Condividi questo articolo:

Nuove regole per gli acquisti ICT “sensibili”: cosa prevede il DPCM 30 aprile 2025

1. Perché nasce il provvedimento

Il DPCM 30 aprile 2025 (pubblicato in G.U. n. 102 del 5 maggio 2025) attua l’art. 14 della legge 90/2024 sulla cybersicurezza nazionale. Scopo del decreto è fissare, per specifiche categorie di beni e servizi informatici utilizzati in ambiti strategici, gli elementi essenziali di sicurezza che amministrazioni pubbliche e operatori nazionali critici devono pretendere nella fase di approvvigionamento.

Argomenti trattati

2. Ambito soggettivo e oggettivo

Sono tenuti al rispetto delle nuove regole:

gli enti della PA di cui all’art. 2 c. 2 CAD;
i soggetti privati inclusi nel perimetro di sicurezza nazionale cibernetica (DL 105/2019) che svolgono funzioni essenziali.

Il decreto si concentra su prodotti e servizi ICT che, se compromessi, potrebbero mettere a rischio interessi nazionali strategici (reti, sistemi e dati critici).

3. Gli “elementi essenziali” di cybersicurezza (Allegato 1)

Il cuore del provvedimento è l’Allegato 1: un elenco di requisiti tecnologici e di processo che il fornitore deve garantire lungo l’intero ciclo di vita del prodotto. In sintesi:

Securebydesign: assenza di vulnerabilità note, configurazione sicura di default, limitazione della “superficie d’attacco”.
Patching & update: aggiornamenti di sicurezza tempestivi (anche automatici) e gratuiti, con notifica agli utenti.
Confidentiality & Integrity: cifratura “allo stato dell’arte”, autenticazione robusta, protezione dei dati in transito e a riposo.
Availability & Resilience: meccanismi antiDoS, continuità operativa, recovery dopo incidente.
Logging & Monitoring: registrazione delle attività rilevanti e segnalazione di accessi non autorizzati.
SBOM e gestione vulnerabilità: obbligo di fornire una distinta base software leggibile da macchina e processo di vulnerability disclosure.

Molti requisiti riecheggiano il futuro Cyber Resilience Act UE, rendendo di fatto il decreto un ponte tra normativa nazionale e standard europei.

4. Le 12 categorie tecnologiche “sorvegliate speciali” (Allegato 2)

L’Allegato 2 elenca in modo tassativo i segmenti ICT oggetto delle nuove clausole di sicurezza, con relativi codici CPV. Tra i più rilevanti:

Identity & Access Management (lettori biometrici, software PAM).
Antimalware e soluzioni di endpoint protection.
VPN e prodotti con funzione di rete privata.
Network Management Systems e apparati di rete (router, switch).
SIEM e piattaforme di log analysis.
PKI e digital certificates.
12. Hardware security (microprocessori, microcontrollori, ASIC/FPGA, firewall, HSM).

Per ciascuna categoria, le stazioni appaltanti dovranno verificare che le offerte rispettino gli elementi di sicurezza dell’Allegato 1.

5. Premialità “amica”: filiera europea, NATO o Paesi partner (Art. 4 e Allegato 3)

Nei contratti che riguardano reti e servizi critici, il decreto introduce criteri di premialità per le offerte che impiegano tecnologie:

sviluppate in Italia, in uno Stato UE o NATO;
provenienti da Paesi terzi “affidabili” elencati nell’Allegato 3 (Australia, Corea del Sud, Giappone, Israele, Nuova Zelanda, Svizzera).

La scelta risponde a due obiettivi: ridurre la dipendenza da fornitori extraeuropei potenzialmente ostili e rafforzare la resilienza della supply chain ICT.

6. Focus sul Bill of Materials (BOM)

Per ottenere il punteggio premiale, il fornitore deve presentare un BOM completo del prodotto/servizio: la lista di tutti i componenti HW/SW, indispensabile per valutare rischi di filiera, vulnerabilità note e compliance rispetto ai criteri di cui sopra.

7. Aggiornamento dinamico

L’art. 6 stabilisce che il DPCM sarà aggiornato periodicamente per adeguarsi all’evoluzione tecnologica e geopolitica, evitando di cristallizzare requisiti che rischierebbero di diventare obsoleti.

8. Implicazioni pratiche per PA e aziende

Uffici Acquisti dovranno integrare nei capitolati i requisiti tecnici di Allegato 1 e richiedere il BOM come documento obbligatorio.

CIO e CISO dovranno verificare l’allineamento dei vendor alla nuova checklist di sicurezza, pianificando audit periodici.

Fornitori ICT chiamati a gare su reti/servizi critici dovranno:

dimostrare la conformità ai requisiti (securebydesign, patching, logging, SBOM);
indicare la sede di sviluppo e produzione per accedere ai criteri di premialità;
mantenere processi di vulnerability management e disclosure trasparenti.

Mercato hardware: la preferenza verso microprocessori e componenti “trusted” UE/NATO stimolerà la crescita di filiere locali e potrà impattare su costi e tempi di consegna.

9. Conclusioni

Il DPCM 30 aprile 2025 segna un passo decisivo verso una “cybersecurity by procurement”: la sicurezza non è più solo un requisito contrattuale generico, ma un set analitico di obblighi tecnici, organizzativi e di filiera che le PA e gli operatori critici devono pretendere a monte, prima che il software o l’hardware entri in esercizio.

Per i professionisti della sicurezza significa nuova linfa per processi di vendor risk management, per le imprese ICT un cambio di paradigma che premia la trasparenza e l’affidabilità geopolitica della supply chain.

Testo ufficiale in Gazzetta Ufficiale:
https://www.gazzettaufficiale.it/atto/serie_generale/caricaDettaglioAtto/originario?atto.codiceRedazionale=25A02717&atto.dataPubblicazioneGazzetta=2025-05-05

Post correlati

Nuove regole per gli acquisti ICT “sensibili”: cosa prevede il DPCM 30 aprile 2025

1. Perché nasce il provvedimento

2. Ambito soggettivo e oggettivo

3. Gli “elementi essenziali” di cybersicurezza (Allegato 1)

4. Le 12 categorie tecnologiche “sorvegliate speciali” (Allegato 2)

5. Premialità “amica”: filiera europea, NATO o Paesi partner (Art. 4 e Allegato 3)

6. Focus sul Bill of Materials (BOM)

7. Aggiornamento dinamico

8. Implicazioni pratiche per PA e aziende

9. Conclusioni

Soft spam: regole d’ingaggio senza consenso (solo email)

Cybersecurity e turismo: violazione di dati in strutture ricettive italiane

Referti Medici e Intelligenza Artificiale Generativa

Nuove regole per gli acquisti ICT “sensibili”: cosa prevede il DPCM 30 aprile 2025

1. Perché nasce il provvedimento

2. Ambito soggettivo e oggettivo

3. Gli “elementi essenziali” di cybersicurezza (Allegato 1)

4. Le 12 categorie tecnologiche “sorvegliate speciali” (Allegato 2)

5. Premialità “amica”: filiera europea, NATO o Paesi partner (Art. 4 e Allegato 3)

6. Focus sul Bill of Materials (BOM)

7. Aggiornamento dinamico

8. Implicazioni pratiche per PA e aziende

9. Conclusioni

Soft spam: regole d’ingaggio senza consenso (solo email)

Cybersecurity e turismo: violazione di dati in strutture ricettive italiane

Referti Medici e Intelligenza Artificiale Generativa

Dati richiedente

Inserisci i dati per il check-up

Conosci la normativa di riferimento (D.lgs 196/2003, il D.lgs 101/2018 ed il Reg. UE 2016/679)?

Hai mappato tutti i trattamenti che effettui?

Hai mappato chi tratta i dati e come?

Hai previsto delle procedure per la gestione dei dati?

Hai creato i registri necessari previsti dalla legge?

Hai verificato i rischi ed applicato le relative misure?

Hai valutato l’impatto privacy per i trattamenti per cui è previsto?

Hai effettuato la formazione obbligatoria relativa al trattamento dei dati?

Hai effettuato le nomine a tutti i soggetti che trattano dati?

Hai impartito precise istruzioni e formazione ai soggetti ai quali hai delegato dei trattamenti?

Hai previsto delle procedure per gestire eventuali data breach?

Hai aggiornato le informative per tutti i trattamenti?

Gestisci correttamente i consensi?

Hai valutato l’obbligo e/o l’opportunità di avere un Responsabile per la Protezione dei Dati?

verifichi periodicamente che il tuo sistema di gestione privacy sia in regola?

Nuove regole per gli acquisti ICT “sensibili”: cosa prevede il DPCM 30 aprile 2025