Contratti pubblici di beni e servizi informatici: le novità in Gazzetta Ufficiale

Con la pubblicazione nella Gazzetta Ufficiale del 2 luglio 2024, n. 153, della Legge 28 giugno 2024 , n. 90 sono state promulgate nuove disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici, che introducono anche importanti novità sui contratti pubblici di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici.

Rafforzamento cybersicurezza nazionale: la legge in Gazzetta Ufficiale

La legge è così strutturata:

• Capo I - Disposizioni in materia di rafforzamento della cybersicurezza nazionale, di resilienza delle pubbliche amministrazioni e del settore finanziario, di personale e funzionamento dell’agenzia per la cybersicurezza nazionale e degli organismi di informazione per la sicurezza nonché di contratti pubblici di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici
  • Art. 1. Obblighi di notifica di incidenti
  • Art. 2. Mancato o ritardato adeguamento a segnalazioni dell’Agenzia per la cybersicurezza nazionale
  • Art. 3. Norme di raccordo con le disposizioni del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133
  • Art. 4. Disposizioni in materia di dati relativi a incidenti informatici
  • Art. 5. Disposizioni in materia di Nucleo per la cybersicurezza
  • Art. 6. Disposizioni in materia di coordinamento operativo tra i servizi di informazione per la sicurezza e l’Agenzia per la cybersicurezza nazionale
  • Art. 7. Composizione del Comitato interministeriale per la sicurezza della Repubblica
  • Art. 8. Rafforzamento della resilienza delle pubbliche amministrazioni e referente per la cybersicurezza
  • Art. 9. Rafforzamento delle misure di sicurezza dei dati attraverso la crittografia
  • Art. 10. Funzioni dell’Agenzia per la cybersicurezza nazionale in materia di crittografia
  • Art. 11. Procedimento amministrativo sanzionatorio per l’accertamento e la contestazione delle violazioni in materia di cybersicurezza di competenza dell’Agenzia per la cybersicurezza nazionale
  • Art. 12. Disposizioni in materia di personale dell’Agenzia per la cybersicurezza nazionale
  • Art. 13. Disposizioni in materia di personale degli organismi di informazione per la sicurezza
  • Art. 14. Disciplina dei contratti pubblici di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici e disposizioni di raccordo con il decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133
  • Art. 15. Modifica all’articolo 16 della legge 21 febbraio 2024, n. 15
• Capo II - Disposizioni per la prevenzione e il contrasto dei reati informatici nonché in materia di coordinamento degli interventi in caso di attacchi a sistemi informatici o telematici e di sicurezza delle banche di dati in uso presso gli uffici giudiziari
  • Art. 16. Modifiche al codice penale
  • Art. 17. Modifiche al codice di procedura penale
  • Art. 18. Modifiche al decreto-legge 15 gennaio 1991, n. 8, convertito, con modificazioni, dalla legge 15 marzo 1991, n. 82
  • Art. 19. Modifica al decreto-legge 13 maggio 1991, n. 152, convertito, con modificazioni, dalla legge 12 luglio 1991, n. 203
  • Art. 20. Modifiche al decreto legislativo 8 giugno 2001, n. 231
  • Art. 21. Modifica alla legge 11 gennaio 2018, n. 6
  • Art. 22. Modifiche al decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109
  • Art. 23. Modifiche all’articolo 7 della legge 12 agosto 1962, n. 1311
  • Art. 24. Disposizioni finanziarie

Cybersicurezza: la disciplina sui contratti pubblici di beni e servizi informatici

L’art. 14 della Legge, nello specifico, disciplina i contratti pubblici di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici e contiene anche disposizioni di raccordo con il decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133.

In particolare si dispone che entro 120 giorni dall’entrata in vigore della Legge (prevista per il 17 luglio 2024), dovrà essere adottato un dPCM nel quale sono individuati, per specifiche categorie tecnologiche di beni e servizi informatici, gli elementi essenziali di cybersicurezza che i soggetti di cui all’articolo 2, comma 2, del codice dell’amministrazione digitale, (d.Lgs. n. 82/2005) devono tenere in considerazione:

• nelle attività di approvvigionamento di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici;
• nei casi in cui, per la tutela della sicurezza nazionale, devono essere previsti criteri di premialità per le proposte o per le offerte che contemplino l’uso di tecnologie di cybersicurezza italiane o di Paesi appartenenti all’Unione europea o di Paesi aderenti all’Alleanza atlantica (NATO) o di Paesi terzi (individuati dallo stesso decreto) tra quelli che sono parte di accordi di collaborazione con l’Unione europea o con la NATO in materia di cybersicurezza, protezione delle informazioni classificate, ricerca e innovazione.

Per «elementi essenziali di cybersicurezza» si intende l’insieme di criteri e regole tecniche a cui i beni e servizi informatici da acquisire devono essere conformi per garantire che il livello di confidenzialità, integrità e disponibilità dei dati da trattare corrisponda alle esigenze di tutela espresse dal provvedimento.

Le indicazioni per le stazioni appaltanti

A questo scopo e stazioni appaltanti, comprese le centrali di committenza:

• a) possono esercitare la facoltà di cui agli articoli 107, comma 2, e 108, comma 10, del d.Lgs. n. 36/2023 (Codice dei contratti pubblici), se accertano che l’offerta non tiene in considerazione gli elementi essenziali di cybersicurezza individuati nel Dpcm;
• b) tengono sempre in considerazione gli elementi essenziali di cybersicurezza nella valutazione dell’elemento qualitativo, ai fini dell’individuazione del miglior rapporto qualità/prezzo per l’aggiudicazione; c) nel caso in cui sia utilizzato il criterio del minor prezzo, ai sensi dell’articolo 108, comma 3, del d.Lgs. n. 36/2023, inseriscono gli elementi di cybersicurezza tra i requisiti minimi dell’offerta;
• d) nel caso in cui sia utilizzato il criterio dell’offerta economicamente più vantaggiosa, ai sensi dell’articolo 108, comma 4, del codice dei Contratti, nella valutazione dell’elemento qualitativo ai fini dell’individuazione del migliore rapporto qualità/prezzo, stabiliscono un tetto massimo per il punteggio economico entro il limite del 10%;
• e) prevedono criteri di premialità per le proposte o per le offerte che contemplino l’uso di tecnologie di cybersicurezza italiane o di Paesi appartenenti all’Unione europea o di Paesi aderenti alla NATO o di Paesi terzi individuati con il decreto tra quelli che sono parte di accordi di collaborazione con l’Unione europea o con la NATO in materia di cybersicurezza, protezione delle informazioni classificate, ricerca e innovazione, al fine di tutelare la sicurezza nazionale e di conseguire l’autonomia tecnologica e strategica nell’ambito della cybersicurezza.

Le disposizioni si applicano anche ai soggetti privati non compresi tra quelli elencati nel CAD ma che sono inseriti nell’elenco previsto dal comma 2-bis dell’articolo 1, comma 2 -bis, del D.L. n. 205/2019, convertito con modificazioni dalla legge n. 133/2019 (recante Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica).

Inoltre rimangono vigenti le disposizioni dell’art. 1 dello stesso D.L. n. 105/2019 per i casi relativi all’approvvigionamento di beni, sistemi e servizi di information and communication technology destinati ad essere impiegati nelle reti e nei sistemi informativi, oltre che per l’espletamento dei servizi informatici di cui alla lettera b) del comma 2 dello stesso articolo 1.