Contratti pubblici: al via i nuovi criteri di cybersicurezza

La nuova Legge sulla Cybersicurezza, già approvata da ambedue i rami del Parlamento, ma non ancora in G.U., disciplina i contratti pubblici di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici. Si introducono i cd. “elementi essenziali di cybersicurezza”.

Elementi di cybersicurezza

L’articolo 14 della nuova legge titolata “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici” introduce alcuni criteri di cybersicurezza nella disciplina dei contratti pubblici: nel caso di approvvigionamento di specifiche categorie di beni e servizi informatici, le pubbliche amministrazioni, le società pubbliche e i soggetti privati compresi nel perimetro di sicurezza cibernetica, devono tenere in considerazione gli elementi essenziali di cybersicurezza individuati da un DPCM da emanarsi entro 120 giorni.

Si prevedono poi, nell’ambito di detti contratti, una serie di obblighi e facoltà in capo alle stazioni appaltanti, incluse le centrali di committenza, sempre in relazione agli elementi essenziali di cybersicurezza.

Elementi essenziali di cybersicurezza

Rappresentano “l’insieme di criteri e regole tecniche la conformità ai quali, da parte di beni e servizi informatici da acquisire, garantisce confidenzialità, l’integrità e la disponibilità dei dati da trattare in misura corrispondente alle esigenze di tutela” degli interessi nazionali strategici.

In dettaglio, il comma 1 prevede l’adozione del decreto del Presidente del Consiglio dei ministri, entro 120 giorni dalla data di entrata in vigore della legge, su proposta dell’Agenzia per la cybersicurezza nazionale e previo parere del Comitato interministeriale per la sicurezza della Repubblica.

Con tale DPCM sono individuati, per determinate categorie tecnologiche di beni e servizi informatici, gli elementi essenziali di cybersicurezza da tenere in considerazione in relazione alle attività di approvvigionamento di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici.

Il DPCM individua pure le ipotesi in cui, per la tutela della sicurezza nazionale, devono essere previsti criteri di premialità per le proposte o per le offerte che contemplino l’uso di tecnologie di cybersicurezza italiane o di Paesi appartenenti all’UE o di Paesi aderenti all’Alleanza atlantica (NATO) o di Paesi terzi individuati con il medesimo DPCM di cui sopra tra quelli che sono parte di accordi di collaborazione con l’UE o con la NATO in materia di cybersicurezza, protezione delle informazioni classificate, ricerca e innovazione.

Soggetti pubblici tenuti a rispettare gli elementi essenziali di cybersicurezza

I soggetti tenuti a rispettare tali elementi essenziali nell’acquisto di beni ICT sono quelli indicati nell’articolo 2, comma 2, del codice dell’amministrazione digitale:

• le pubbliche amministrazioni, comprese le autorità di sistema portuale e le autorità amministrative indipendenti di garanzia, vigilanza e regolazione;
• i gestori di servizi pubblici, ivi comprese le società quotate, in relazione ai servizi di pubblico interesse;
• le società a controllo pubblico, escluse le società quotate a meno che non gestiscano servizi di pubblico interesse.

Privati obbligati

Inoltre, rientrano nel campo di applicazione della disposizione in commento anche i soggetti privati, non compresi tra quelli pubblici di cui sopra, ma rientranti nel perimetro di sicurezza nazionale cibernetica (PSNC) di cui all’articolo 1, comma 2-bis, del D.L. 105/2019.

Si tratta dei soggetti aventi una sede nel territorio nazionale, da cui dipende l’esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione o utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale.

L’elenco di tali soggetti è contenuta in un atto amministrativo, non soggetto a pubblicazione, adottato dal Presidente del Consiglio, su proposta del Comitato interministeriale per la cybersicurezza, entro 30 giorni dalla data di entrata in vigore del DPCM che reca modalità e criteri procedurali di individuazione dei soggetti inclusi nel PSNC (comma 3).

Obblighi delle stazioni appaltanti

Il comma 2 prevede, nell’ambito dei contratti di approvvigionamento di beni e servizi informatici, una serie di obblighi e facoltà in capo alle stazioni appaltanti, incluse le centrali di committenza, in relazione agli elementi essenziali di cybersicurezza individuati dal comma 1, prevedendo che le stazioni appaltanti, incluse le centrali di committenza:

• possono esercitare la facoltà di cui agli articoli 107, comma 2, e 108, comma 10, del D.Lgs. 36/2023 (Codice dei contratti pubblici), se accertano che l’offerta non tiene conto degli elementi essenziali di cybersicurezza individuati con il decreto di cui al comma 1;
• considerano sempre gli elementi essenziali di cybersicurezza di cui al comma 1 nella valutazione dell’elemento qualitativo, ai fini dell’individuazione del miglior rapporto qualità/prezzo per l’aggiudicazione;
• nel caso in cui sia utilizzato il criterio del minor prezzo, ai sensi dell’articolo 108, comma 3, del Codice dei contratti pubblici, inseriscono gli elementi di cybersicurezza di cui al comma 1 tra i requisiti minimi dell’offerta;
• ove sia utilizzato il criterio dell’offerta economicamente più vantaggiosa, ai sensi dell’articolo 108, comma 4, del Codice dei contratti pubblici, nella valutazione dell’elemento qualitativo ai fini dell’individuazione del migliore rapporto qualità/prezzo, stabiliscono un tetto massimo per il punteggio economico entro il limite del 10%;
• prevedono, nei casi individuati dal DPCM di cui al comma 1, criteri di premialità per le proposte o per le offerte che contemplino l’uso di tecnologie di cybersicurezza italiane o di Paesi appartenenti all’UE o di Paesi aderenti alla NATO o di Paesi terzi tra quelli che sono parte di accordi di collaborazione con l’UE o con la NATO in materia di cybersicurezza, protezione delle informazioni classificate, ricerca e innovazione, al fine di tutelare la sicurezza nazionale e di conseguire l’autonomia tecnologica e strategica nell’ambito della cybersicurezza.

Le disposizioni introdotte dall’articolo 14 in disamina si inseriscono in un sistema normativo di approvvigionamento di beni ICT già disciplinato dall’articolo 1 del D.L. 105/2019, relativo al perimetro di sicurezza nazionale cibernetica.