Con la pubblicazione sulla Gazzetta Ufficiale del 5 maggio 2025 del DPCM 30 aprile 2025, entra ufficialmente in vigore una nuova disciplina vincolante che impone standard minimi di cybersecurity nei contratti ICT stipulati da PA e soggetti inclusi nel perimetro di sicurezza nazionale cibernetica. Si tratta di un passo importante nell’attuazione dell’art. 14 della Legge n. 90/2024, che mira a rafforzare il quadro normativo in materia di sicurezza informatica, allineandolo sia alle esigenze strategiche nazionali sia alle evoluzioni del contesto europeo, in particolare con riferimento alla Direttiva NIS 2.

Il decreto si applica in primo luogo alle amministrazioni pubbliche, così come definite dal Codice dell’Amministrazione Digitale, ma coinvolge anche i soggetti privati inclusi nel perimetro cibernetico nazionale, ossia coloro che operano in settori strategici o che gestiscono infrastrutture critiche. Il provvedimento stabilisce l’obbligo di inserire requisiti specifici di cybersicurezza nei capitolati tecnici e nelle gare pubbliche per l’acquisizione di beni e servizi ICT destinati a contesti rilevanti sotto il profilo della sicurezza nazionale.

Il cuore operativo della norma è l’Allegato 1, che definisce nel dettaglio i requisiti minimi di cybersicurezza applicabili ai prodotti e servizi ICT. Tali requisiti si dividono in due grandi ambiti: le proprietà tecniche intrinseche e la gestione delle vulnerabilità.

I prodotti devono assicurare integrità, riservatezza, disponibilità, protezione contro accessi non autorizzati, resilienza agli attacchi esterni, e funzionalità di aggiornamento automatico e tracciabilità. Centrale è il principio di “secure by default”, che impone una configurazione sicura già dalla prima installazione, senza necessità di interventi da parte dell’utente.

Sul fronte della gestione del rischio, viene introdotto l’obbligo di fornire una Software Bill of Materials (SBOM), che elenchi tutte le componenti software, incluse le dipendenze. I fornitori devono anche garantire l’identificazione rapida delle vulnerabilità, la loro correzione tempestiva e la comunicazione trasparente di eventuali falle di sicurezza. Questo approccio mira a garantire una gestione completa e continua del rischio lungo l’intera catena di fornitura.

Cybersecurity PA

Crediti: Shutterstock

Con l’Allegato 2, il decreto individua 22 categorie tecnologiche soggette a obblighi specifici, tra cui sistemi IAM (Identity and Access Management), antivirus, VPN, firewall, router, microprocessori, soluzioni cloud, dispositivi SCADA e sistemi SIEM. Ciascuna categoria è associata a specifici codici CPV per facilitarne l’identificazione nei documenti di gara.

Un elemento innovativo è l’introduzione di criteri di premialità. Nei contratti che riguardano tecnologie applicate a reti o sistemi critici, sarà infatti possibile premiare le offerte che prevedano l’uso di tecnologie sviluppate nell’UE, NATO o in Paesi ritenuti affidabili (Australia, Corea del Sud, Giappone, Israele, Nuova Zelanda, Svizzera). Questa premialità, tuttavia, è subordinata alla presentazione di una SBOM conforme, rafforzando l’obiettivo di trasparenza e tracciabilità.

Le stazioni appaltanti dovranno inoltre adeguare le proprie procedure e, oltre a rivedere capitolati e bandi, sarà necessario introdurre clausole contrattuali vincolanti, istituire procedure di audit e attuare verifiche periodiche sulla conformità dei fornitori. Questo implica una revisione profonda dei meccanismi di selezione e controllo, che dovranno includere anche misure di monitoraggio continuo.

Una caratteristica fondamentale della norma è la sua dinamicità: l’aggiornabilità degli allegati consente di tenere il passo con l’evoluzione delle tecnologie e delle minacce cibernetiche. Il decreto potrà così adattarsi rapidamente al mutato contesto geopolitico e tecnologico, integrando nuovi partner e nuovi standard di riferimento. Tale flessibilità rappresenta un elemento chiave in un ambito, come quello della cybersicurezza, in cui l’obsolescenza normativa può avere conseguenze critiche.

Questo DPCM segna insomma un cambio di paradigma nella gestione della sicurezza ICT nei contratti pubblici. Non si tratta più di semplici raccomandazioni, ma di obblighi cogenti che impongono un approccio integrato alla gestione del rischio informatico. Per giuristi, tecnici e responsabili degli acquisti, il decreto richiede una rilettura attenta di tutto il ciclo di vita contrattuale, dalla definizione dei requisiti tecnici alla verifica post-fornitura.

(Immagine in apertura: Shutterstock)