Beni e servizi informatici – Tutela interessi strategici e sicurezza

Disciplina dei contratti di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici e della sicurezza nazionale. (25A02717) (GU Serie Generale n.102 del 05-05-2025)

IL PRESIDENTE
DEL CONSIGLIO DEI MINISTRI

Vista la legge 23 agosto 1988, n. 400, recante «Disciplina dell’attivita’ di Governo e ordinamento della Presidenza del Consiglio dei ministri»;
Vista la legge 28 giugno 2024, n. 90, recante «Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici» e, in particolare, l’art. 14 che stabilisce che con decreto del Presidente del Consiglio dei ministri siano individuati per specifiche categorie tecnologiche di beni e servizi informatici, gli elementi essenziali di cybersicurezza che taluni specifici soggetti devono tenere in considerazione nelle attivita’ di approvvigionamento di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici, nonche’ i casi in cui, per la tutela della sicurezza nazionale, devono essere previsti criteri di premialita’ per le proposte o per le offerte che contemplino l’uso di tecnologie di cybersicurezza italiane o di Paesi appartenenti all’Unione europea o di Paesi aderenti all’Alleanza atlantica (NATO) o di Paesi terzi individuati con il presente decreto tra quelli che sono parte di accordi di collaborazione con l’Unione europea o con la NATO in materia di cybersicurezza, protezione delle informazioni classificate, ricerca e innovazione;
Visto il decreto legislativo 7 marzo 2005, n. 82, recante «Codice dell’amministrazione digitale»;
Vista la legge 3 agosto 2007, n. 124, recante «Sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto»;
Visto il decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, recante «Ulteriori misure urgenti per la crescita del Paese»;
Visto il decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, recante «Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica»;
Visto il decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, recante «Disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale»;
Visto il decreto legislativo 3 agosto 2022, n. 123, recante «Norme di adeguamento della normativa nazionale alle disposizioni del Titolo III “Quadro di certificazione della cibersicurezza” del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio del 17 aprile 2019 relativo all’ENISA, l’Agenzia dell’Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013»;
Visto il decreto legislativo 4 settembre 2024, n. 138, recante «Recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148»;
Visto il decreto del Presidente del Consiglio dei ministri 18 dicembre 2020, n. 179, recante «Regolamento per l’individuazione dei beni e dei rapporti di interesse nazionale nei settori di cui all’art. 4, paragrafo 1, del regolamento (UE) 2019/452 del Parlamento europeo e del Consiglio, del 19 marzo 2019, a norma dell’art. 2, comma 1-ter, del decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56»;
Visto il decreto del Presidente del Consiglio dei ministri 23 ottobre 2022, con il quale al Sottosegretario di Stato alla Presidenza del Consiglio dei ministri, dott. Alfredo Mantovano, e’ stata delegata la firma dei decreti, degli atti e dei provvedimenti di competenza del Presidente del Consiglio dei ministri, a esclusione di quelli che richiedono una preventiva deliberazione del Consiglio dei ministri e di quelli relativi alle attribuzioni di cui all’art. 5 della legge 23 agosto 1988, n. 400;
Visto il decreto del Presidente del Consiglio dei ministri 12 novembre 2022, recante delega di funzioni in materia di cybersicurezza, con il quale l’Autorita’ delegata per la sicurezza della Repubblica e’ delegata a svolgere le funzioni del Presidente del Consiglio dei ministri in materia di cybersicurezza, fatte salve quelle attribuite in via esclusiva al Presidente del Consiglio dei ministri;
Visto il decreto direttoriale ACN n. 21007/2024 del 27 giugno 2024, recante «Regolamento per le infrastrutture digitali e per i servizi cloud per la pubblica amministrazione, ai sensi dell’art. 33-septies, comma 4, del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221»;
Ritenuto di dover procedere alla individuazione degli elementi
essenziali di cybersicurezza da tenere in considerazione
nell’attivita’ di approvvigionamento, per specifiche categorie
tecnologiche, di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici;
Tenuto conto che le specifiche categorie tecnologiche di beni e servizi informatici sono state individuate sulla base dell’utilizzo dei medesimi beni e servizi informatici nello svolgimento di funzioni essenziali per la cybersicurezza ovvero di servizi per i quali vi e’ una dipendenza critica o un rischio di gravi perturbazioni delle catene di approvvigionamento;
Ritenuto, altresi’, di dover procedere alla individuazione dei Paesi terzi tra quelli che sono parte di accordi di collaborazione con l’Unione europea o con la NATO in materia di cybersicurezza, protezione delle informazioni classificate, ricerca e innovazione, secondo un principio di gradualita’ volto a tutelare la sicurezza nazionale e di conseguire l’autonomia tecnologica e strategica nell’ambito della cybersicurezza;
Considerati gli accordi di collaborazione vigenti fra l’Unione europea e la NATO con Paesi terzi in materia di cybersicurezza, protezione delle informazioni classificate, ricerca e innovazione;
Esperite valutazioni di ordine diplomatico in merito alle relazioni bilaterali con i predetti Paesi, nonche’ valutazioni di ordine tecnico circa la capacita’ dei fornitori di tecnologie informatiche di assicurare elevate garanzie di sicurezza nazionale sul piano operativo e funzionale;
Sulla proposta dell’Agenzia per la cybersicurezza nazionale;
Acquisito il parere del Comitato interministeriale per la sicurezza della Repubblica, nella composizione di cui all’art. 10, comma 1, del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109;

Decreta:

VAI AL TESTO DEL PROVVEDIMENTO