Il DPCM 30/04/2025 sulla sicurezza informatica nell’acquisto di beni e servizi informatici

A quali soggetti si applica il Decreto? Il provvedimento si applica a: 1) i soggetti indicati all’articolo 2, comma 2, del Codice dell’Amministrazione Digitale (CAD) di cui al Dlgs. 82/2005, e cioè: – le pubbliche amministrazioni di cui all’articolo 1, comma 2, del Dlgs. 165/2001, ivi comprese le autorità di sistema portuale, nonché le autorità amministrative indipendenti di garanzia, vigilanza e regolazione; – i gestori di servizi pubblici, ivi comprese le società quotate, in relazione ai servizi di pubblico interesse; – le società a controllo pubblico, come definite nel Dlgs. 175/2016, escluse le società quotate di cui all’articolo 2, comma 1, lettera p), del medesimo decreto che non rientrino nella categoria di cui al punto precedente; 2) i soggetti privati non inclusi nel CAD, ma presenti nell’elenco di cui all’articolo 1, comma 2-bis, del DL. 105/2019 (convertito nella legge n. 133 del 2019), e cioè gli enti e gli operatori privati aventi sede nel territorio nazionale da cui dipende l’esercizio di funzioni o servizi essenziali per il mantenimento di attività fondamentali per gli interessi dello Stato e che dipendono da reti, sistemi informativi e servizi informatici che potrebbero essere vulnerabili ad attacchi cibernetici.

Quali sono le misure e le prescrizioni del Decreto? Nel perseguire la tutela degli interessi nazionali strategici attraverso la sicurezza informatica, il Decreto individua specificamente: – gli elementi essenziali di cybersicurezza da tenere in considerazione; – le categorie tecnologiche di beni e servizi informatici a cui si applicano tali elementi; – i casi in cui è necessario prevedere criteri di premialità per proposte o offerte che utilizzano tecnologie di cybersicurezza italiane, di Paesi UE, NATO o di Paesi terzi con accordi di collaborazione con UE o NATO in materia di cybersicurezza, protezione delle informazioni classificate, ricerca e innovazione.

Detti casi, in particolare, riguardano le tecnologie di cybersicurezza destinate a essere impiegate dai soggetti privati di cui al precedente quesito, punto n. 2, e che riguardano le reti, i sistemi informativi e i servizi informatici di cui all’articolo 1, comma 2, lettera b), del medesimo decreto-legge 105/2019, e la protezione fisica e logica di tali reti, sistemi e servizi; – l’elenco dei suddetti Paesi terzi con accordi di collaborazione con UE o NATO, e cioè: Australia, Corea del Sud, Giappone, Israele, Nuova Zelanda, Svizzera. Che cosa sono gli elementi essenziali di cybersicurezza? Ai sensi del comma 1 dell’articolo 14 della richiamata Legge 90/2024, gli elementi essenziali di cybersicurezza sono l’insieme di criteri e regole tecniche la conformità ai quali, da parte di beni e servizi informatici da acquisire, garantisce la confidenzialità, l’integrità e la disponibilità dei dati da trattare in misura corrispondente alle esigenze di tutela della sicurezza nazionale.

Il Decreto li dettaglia nell’Allegato 1, che si divide in due parti:  Parte I: Requisiti relativi alle proprietà dei beni e dei servizi informatici. Questa sezione elenca una serie di requisiti che i beni e i servizi informatici devono possedere fin dalla fase di progettazione, sviluppo, produzione e fornitura, per garantire un adeguato livello di cybersicurezza basato sulla valutazione dei rischi. Questi requisiti includono: – assenza di vulnerabilità sfruttabili note; – configurazione sicura predefinita con possibilità di ripristino; – gestione delle vulnerabilità tramite aggiornamenti di sicurezza (anche automatici e con notifica); – protezione dall’accesso non autorizzato tramite meccanismi di autenticazione e gestione dell’identità; – protezione della riservatezza e dell’integrità dei dati (a riposo e in transito) tramite cifratura e rilevamento di manipolazioni; – minimizzazione dei dati trattati; – protezione della disponibilità delle funzioni essenziali tramite resilienza e mitigazione degli attacchi DoS (denial of service); – minimizzazione dell’impatto negativo su altri servizi o reti; – limitazione delle superfici di attacco; – riduzione dell’impatto degli incidenti tramite meccanismi di mitigazione; – fornitura di informazioni sulla sicurezza tramite registrazione e monitoraggio delle attività (con possibilità di disattivazione); – possibilità per gli utenti di rimuovere in modo sicuro e permanente dati e impostazioni.

Parte II: Requisiti di gestione delle vulnerabilità. Questa sezione specifica i requisiti relativi alla gestione delle vulnerabilità da parte dei fornitori di beni e servizi informatici, tra cui: – identificazione e documentazione delle vulnerabilità e dei componenti (con Bill of Materials – BOM); – correzione tempestiva delle vulnerabilità tramite aggiornamenti di sicurezza (separati da quelli di funzionalità, ove possibile); – esecuzione di test e riesami periodici della sicurezza; – condivisione e divulgazione agli utenti delle informazioni sulle vulnerabilità risolte (descrizione, impatto, gravità, istruzioni per la correzione), con possibilità di ritardo motivato nella divulgazione; – adozione di misure per facilitare la segnalazione di potenziali vulnerabilità; – adozione di meccanismi per la distribuzione sicura degli aggiornamenti (anche automatici per la sicurezza); – identificazione, prioritizzazione e valutazione dei fornitori terzi tramite un processo di valutazione del rischio della catena di approvvigionamento cyber; – diffusione tempestiva e gratuita degli aggiornamenti di sicurezza con messaggi di avviso contenenti informazioni pertinenti.

Quali sono le categorie tecnologiche di beni e servizi informatici a cui si applicano i suddetti requisiti? Il Decreto contiene nell’Allegato 2 un elenco tassativo di dette categorie, pari a n. 22, a cui corrisponde un elenco non tassativo di codici CPV (Common Procurement Vocabulary) associati. Rientrano tra dette categorie, tra gli altri: – i prodotti con elementi digitali con funzione VPN; – i sistemi di gestione della rete; – i router, modem e switch; – i Firewall e sistemi di rilevamento/prevenzione delle intrusioni; – i sistemi di storage di rete (NAS, SAN); – i sistemi e servizi di back-up; – i sistemi di videosorveglianza per controllo accessi e sicurezza fisica, e sistemi di acquisizione immagini per controllo; – i servizi di consulenza, sviluppo e manutenzione di piattaforme software afferenti alle categorie elencate; – i servizi cloud.

Come si relazionano il presente Decreto e la NIS2 (Direttiva UE 2022/2555)? Mentre il DPCM 30 aprile 2025 mira a rafforzare e garantire la sicurezza cibernetica a livello nazionale, la cosiddetta direttiva NIS2 (recepita in Italia dal Dlgs. 4 settembre 2024, n. 138, vigente dal 16/10/2024) persegue il medesimo obiettivo a livello europeo. Ma, sebbene il DPCM si concentri specificamente sugli aspetti contrattuali relativi a beni e servizi informatici di rilevanza strategica per la sicurezza nazionale, esso contribuisce indirettamente al raggiungimento degli obiettivi di resilienza e sicurezza delle reti e dei sistemi informativi perseguiti dalla NIS2. Pertanto, i due provvedimenti si affiancano e sovrappongono nella loro comunanza di obiettivi che si completano l’un l’altro