiglio dei Ministri (DPCM) del 30 aprile 2025, attuativo dell’articolo 14 della Legge n. 90/2024 (Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici).
Il provvedimento contiene la disciplina dei contratti di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici e della sicurezza nazionale.
Esso individua le misure di cybersicurezza da applicare nei procedimenti di approvvigionamento dei predetti beni e servizi informatici, definendo, in particolare:
Ambito soggettivo
Le disposizioni si applicano alle pubbliche amministrazioni, come definite dal Codice dell’Amministrazione Digitale, e ai soggetti privati inclusi nel perimetro di sicurezza nazionale cibernetica, istituito con il Decreto legge n. 105/2019.
L’Allegato 1 del decreto, in particolare, fornisce un quadro dettagliato dei requisiti da rispettare.
La prima parte riguarda le proprietà tecniche dei beni e servizi ICT, che devono essere progettati e forniti in modo da garantire protezione contro accessi non autorizzati, integrità e riservatezza dei dati, nonché resilienza agli attacchi informatici, come quelli di tipo denial-of-service.
È inoltre richiesto che i dispositivi siano configurati in modalità sicura per impostazione predefinita, con meccanismi di aggiornamento automatico delle vulnerabilità e con funzioni di tracciabilità delle attività interne.
La seconda parte si concentra sulla gestione delle vulnerabilità.
Tra gli obblighi più rilevanti vi è l’obbligo di redigere una distinta base del software, in formato leggibile da dispositivo automatico, contenente almeno le dipendenze di primo livello dei componenti informatici forniti, la correzione tempestiva dei difetti di sicurezza, la comunicazione trasparente delle vulnerabilità risolte e la valutazione del rischio lungo la catena di approvvigionamento.
L’Allegato 2 individua 22 categorie tecnologiche per le quali l’applicazione dei requisiti di cybersicurezza è obbligatoria.
Tra queste rientrano i sistemi di gestione dell’identità e degli accessi, i software antivirus, le infrastrutture VPN, i firewall, i router, i microprocessori e i circuiti integrati con funzioni di sicurezza, i sistemi SIEM, i dispositivi SCADA e le piattaforme cloud.
Per ogni categoria, il decreto associa uno o più codici CPV (Common Procurement Vocabulary), utilizzati nei contratti pubblici per classificare beni e servizi, al fine di assicurare una corretta individuazione degli oggetti contrattuali rilevanti.
L’articolo 4 del decreto stabilisce che, nei casi in cui le tecnologie siano destinate a reti o sistemi critici, possono essere applicati criteri di premialità alle offerte che impiegano tecnologie sviluppate in Italia, in altri Paesi dell’Unione europea, in Stati membri della NATO o in determinati Paesi terzi. Tali criteri si applicano in maniera uniforme, previa presentazione del Bill of Materials da parte degli operatori economici.
L’Allegato 3 individua, in fase di prima applicazione, i sei Paesi terzi che hanno stipulato accordi di cooperazione in materia di cybersicurezza con l’UE e la NATO: Australia, Corea del Sud, Giappone, Israele, Nuova Zelanda e Svizzera.
Il decreto prevede aggiornamenti periodici per tenere conto dell’evoluzione tecnologica, del contesto internazionale e delle eventuali nuove minacce emergenti.
Le amministrazioni e i soggetti obbligati dovranno pertanto predisporre procedure di verifica della conformità dei fornitori, aggiornare i capitolati tecnici di gara e garantire l’integrazione dei requisiti di cybersicurezza nei propri sistemi di procurement.
Fonti normative collegate
Il provvedimento si inserisce nel quadro delle recenti misure adottate in ambito nazionale ed europeo in materia di sicurezza cibernetica.
In particolare, fa riferimento alla Legge n. 90/2024, al Codice dell’Amministrazione Digitale, al Decreto legge n. 105/2019 e al Decreto legislativo n. 138/2024, che recepisce la Direttiva (UE) 2022/2555 (cd. NIS 2).
Ai sensi dell'individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei dati personali - Regolamento (UE) n.2016/679 (GDPR)
Questo sito non utilizza alcun cookie di profilazione. Sono invece utilizzati cookie di terze parti legati alla presenza dei "social plugin".