, ,

CODICE DEI CONTRATTI E CYBERSICUREZZA il DPCM 30.04.2025

Continua il percorso normativo per la cybersicurezza nella PA

L’articolo 1 della Legge 90/2024 prosegue nel rafforzamento della cybersicurezza nazionale, definendo i principi fondamentali da applicare nell’approvvigionamento di beni e servizi ICT da parte delle pubbliche amministrazioni e dei soggetti strategici.

Tuttavia, restano esclusi dall’applicazione immediata i soggetti di cui all’art. 2, comma 2, del D.Lgs. 82/2005, come specificato anche nel rinvio all’art. 1, comma 2, del D.Lgs. 165/2001.

Una riserva per questi enti era stata introdotta all’art. 14 della Legge 90/2024, ma è stata sciolta con il DPCM 30 aprile 2025, che ne chiarisce ambito e obblighi.

Il DPCM 30 aprile 2025: un passo decisivo per la cybersicurezza pubblica

Il titolo completo è indicativo dell’impatto trasversale della disciplina:

“Disciplina dei contratti di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici e della sicurezza nazionale”

Articolo 1 – Oggetto

  • Definisce gli elementi essenziali di cybersicurezza da rispettare;
  • Individua le categorie tecnologiche soggette a tali obblighi (allegato 2);
  • Introduce criteri di premialità per offerte che impiegano tecnologie sicure;
  • Stabilisce l’elenco dei Paesi terzi affidabili (allegato 3).

Articolo 2 – Elementi essenziali di cybersicurezza

Rinvia all’allegato 1, che distingue due blocchi:

  • Parte I: requisiti progettuali (configurazioni sicure, aggiornamenti automatici, autenticazione, cifratura);
  • Parte II: gestione delle vulnerabilità (documentazione, aggiornamenti, supply chain).

Articolo 3 – Categorie tecnologiche (Allegato 2)

L’allegato 2, basato sui codici CPV, è una carta di lavoro per RUP, RTD e DPO. Elenca le categorie strategiche tra cui:

  • Sistemi di autenticazione,
  • Firewall, router, VPN,
  • Storage, backup, servizi cloud,
  • Software antivirus, SIEM, droni, SCADA.

Articolo 4 – Premialità per tecnologie sicure

Prevede punteggi premiali in gara per offerte che impiegano:

  • Tecnologie italiane, europee o dei Paesi NATO;
  • Tecnologie dei Paesi terzi affidabili (art. 5 e allegato 3);

Il tutto previa presentazione del B.O.M. – Bill of Materials per mappare origine e composizione tecnologica.

Articolo 5 – Paesi terzi “affidabili”

L’allegato 3 elenca i Paesi extra-UE e extra-NATO considerati “affidabili” per la cybersicurezza, in quanto firmatari di accordi con UE e NATO:

  • Australia
  • Corea del Sud
  • Giappone
  • Israele
  • Nuova Zelanda
  • Svizzera

Conclusioni

Il DPCM 30 aprile 2025 costituisce una svolta normativa e operativa per la sicurezza digitale della PA. Fornisce:

  • una base normativa per l’approvvigionamento ICT sicuro;
  • uno strumento operativo per la qualificazione delle offerte in ambito strategico;
  • un quadro coerente con la NIS2 e la strategia europea di cybersicurezza.

È uno strumento che merita attenzione non solo normativa, ma anche strategica e organizzativa.

Vi lascio ora un vecchio approfondimento sulla determinazione AGID 220/2020 ed un flusso per integrare il DPCM 30/04/2025, il D.lgs 36/2023 e la determinazione AGID 220/2020.

Invece qui l’approfondimento sulla L. 90/2024

-5- Qualche strumento del PTI per i DPO. CYBERSICUREZZA, CAP 7 PTIPA

e sulla determinazione 220/2020

Sei solo chiacchiere e distintivo. La prima procedura ufficiale per il GDPR da attuare con DPO e RTD.

ovviamente ritorneremo su questo argomento, per il momento vi lascio anche un file excel per la ricerca dei CPV che rientrano nell’allegato 2 del DPCM 30 04 2025

Categorie_Tecnologiche_CPV_UnificatoDownload

lascio anche un link per una ricerca veloce (non ufficiale dei CPV)

Post Views: 1.164
/da