C’è il nuovo DPCM cyber: ecco le regole che rivoluzionano gli appalti IT strategici della PA

Il contesto normativo

In ottemperanza alla Legge 28 giugno 2024, n. 90 e all’art. 14, il Dpcm stabilisce i requisiti di cybersicurezza per i beni e servizi informatici da acquisire in ambito nazionale.

Il decreto privilegia l’adozione di tecnologie italiane, provenienti da Paesi membri dell’Unione Europea, della Nato o da Paesi terzi con cui l’Italia ha stipulato accordi di collaborazione in materia di cybersicurezza. L’introduzione di criteri di premialità nelle gare pubbliche per l’acquisto di tecnologie da questi Paesi rappresenta un’azione volta a rafforzare la sicurezza nazionale e proteggere le informazioni classificate.

Requisiti essenziali di cybersicurezza

Il Dpcm del 30 aprile 2025 definisce linee guida fondamentali per assicurare che i beni e i servizi informatici acquistati dalle pubbliche amministrazioni siano progettati e gestiti secondo elevati standard di sicurezza.

Questi requisiti si concentrano principalmente sulla progettazione sicura e sulla gestione delle vulnerabilità, due aspetti essenziali per prevenire le minacce cibernetiche e garantire la resilienza dei sistemi informatici.

Progettazione sicura: un pilastro della sicurezza informatica

La progettazione sicura rappresenta il fondamento di ogni sistema informatico affidabile. Ogni dispositivo o applicazione deve essere sicuro per impostazione predefinita, configurato cioè per prevenire vulnerabilità e proteggere dati e funzionalità critiche.

La tempestiva correzione delle vulnerabilità è una condizione imprescindibile per contrastare le minacce emergenti e mantenere la sicurezza nel tempo.

Un altro principio essenziale è la capacità dei sistemi di mantenere operative le funzioni essenziali anche in caso di incidenti o attacchi. Questo richiede misure di resilienza e protezione specifica contro gli attacchi di tipo denial-of-service (DoS), che possono compromettere l’operatività delle infrastrutture critiche.

L’obiettivo è contenere i danni e garantire il ripristino delle attività in tempi rapidi, riducendo al minimo l’impatto sul funzionamento di altri dispositivi o reti.

La progettazione deve inoltre limitare le superfici di attacco, ovvero ridurre i punti vulnerabili accessibili agli attaccanti, in particolare nelle interfacce esterne.

Sistemi ben progettati incorporano fin dall’origine meccanismi di mitigazione degli incidenti e tecniche per contenere gli effetti di eventuali violazioni.

Infine, è essenziale garantire l’integrità e la riservatezza dei dati.

Le informazioni sensibili devono essere adeguatamente protette – per esempio mediante cifratura – e ogni modifica non autorizzata deve poter essere rilevata automaticamente. Inoltre, gli utenti devono poter eliminare in modo sicuro e permanente i propri dati e, ove necessario, trasferirli ad altri servizi in modo protetto.

Gestione delle vulnerabilità: monitoraggio e correzione continua

Accanto alla progettazione, la gestione delle vulnerabilità rappresenta un’attività permanente e strategica.

Anche i sistemi più robusti possono presentare debolezze, che devono essere costantemente individuate, monitorate e corrette. Questo richiede l’adozione di processi strutturati e automatizzati per l’analisi e la sorveglianza delle componenti hardware e software.

Comunicazione e responsabilità nella gestione delle vulnerabilità

Una gestione efficace delle vulnerabilità richiede anche un approccio trasparente e responsabile da parte di produttori e fornitori.

È importante che gli aggiornamenti di sicurezza siano forniti tempestivamente e, quando tecnicamente possibile, separatamente dagli aggiornamenti funzionali, così da evitare ritardi nell’applicazione delle patch.

Ogni aggiornamento dovrebbe essere accompagnato da informazioni dettagliate e facilmente comprensibili: descrizione della vulnerabilità, gravità, impatto e istruzioni operative per gli utenti. Questo approccio consente a chi utilizza i servizi ICT di reagire in modo consapevole e tempestivo alle minacce.

Un elemento chiave è la predisposizione di canali per la segnalazione di vulnerabilità, inclusi quelli riguardanti componenti di terze parti. I fornitori devono inoltre assicurare che gli aggiornamenti siano diffusi gratuitamente e accompagnati da messaggi chiari, che spieghino le modifiche apportate e le azioni da intraprendere. Questo rafforza la fiducia dell’utente e contribuisce a una gestione condivisa della sicurezza.

La gestione della supply chain

La sicurezza non si esaurisce all’interno dei sistemi, ma deve estendersi all’intera catena di fornitura.

Identificare i fornitori e i partner tecnologici coinvolti nella produzione o nella gestione dei beni e servizi Ict è un passo fondamentale. È necessario valutare la loro affidabilità, il grado di esposizione ai rischi cyber e la criticità dei componenti forniti.

Questo processo di valutazione del rischio legato alla supply chain permette alle amministrazioni di selezionare in modo consapevole i propri partner tecnologici, costruendo un ecosistema Ict più sicuro e resiliente.

In questo modo, si prevengono minacce potenzialmente introdotte attraverso forniture non adeguatamente controllate, garantendo una maggiore coerenza con gli obiettivi di sicurezza nazionale.

Beni e servizi interessati

L’Allegato 2 descrive le categorie di beni e servizi che rientrano nel campo della cybersicurezza, tra cui sistemi di gestione dell’identità, software anti-malware, VPN, soluzioni SIEM, infrastrutture a chiave pubblica, sistemi firewall e molto altro.

Questi beni e servizi sono essenziali per la protezione delle infrastrutture informatiche e la gestione sicura delle informazioni sensibili.

Lista dei Paesi sicuri

L’Allegato 3 del Dpcm include un elenco di Paesi terzi che, grazie a specifici accordi di collaborazione con l’Unione Europea e la Nato in ambito di cybersicurezza, protezione delle informazioni classificate, ricerca e innovazione, sono considerati sicuri.

I Paesi in questo elenco sono Australia, Svizzera, Corea del Sud, Giappone, Israele e Nuova Zelanda.

L’obiettivo dell’inclusione di questi Paesi nell’elenco è garantire la premialità nelle procedure di approvvigionamento pubblico. Nei casi previsti dall’articolo 14 della Legge n. 90/2024, le proposte che includono tecnologie di cybersicurezza provenienti da questi Paesi saranno valutate con criteri favorevoli.

Le offerte che contemplano l’uso di soluzioni di cybersicurezza da Paesi dell’elenco dell’Allegato 3 riceveranno priorità nelle gare pubbliche, promuovendo la collaborazione con nazioni partner strategici nell’ambito della cybersicurezza.

Un passo avanti nella strategia nazionale di cyber security

Il Dpcm del 30 aprile 2025 segna un importante passo avanti nella strategia nazionale di cybersicurezza, rafforzando la protezione delle infrastrutture critiche e delle informazioni sensibili attraverso un approccio strutturato all’approvvigionamento di beni e servizi ICT.

L’introduzione di requisiti tecnici chiari, la valorizzazione di tecnologie provenienti da Paesi alleati e l’attenzione alla gestione della supply chain digitale rappresentano strumenti fondamentali per costruire un ecosistema pubblico più sicuro e resiliente.

Sebbene la norma sia rivolta principalmente alle pubbliche amministrazioni, il suo impatto coinvolge direttamente anche le imprese del settore Ict, chiamate ad allinearsi a standard di sicurezza sempre più elevati.

Le aziende che sapranno interpretare questi requisiti non come vincoli burocratici, ma come opportunità strategiche, avranno un ruolo centrale nella difesa degli interessi nazionali e potranno consolidare la propria posizione come partner affidabili nella trasformazione digitale del Paese.

In definitiva, il decreto non è solo un atto normativo, ma è parte di una visione più ampia che mira a rafforzare la sovranità digitale italiana, promuovendo innovazione, responsabilità e cooperazione tra settore pubblico e privato.

La cybersicurezza, oggi più che mai, è un elemento imprescindibile per la competitività, la fiducia e la sicurezza dell’intero sistema Paese.