Close Menu
Norme Ordine pubblico Sanità

D.P.C.M. 30 aprile 2025 Disciplina dei contratti di beni e servizi informatici

Redazionedi
iscrizione contemporanea a due albi professionali

Decreto del Presidente del Consiglio dei Ministri 30 aprile 2025

(Gazz. Uff. 5 maggio 2025, n. 102)

Disciplina dei contratti di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici e della sicurezza nazionale.

Articolo 1
Oggetto
1. Fatto salvo quanto previsto per la tutela delle informazioni classificate, il presente decreto, ai sensi dell’art. 14, comma 1, della legge 28 giugno 2024, n. 90, individua:
a) gli elementi essenziali di cybersicurezza che i soggetti di cui all’art. 2, comma 2, del codice dell’amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, e i soggetti privati non compresi tra quelli di cui all’art. 2, comma 2, del codice dell’amministrazione digitale e inseriti nell’elencazione di cui all’art. 1, comma 2-bis, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, tengono in considerazione nelle attività di approvvigionamento di beni e servizi informatici, appartenenti a specifiche categorie tecnologiche, impiegati in un contesto connesso alla tutela degli interessi nazionali strategici;
b) le specifiche categorie tecnologiche di beni e servizi informatici per i quali sono tenuti in considerazione gli elementi essenziali di cybersicurezza di cui alla lettera a);
c) i casi in cui, per la tutela della sicurezza nazionale, devono essere previsti criteri di premialità per le proposte o per le offerte che contemplino l’uso di tecnologie di cybersicurezza italiane o di Paesi appartenenti all’Unione europea o di Paesi aderenti all’Alleanza atlantica (NATO) o di Paesi terzi individuati dal presente decreto tra quelli che sono parte di accordi di collaborazione con l’Unione europea o con la NATO in materia di cybersicurezza, protezione delle informazioni classificate, ricerca e innovazione;
d) i Paesi terzi di cui alla lettera c), tra quelli che sono parte di accordi di collaborazione con l’Unione europea o con la NATO in materia di cybersicurezza, protezione delle informazioni classificate, ricerca e innovazione.

Articolo 2
Elementi essenziali di cybersicurezza
1. Gli elementi essenziali di cybersicurezza, di cui all’art. 14, comma 1, della legge n. 90 del 2024, sono indicati nell’allegato 1 del presente decreto, che ne costituisce parte integrante.

Articolo 3
Elenco delle categorie tecnologiche di beni e servizi informatici
1. Le categorie di cui all’art. 1, comma 1, lettera b), sono contenute nell’elenco di cui all’allegato 2 del presente decreto, che ne costituisce parte integrante.

Articolo 4
Casi in cui, per la tutela della sicurezza nazionale, devono essere previsti criteri di premialità
1. I casi di cui all’art. 1, comma 1, lettera c), sono quelli in cui le tecnologie di cybersicurezza sono destinate a essere impiegate dai soggetti di cui all’art. 1, comma 2-bis, del decreto-legge n. 105 del 2019, e riguardano le reti, i sistemi informativi e i servizi informatici di cui all’art. 1, comma 2, lettera b), del medesimo decreto-legge n. 105 del 2019, ovvero sono funzionali alla loro protezione fisica e logica.
2. Nei casi previsti dal comma 1, i criteri di premialità di cui all’art. 14 della legge n. 90 del 2024, si applicano previa analisi dell’elenco di tutti i componenti di fabbricazione del prodotto o delle infrastrutture impiegate per erogare un servizio (cosiddetto B.O.M. - Bill of materials) presentato in sede di proposta o offerta dagli operatori economici. I medesimi criteri di premialità si applicano, in maniera paritaria e uniforme, alle proposte o alle offerte che contemplino l’uso di tecnologie di cybersicurezza italiane o di Paesi appartenenti all’Unione europea o di Paesi aderenti all’Alleanza atlantica (NATO) o dei Paesi terzi individuati nell’allegato 3 del presente decreto.

Articolo 5
Elenco dei Paesi terzi
1. L’elenco dei Paesi terzi di cui all’art. 1, comma 1, lettera d), individuati in fase di prima applicazione, è contenuto nell’allegato 3 del presente decreto, di cui costituisce parte integrante.

Articolo 6
Disposizioni finali e pubblicazione
1. Il presente decreto è soggetto ad aggiornamento periodico, anche in funzione del mutamento del contesto di riferimento, della congiuntura internazionale e dell’evoluzione tecnologica.
2. Il presente decreto è pubblicato nella Gazzetta Ufficiale della Repubblica italiana e sarà inviato agli organi di controllo secondo le vigenti disposizioni.

Allegato 1 (articolo 2)
Elementi essenziali di cybersicurezza dei beni e dei servizi informatici
Parte I. Requisiti relativi alle proprietà dei beni e dei servizi informatici.
1) I beni e i servizi informatici sono progettati, sviluppati, prodotti e forniti in modo da garantire un livello adeguato di cybersicurezza in base ai rischi.
2) Sulla base della valutazione dei rischi di cybersicurezza, i beni e i servizi informatici:
a) sono forniti senza vulnerabilità sfruttabili note;
b) sono forniti con una configurazione sicura per impostazione predefinita, con la possibilità di ripristinare il bene o servizio informatico allo stato originale;
c) garantiscono che le vulnerabilità possano essere trattate mediante aggiornamenti di sicurezza, anche, se del caso, mediante aggiornamenti di sicurezza automatici installati entro e per un periodo di tempo adeguato, abilitato come impostazione predefinita, con un meccanismo di disattivazione chiaro e di facile utilizzo, attraverso la notifica agli utilizzatori degli aggiornamenti disponibili e la possibilità di rinviarli temporaneamente;
d) garantiscono la protezione dall’accesso non autorizzato mediante adeguati meccanismi di controllo, tra cui, e in ogni caso, sistemi di autenticazione e di gestione dell’identità o dell’accesso, e che segnalano eventuali accessi non autorizzati;
e) proteggono la riservatezza dei dati, personali o di altro tipo, conservati, trasmessi o altrimenti trattati, mediante l’uso di tecnologie allo stato dell’arte, tra cui sistemi per la cifratura dei pertinenti dati a riposo o in transito;
f) proteggono l’integrità dei dati, personali o di altro tipo conservati, trasmessi o altrimenti trattati, dei comandi, dei programmi e della configurazione da qualsiasi manipolazione o modifica non autorizzata da parte dell’utilizzatore, e segnalano le corruzioni;
g) trattano solo dati, personali o di altro tipo, adeguati, pertinenti e limitati a quanto necessario in relazione alla finalità prevista («minimizzazione dei dati»);
h) proteggono la disponibilità delle funzioni essenziali e di base, anche dopo un incidente, anche attraverso misure di resilienza e di mitigazione contro gli attacchi di negazione del servizio (denial of service);
i) riducono al minimo il loro impatto negativo sulla disponibilità dei servizi forniti da altri dispositivi o reti;
l) sono progettati, sviluppati, prodotti e forniti per limitare le superfici di attacco, comprese le interfacce esterne;
m) sono progettati, sviluppati, prodotti e forniti per ridurre l’impatto degli incidenti utilizzando meccanismi e tecniche di mitigazione adeguati;
n) forniscono informazioni sulla sicurezza registrando e monitorando le attività interne pertinenti, compresi l’accesso a dati, servizi o funzioni o la modifica degli stessi, con un meccanismo di disattivazione per l’utilizzatore;
o) offrono agli utenti la possibilità di rimuovere in modo sicuro e agevole, su base permanente, tutti i dati e tutte le impostazioni e, qualora tali dati possano essere trasferiti ad altri beni e servizi informatici, garantiscono che ciò avvenga in modo sicuro.
Parte II. Requisiti di gestione delle vulnerabilità.
1. La fornitura di beni e servizi informatici deve prevedere:
a) l’identificazione e la documentazione delle vulnerabilità e dei componenti contenuti nel bene o servizio informatico, e la redazione di una distinta base del software in un formato di uso comune e leggibile da un dispositivo automatico, che includa almeno le dipendenze di primo livello del bene o servizio;
b) in relazione ai rischi posti dai beni e servizi informatici, l’indirizzamento e la correzione tempestiva delle vulnerabilità, anche fornendo aggiornamenti di sicurezza; ove tecnicamente fattibile, nuovi aggiornamenti di sicurezza sono forniti separatamente dagli aggiornamenti della funzionalità;
c) l’esecuzione di test e riesami efficaci e periodici della sicurezza dei beni e servizi informatici;
d) una volta reso disponibile un aggiornamento di sicurezza, la condivisione e divulgazione agli utilizzatori delle informazioni sulle vulnerabilità risolte, comprendenti una descrizione delle vulnerabilità, informazioni che consentano agli utilizzatori di identificare il bene o servizio informatico interessato, l’impatto delle vulnerabilità, la loro gravità e informazioni chiare e accessibili che aiutino gli utilizzatori a correggere le vulnerabilità; in casi debitamente giustificati, qualora ritenuto che i rischi di sicurezza legati alla divulgazione siano superiori ai benefici in termini di sicurezza, è possibile ritardare la divulgazione di informazioni su una vulnerabilità risolta fino a quando gli utilizzatori non abbiano avuto la possibilità di applicare la pertinente patch, in coerenza con quanto previsto dall’art. 16 del decreto legislativo 4 settembre 2024, n. 138;
e) l’adozione di misure per facilitare la condivisione di informazioni sulle potenziali vulnerabilità del bene o servizio informatico e dei componenti di terzi ivi contenuti, fornendo anche un indirizzo di contatto per la segnalazione delle vulnerabilità individuate;
f) l’adozione di meccanismi per distribuire in modo sicuro gli aggiornamenti dei beni e servizi informatici al fine di garantire che le vulnerabilità siano corrette o mitigate in modo tempestivo e, ove applicabile per gli aggiornamenti di sicurezza, in modo automatico;
g) l’identificazione dei fornitori e dei partner terzi di sistemi informatici, componenti e servizi, la loro prioritizzazione e valutazione, utilizzando, allo scopo, un processo di valutazione del rischio inerente alla catena di approvvigionamento cyber;
h) l’adozione di meccanismi per garantire che, qualora disponibili, siano diffusi tempestivamente e gratuitamente, aggiornamenti di sicurezza al fine di risolvere i problemi di sicurezza individuati, accompagnati da messaggi di avviso che forniscano agli utilizzatori le informazioni pertinenti, comprese le potenziali misure da adottare.

Allegato 2 (articolo 3)
Elenco delle categorie tecnologiche di beni e servizi informatici per le quali sono necessari elementi essenziali di cybersicurezza

Allegato 3 (articolo 5)
Elenco alfabetico dei Paesi terzi tra quelli che sono parte di accordi di collaborazione sia con l’Unione europea sia con la NATO in materia di cybersicurezza, protezione delle informazioni classificate, ricerca e innovazione
1. Australia
2. Corea del Sud
3. Giappone
4. Israele
5. Nuova Zelanda
6. Svizzera

Disclaimer: Contenuti a scopo informativo e divulgativo che non sostituiscono il parere legale di un avvocato. Per una consulenza legale personalizzata contatta lo studio dell’avv. Gianluca Lanciano: Clicca e compila il form · WhatsApp 340.1462661 · Chiama 340.1462661 · Scrivi info@miolegale.it
Sullo stesso argomento
iscrizione contemporanea a due albi professionali
DL 82/2021 Disposizioni urgenti in materia di cybersicurezza