PRESIDENZA del CONSIGLIO dei MINISTRI – Decreto del 30 aprile 2025
Disciplina dei contratti di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici e della sicurezza nazionale
Art. 1
Oggetto
1. Fatto salvo quanto previsto per la tutela delle informazioni classificate, il presente decreto, ai sensi dell’art. 14, comma 1, della legge 28 giugno 2024, n. 90, individua:
a) gli elementi essenziali di cybersicurezza che i soggetti di cui all’art. 2, comma 2, del codice dell’amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, e i soggetti privati non compresi tra quelli di cui all’art. 2, comma 2, del codice dell’amministrazione digitale e inseriti nell’elencazione di cui all’art. 1, comma 2-bis, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, tengono in considerazione nelle attività di approvvigionamento di beni e servizi informatici, appartenenti a specifiche categorie tecnologiche, impiegati in un contesto connesso alla tutela degli interessi nazionali strategici;
b) le specifiche categorie tecnologiche di beni e servizi informatici per i quali sono tenuti in considerazione gli elementi essenziali di cybersicurezza di cui alla lettera a);
c) i casi in cui, per la tutela della sicurezza nazionale, devono essere previsti criteri di premialità per le proposte o per le offerte che contemplino l’uso di tecnologie di cybersicurezza italiane o di Paesi appartenenti all’Unione europea o di Paesi aderenti all’Alleanza atlantica (NATO) o di Paesi terzi individuati dal presente decreto tra quelli che sono parte di accordi di collaborazione con l’Unione europea o con la NATO in materia di cybersicurezza, protezione delle informazioni classificate, ricerca e innovazione;
d) i Paesi terzi di cui alla lettera c), tra quelli che sono parte di accordi di collaborazione con l’Unione europea o con la NATO in materia di cybersicurezza, protezione delle informazioni classificate, ricerca e innovazione.
Art. 2
Elementi essenziali di cybersicurezza
1. Gli elementi essenziali di cybersicurezza, di cui all’art. 14, comma 1, della legge n. 90 del 2024, sono indicati nell’allegato 1 del presente decreto, che ne costituisce parte integrante.
Art. 3
Elenco delle categorie tecnologiche di beni e servizi informatici
1. Le categorie di cui all’art. 1, comma 1, lettera b), sono contenute nell’elenco di cui all’allegato 2 del presente decreto, che ne costituisce parte integrante.
Art. 4
Casi in cui, per la tutela della sicurezza nazionale, devono essere previsti criteri di premialità
1. I casi di cui all’art. 1, comma 1, lettera c), sono quelli in cui le tecnologie di cybersicurezza sono destinate a essere impiegate dai soggetti di cui all’art. 1, comma 2-bis, del decreto-legge n. 105 del 2019, e riguardano le reti, i sistemi informativi e i servizi informatici di cui all’art. 1, comma 2, lettera b), del medesimo decreto-legge n. 105 del 2019, ovvero sono funzionali alla loro protezione fisica e logica.
2. Nei casi previsti dal comma 1, i criteri di premialità di cui all’art. 14 della legge n. 90 del 2024, si applicano previa analisi dell’elenco di tutti i componenti di fabbricazione del prodotto o delle infrastrutture impiegate per erogare un servizio (cosiddetto B.O.M. – Bill of materials) presentato in sede di proposta o offerta dagli operatori economici. I medesimi criteri di premialità si applicano, in maniera paritaria e uniforme, alle proposte o alle offerte che contemplino l’uso di tecnologie di cybersicurezza italiane o di Paesi appartenenti all’Unione europea o di Paesi aderenti all’Alleanza atlantica (NATO) o dei Paesi terzi individuati nell’allegato 3 del presente decreto.
Art. 5
Elenco dei Paesi terzi
1. L’elenco dei Paesi terzi di cui all’art. 1, comma 1, lettera d), individuati in fase di prima applicazione, è contenuto nell’allegato 3 del presente decreto, di cui costituisce parte integrante.
Art. 6
Disposizioni finali e pubblicazione
1. Il presente decreto è soggetto ad aggiornamento periodico, anche in funzione del mutamento del contesto di riferimento, della congiuntura internazionale e dell’evoluzione tecnologica.
2. Il presente decreto è pubblicato nella Gazzetta Ufficiale della Repubblica italiana e sarà inviato agli organi di controllo secondo le vigenti disposizioni.
Allegato 1
ELEMENTI ESSENZIALI DI CYBERSICUREZZA DEI BENI E DEI SERVIZI INFORMATICI
(articolo 2)
Parte I. Requisiti relativi alle proprietà dei beni e dei servizi informatici.
1) I beni e i servizi informatici sono progettati, sviluppati, prodotti e forniti in modo da garantire un livello adeguato di cybersicurezza in base ai rischi.
2) Sulla base della valutazione dei rischi di cybersicurezza, i beni e i servizi informatici:
a) sono forniti senza vulnerabilità sfruttabili note;
b) sono forniti con una configurazione sicura per impostazione predefinita, con la possibilità di ripristinare il bene o servizio informatico allo stato originale;
c) garantiscono che le vulnerabilità possano essere trattate mediante aggiornamenti di sicurezza, anche, se del caso, mediante aggiornamenti di sicurezza automatici installati entro e per un periodo di tempo adeguato, abilitato come impostazione predefinita, con un meccanismo di disattivazione chiaro e di facile utilizzo, attraverso la notifica agli utilizzatori degli aggiornamenti disponibili e la possibilità di rinviarli temporaneamente;
d) garantiscono la protezione dall’accesso non autorizzato mediante adeguati meccanismi di controllo, tra cui, e in ogni caso, sistemi di autenticazione e di gestione dell’identità o dell’accesso, e che segnalano eventuali accessi non autorizzati;
e) proteggono la riservatezza dei dati, personali o di altro tipo, conservati, trasmessi o altrimenti trattati, mediante l’uso di tecnologie allo stato dell’arte, tra cui sistemi per la cifratura dei pertinenti dati a riposo o in transito;
f) proteggono l’integrità dei dati, personali o di altro tipo conservati, trasmessi o altrimenti trattati, dei comandi, dei programmi e della configurazione da qualsiasi manipolazione o modifica non autorizzata da parte dell’utilizzatore, e segnalano le corruzioni;
g) trattano solo dati, personali o di altro tipo, adeguati, pertinenti e limitati a quanto necessario in relazione alla finalità prevista («minimizzazione dei dati»);
h) proteggono la disponibilità delle funzioni essenziali e di base, anche dopo un incidente, anche attraverso misure di resilienza e di mitigazione contro gli attacchi di negazione del servizio (denial of service);
i) riducono al minimo il loro impatto negativo sulla disponibilità dei servizi forniti da altri dispositivi o reti;
l) sono progettati, sviluppati, prodotti e forniti per limitare le superfici di attacco, comprese le interfacce esterne;
m) sono progettati, sviluppati, prodotti e forniti per ridurre l’impatto degli incidenti utilizzando meccanismi e tecniche di mitigazione adeguati;
n) forniscono informazioni sulla sicurezza registrando e monitorando le attività interne pertinenti, compresi l’accesso a dati, servizi o funzioni o la modifica degli stessi, con un meccanismo di disattivazione per l’utilizzatore;
o) offrono agli utenti la possibilità di rimuovere in modo sicuro e agevole, su base permanente, tutti i dati e tutte le impostazioni e, qualora tali dati possano essere trasferiti ad altri beni e servizi informatici, garantiscono che ciò avvenga in modo sicuro.
Parte II. Requisiti di gestione delle vulnerabilità.
1. La fornitura di beni e servizi informatici deve prevedere:
a) l’identificazione e la documentazione delle vulnerabilità e dei componenti contenuti nel bene o servizio informatico, e la redazione di una distinta base del software in un formato di uso comune e leggibile da un dispositivo automatico, che includa almeno le dipendenze di primo livello del bene o servizio;
b) in relazione ai rischi posti dai beni e servizi informatici, l’indirizzamento e la correzione tempestiva delle vulnerabilità, anche fornendo aggiornamenti di sicurezza; ove tecnicamente fattibile, nuovi aggiornamenti di sicurezza sono forniti separatamente dagli aggiornamenti della funzionalità;
c) l’esecuzione di test e riesami efficaci e periodici della sicurezza dei beni e servizi informatici;
d) una volta reso disponibile un aggiornamento di sicurezza, la condivisione e divulgazione agli utilizzatori delle informazioni sulle vulnerabilità risolte, comprendenti una descrizione delle vulnerabilità, informazioni che consentano agli utilizzatori di identificare il bene o servizio informatico interessato, l’impatto delle vulnerabilità, la loro gravità e informazioni chiare e accessibili che aiutino gli utilizzatori a correggere le vulnerabilità; in casi debitamente giustificati, qualora ritenuto che i rischi di sicurezza legati alla divulgazione siano superiori ai benefici in termini di sicurezza, è possibile ritardare la divulgazione di informazioni su una vulnerabilità risolta fino a quando gli utilizzatori non abbiano avuto la possibilità di applicare la pertinente patch, in coerenza con quanto previsto dall’art. 16 del decreto legislativo 4 settembre 2024, n. 138;
e) l’adozione di misure per facilitare la condivisione di informazioni sulle potenziali vulnerabilità del bene o servizio informatico e dei componenti di terzi ivi contenuti, fornendo anche un indirizzo di contatto per la segnalazione delle vulnerabilità individuate;
f) l’adozione di meccanismi per distribuire in modo sicuro gli aggiornamenti dei beni e servizi informatici al fine di garantire che le vulnerabilità siano corrette o mitigate in modo tempestivo e, ove applicabile per gli aggiornamenti di sicurezza, in modo automatico;
g) l’identificazione dei fornitori e dei partner terzi di sistemi informatici, componenti e servizi, la loro prioritizzazione e valutazione, utilizzando, allo scopo, un processo di valutazione del rischio inerente alla catena di approvvigionamento cyber;
h) l’adozione di meccanismi per garantire che, qualora disponibili, siano diffusi tempestivamente e gratuitamente, aggiornamenti di sicurezza al fine di risolvere i problemi di sicurezza individuati, accompagnati da messaggi di avviso che forniscano agli utilizzatori le informazioni pertinenti, comprese le potenziali misure da adottare.
Allegato 2
Elenco delle categorie tecnologiche di beni e servizi informatici per le quali sono necessari elementi essenziali di cybersicurezza
(articolo 3)
| Elenco tassativo delle categorie di cui all’articolo 3 | Elenco non tassativo dei codici CPV (Common Procurement Vocabulary) |
| 1. Sistemi di gestione dell’identità e software e hardware per la gestione degli accessi privilegiati, compresi i lettori di autenticazione e controllo degli accessi, tra cui i lettori biometrici | 30233300-4 Lettori di smart card 30233310-7 Lettori di impronte digitali 30233320-0 Lettori combinati di smart card e di impronte digitali 48730000-4 Pacchetti software di sicurezza 48731000-1 Pacchetti software di sicurezza dei file 48732000-8 Pacchetti software di sicurezza dei dati |
| 2. Software che cercano, rimuovono o mettono in quarantena i software maligni | 48731000-1 Pacchetti software di sicurezza dei file 48732000-8 Pacchetti software di sicurezza dei dati 48760000-3 Pacchetti software di protezione dai virus 48761000-0 Pacchetti software antivirus |
| 3. Prodotti con elementi digitali con funzione di rete privata virtuale (VPN) | 48200000-0 Pacchetti software per reti, Internet e intranet 48211000-0 Pacchetti software per l’interconnettività di piattaforme 48220000-6 Pacchetti software per Internet e intranet 48510000-6 Pacchetti software di comunicazione 48730000-4 Pacchetti software di sicurezza 48821000-9 Server di rete 48517000-5 Pacchetti software IT 48219100-7 Pacchetti software gateway |
| 4. Sistemi di gestione della rete | 48517000-5 Pacchetti software IT 48219000-6 Pacchetti software vari per reti 48210000-3 Pacchetti software per reti 48200000-0 Pacchetti software per reti, Internet e intranet 48219500-1 Pacchetti software per switch o router 48219700-3 Pacchetti software per server di comunicazione 48781000-6 Pacchetti software di gestione di sistemi 48151000-1 Sistema di controllo informatico |
| 5. Sistemi di gestione delle informazioni e degli eventi di sicurezza (sistemi SIEM) | 48517000-5 Pacchetti software IT 48730000-4 Pacchetti software di sicurezza |
| 6. Infrastrutture a chiave pubblica e software per il rilascio di certificati digitali | 48730000-4 Pacchetti software di sicurezza 48732000-8 Pacchetti software di sicurezza dei dati 48800000-6 Sistemi e server di informazione 48810000-9 Sistemi di informazione 48151000-1 Sistema di controllo informatico |
| 7. Router, modem, anche di tipo satellitare, per la connessione a internet e switch | 30200000-1 Apparecchiature informatiche e forniture 32400000-7 Network 32410000-0 Rete locale 32412000-4 Rete di comunicazioni 32412100-5 Rete di telecomunicazioni 32412120-1 Intranet 32415000-5 Rete Ethernet 32420000-3 Apparecchiature di rete 32422000-7 Componenti di rete 32424000-1 Infrastruttura di rete 32427000-2 Sistema di rete 32552410-4 Modem 32413100-2 Router di rete 32500000-8 Materiali per telecomunicazioni 32260000-3 Apparecchiature per la trasmissione di dati |
| 8. Microprocessori con funzionalità legate alla sicurezza | 31712116-6 Microprocessori 31712200-2 Microsistemi |
| 9. Microcontrollori con funzionalità legate alla sicurezza | 31712116-6 Microprocessori 31712200-2 Microsistemi |
| 10. Circuiti integrati per applicazioni specifiche (ASIC), sistemi integrati su singolo chip (SOC) e reti di porte programmabili dall’utilizzatore (FPGA) con funzionalità legate alla sicurezza | 31712116-6 Microprocessori 31712200-2 Microsistemi |
| 11. Firewall, sistemi di rilevamento e prevenzione delle intrusioni | 31712110-4 Circuiti elettronici integrati e microassemblaggi 31712113-5 Schede a circuiti integrati 31712114-2 Circuiti elettronici integrati 31712117-3 Pacchetti di circuiti integrati |
| 12. Dispositivi hardware con cassette di sicurezza | 30210000-4 Macchine per l’elaborazione di dati (hardware) 30211300-4 Piattaforme informatiche |
| 13. Gateway per contatori intelligenti nell’ambito di sistemi di misurazione intelligenti quali definiti all’articolo 2, punto 23, della direttiva (UE) 2019/944 del Parlamento europeo e del Consiglio, e altri dispositivi a fini di sicurezza avanzati, compreso il trattamento crittografico sicuro | 38800000-3 Attrezzature di controllo dei processi industriali e attrezzature di controllo a distanza 38820000-9 Attrezzatura per controllo a distanza |
| 14. Carte intelligenti o dispositivi analoghi, compresi gli elementi sicuri | 30162000-2 Carte intelligenti |
| 15. Sistemi di storage di rete (Network Attached Storage, Storage Area Network) | 32400000-7 Network 30234500-3 Strumenti di stoccaggio di memoria 30233000-1 Dispositivi di stoccaggio e lettura di dati |
| 16. Sistemi e servizi di back-up | 48710000-8 Pacchetti software di back-up o recupero 72910000-2 Servizi di back-up informatico |
| 17. Sistemi di videosorveglianza per controllo accessi e sicurezza fisica, nonché sistemi di acquisizione immagini per finalità di controllo, compresi gli scanner | 32323500-8 Sistema di videosorveglianza 38582000-8 / 38581000-1 Scanner per controllo bagagli e merci |
| 18. Servizi di consulenza, sviluppo e manutenzione di piattaforme software afferenti alle categorie 1, 2, 3, 4, 5, 6, 11, 15, 16 e 17 | 72200000-7 Programmazione di software e servizi di consulenza 72230000-6 Servizi di sviluppo di software personalizzati 72210000-0 Servizi di programmazione di prodotti software in pacchetti 72240000-9 Servizi di analisi e programmazione di sistemi 72260000-5 Servizi connessi al software 72530000-9 Servizi per rete informatica 72550000-5 Servizi di audit informatico 72570000-1 Servizi di back-up informatico 72250000-2 Servizi di manutenzione e assistenza sistemi |
| 19. Servizi cloud | 72300000-8 Servizi di elaborazione dati 72310000-1 Servizi di trattamento dati 72400000-4 Servizi di Internet 72410000-7 Servizi di provider 72416000-9 Fornitori di servizi di applicazioni 72500000-0 Servizi informatici |
| 20. Sistemi di sicurezza gestiti (Managed Security Services – MSS) | 72300000-8 Servizi di elaborazione dati 72314000-9 Servizi di raccolta e di collazione dati 72315000-6 Servizi di gestione e supporto di reti di trasmissione dati 72315100-7 Servizi di assistenza per una rete di trasmissione dati 72315200-8 Servizi di gestione di reti di trasmissione dati 72316000-3 Servizi analisi di dati |
| 21. Componenti hardware e software per acquisizione dati, monitoraggio, supervisione controllo, attuazione e automazione di reti di telecomunicazione e sistemi industriali e infrastrutturali | 42961200-2 Sistemi SCADA (Supervisory Control And Data Acquisition) |
| 22. Software di controllo droni | 34711200-6 Aeromobili senza pilota |
Allegato 3
ELENCO ALFABETICO DEI PAESI TERZI TRA QUELLI CHE SONO PARTE DI ACCORDI DI COLLABORAZIONE SIA CON L’UNIONE EUROPEA SIA CON LA NATO IN MATERIA DI CYBERSICUREZZA, PROTEZIONE DELLE INFORMAZIONI CLASSIFICATE, RICERCA E INNOVAZIONE
(articolo 5)
- Australia
- Corea del Sud
- Giappone
- Israele
- Nuova Zelanda
- Svizzera