disciplina dei contratti di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici e della sicurezza nazionale

Premessa
Come noto, in un contratto ICT, gli elementi essenziali da richiamare riguardano l’oggetto, la durata, il corrispettivo, le garanzie di qualità e le clausole relative alla proprietà intellettuale, alla gestione dei dati e alla risoluzione delle controversie. Elaborazione: Oggetto: Deve essere definito con precisione il servizio o il prodotto ICT (es. sviluppo software, manutenzione hardware, consulenza IT). Durata: Stabilire la durata del contratto, con la possibilità di proroghe o risoluzioni anticipate, a condizione di notifica e in accordo con le parti. Corrispettivo: Definire le modalità di pagamento, gli importi, i termini di pagamento e le penali per ritardo. Garanzie di qualità: Specificare i livelli di servizio (SLAs), le garanzie sui prodotti e la gestione dei malfunzionamenti. Proprietà intellettuale: Regolare la titolarità dei diritti di proprietà intellettuale sui software, i database o altri materiali sviluppati nell’ambito del contratto. Gestione dei dati: Indicare come saranno gestiti i dati (es. privacy, sicurezza, archiviazione, trasferimento). Responsabilità: Definire le responsabilità delle parti per eventuali danni o problemi. Risoluzione delle controversie: Stabilire il foro competente per eventuali controversie. Clausole risolutive: Definire le condizioni che possono portare alla risoluzione del contratto. Legge applicabile: Specificare la legge che regola il contratto. Clausole penali: Stabilire le penali per mancato rispetto delle obbligazioni contrattuali. Clausole di riservatezza: Indicare le informazioni che sono considerate riservate e come devono essere gestite. Clausole di garanzia: Definire le garanzie che il fornitore offre sul servizio o prodotto fornito. Clausole di accettazione: Definire le modalità di accettazione del servizio o prodotto fornito. Clausole di modifica: Definire le modalità di modifica del contratto. Clausole di risoluzione: Definire le modalità di risoluzione del contratto

Il testo del decreto
Il decreto che definisce la “disciplina dei contratti di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici e della sicurezza nazionale”. è stato pubblicato sulla gazzetta Ufficiale del 5 maggio 2025. Fatto salvo quanto previsto per la tutela delle informazioni classificate, il decreto, ai sensi dell’art. 14, comma 1, della legge 28 giugno 2024, n. 90, individua: a) gli elementi essenziali di cybersicurezza che i soggetti di cui all’art. 2, comma 2, del codice dell’amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82[1], e i soggetti privati non compresi tra quelli di cui all’art. 2, comma 2, del codice dell’amministrazione digitale e inseriti nell’elencazione di cui all’art. 1, comma 2-bis, del decreto-legge 21 settembre 2019, n. 105[2], convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, tengono in considerazione nelle attivita’ di approvvigionamento di beni e servizi informatici, appartenenti a specifiche categorie tecnologiche, impiegati in un contesto connesso alla tutela degli interessi nazionali strategici; b) le specifiche categorie tecnologiche di beni e servizi informatici per i quali sono tenuti in considerazione gli elementi essenziali di cybersicurezza di cui alla lettera a); c) i casi in cui, per la tutela della sicurezza nazionale, devono essere previsti criteri di premialità per le proposte o per le offerte che contemplino l’uso di tecnologie di cybersicurezza italiane o di Paesi appartenenti all’Unione europea o di Paesi aderenti all’Alleanza atlantica (NATO) o di Paesi terzi individuati dal presente decreto tra quelli che sono parte di accordi di collaborazione con l’Unione europea o con la NATO in materia di cybersicurezza, protezione delle informazioni classificate, ricerca e innovazione; d) i Paesi terzi di cui alla lettera c), tra quelli che sono parte di accordi di collaborazione con l’Unione europea o con la NATO in materia di cybersicurezza, protezione delle informazioni classificate, ricerca e innovazione. L’Allegato 1 contempla gli Elementi essenziali di cybersicurezza dei beni e dei servizi informatici, individuando i seguenti requisiti relativi alle proprietà dei beni e dei servizi informatici. 1) I beni e i servizi informatici sono progettati, sviluppati, prodotti e forniti in modo da garantire un livello adeguato di cybersicurezza in base ai rischi. 2) Sulla base della valutazione dei rischi di cybersicurezza, i beni e i servizi informatici: a) sono forniti senza vulnerabilita’ sfruttabili note; b) sono forniti con una configurazione sicura per impostazione predefinita, con la possibilita’ di ripristinare il bene o servizio informatico allo stato originale; c) garantiscono che le vulnerabilita’ possano essere trattate mediante aggiornamenti di sicurezza, anche, se del caso, mediante aggiornamenti di sicurezza automatici installati entro e per un periodo di tempo adeguato, abilitato come impostazione predefinita, con un meccanismo di disattivazione chiaro e di facile utilizzo, attraverso la notifica agli utilizzatori degli aggiornamenti disponibili e la possibilita’ di rinviarli temporaneamente; d) garantiscono la protezione dall’accesso non autorizzato mediante adeguati meccanismi di controllo, tra cui, e in ogni caso, sistemi di autenticazione e di gestione dell’identita’ o dell’accesso, e che segnalano eventuali accessi non autorizzati; e) proteggono la riservatezza dei dati, personali o di altro tipo, conservati, trasmessi o altrimenti trattati, mediante l’uso di tecnologie allo stato dell’arte, tra cui sistemi per la cifratura dei pertinenti dati a riposo o in transito; f) proteggono l’integrita’ dei dati, personali o di altro tipo conservati, trasmessi o altrimenti trattati, dei comandi, dei programmi e della configurazione da qualsiasi manipolazione o modifica non autorizzata da parte dell’utilizzatore, e segnalano le corruzioni; g) trattano solo dati, personali o di altro tipo, adeguati, pertinenti e limitati a quanto necessario in relazione alla finalita’ prevista («minimizzazione dei dati»); h) proteggono la disponibilita’ delle funzioni essenziali e di base, anche dopo un incidente, anche attraverso misure di resilienza e di mitigazione contro gli attacchi di negazione del servizio (denial of service); i) riducono al minimo il loro impatto negativo sulla disponibilita’ dei servizi forniti da altri dispositivi o reti; l) sono progettati, sviluppati, prodotti e forniti per limitare le superfici di attacco, comprese le interfacce esterne; m) sono progettati, sviluppati, prodotti e forniti per ridurre l’impatto degli incidenti utilizzando meccanismi e tecniche di mitigazione adeguati; n) forniscono informazioni sulla sicurezza registrando e monitorando le attivita’ interne pertinenti, compresi l’accesso a dati, servizi o funzioni o la modifica degli stessi, con un meccanismo di disattivazione per l’utilizzatore; o) offrono agli utenti la possibilita’ di rimuovere in modo sicuro e agevole, su base permanente, tutti i dati e tutte le impostazioni e, qualora tali dati possano essere trasferiti ad altri beni e servizi informatici, garantiscono che cio’ avvenga in modo sicuro. Parte II. Requisiti di gestione delle vulnerabilita’. 1. La fornitura di beni e servizi informatici deve prevedere: a) l’identificazione e la documentazione delle vulnerabilita’ e dei componenti contenuti nel bene o servizio informatico, e la redazione di una distinta base del software in un formato di uso comune e leggibile da un dispositivo automatico, che includa almeno le dipendenze di primo livello del bene o servizio; b) in relazione ai rischi posti dai beni e servizi informatici, l’indirizzamento e la correzione tempestiva delle vulnerabilita’, anche fornendo aggiornamenti di sicurezza; ove tecnicamente fattibile, nuovi aggiornamenti di sicurezza sono forniti separatamente dagli aggiornamenti della funzionalità; c) l’esecuzione di test e riesami efficaci e periodici della sicurezza dei beni e servizi informatici; d) una volta reso disponibile un aggiornamento di sicurezza, la condivisione e divulgazione agli utilizzatori delle informazioni sulle vulnerabilita’ risolte, comprendenti una descrizione delle vulnerabilita’, informazioni che consentano agli utilizzatori di identificare il bene o servizio informatico interessato, l’impatto delle vulnerabilita’, la loro gravita e informazioni chiare e accessibili che aiutino gli utilizzatori a correggere le vulnerabilita’; in casi debitamente giustificati, qualora ritenuto che i rischi di sicurezza legati alla divulgazione siano superiori ai benefici in termini di sicurezza, e’ possibile ritardare la divulgazione di informazioni su una vulnerabilita’ risolta fino a quando gli utilizzatori non abbiano avuto la possibilita’ di applicare la pertinente patch, in coerenza con quanto previsto dall’art. 16 del decreto legislativo 4 settembre 2024, n. 138; e) l’adozione di misure per facilitare la condivisione di informazioni sulle potenziali vulnerabilita’ del bene o servizio informatico e dei componenti di terzi ivi contenuti, fornendo anche un indirizzo di contatto per la segnalazione delle vulnerabilita’ individuate; f) l’adozione di meccanismi per distribuire in modo sicuro gli aggiornamenti dei beni e servizi informatici al fine di garantire che le vulnerabilita’ siano corrette o mitigate in modo tempestivo e, ove applicabile per gli aggiornamenti di sicurezza, in modo automatico; g) l’identificazione dei fornitori e dei partner terzi di sistemi informatici, componenti e servizi, la loro prioritizzazione e valutazione, utilizzando, allo scopo, un processo di valutazione del rischio inerente alla catena di approvvigionamento cyber; h) l’adozione di meccanismi per garantire che, qualora disponibili, siano diffusi tempestivamente e gratuitamente, aggiornamenti di sicurezza al fine di risolvere i problemi di sicurezza individuati, accompagnati da messaggi di avviso che forniscano agli utilizzatori le informazioni pertinenti, comprese le potenziali misure da adottare.

[1] 2. Le disposizioni del presente Codice si applicano: a) alle pubbliche amministrazioni di cui all’articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, nel rispetto del riparto di competenza di cui all’articolo 117 della Costituzione, ivi comprese le autorità di sistema portuale, nonché alle autorità amministrative indipendenti di garanzia, vigilanza e regolazione; b) ai gestori di servizi pubblici, ivi comprese le società quotate, in relazione ai servizi di pubblico interesse; c) alle società a controllo pubblico, come definite nel decreto legislativo 19 agosto 2016, n. 175, escluse le società quotate di cui all’articolo 2, comma 1, lettera p), del medesimo decreto che non rientrino nella categoria di cui alla lettera b).

[2] 2-bis. L’elencazione dei soggetti individuati ai sensi del comma 2, lettera a), è contenuta in un atto amministrativo, adottato dal Presidente del Consiglio dei ministri, su proposta del CIC, entro trenta giorni dalla data di entrata in vigore del decreto del Presidente del Consiglio dei ministri di cui al comma 2. Il predetto atto amministrativo, per il quale è escluso il diritto di accesso, non è soggetto a pubblicazione, fermo restando che a ciascun soggetto è data, separatamente, comunicazione senza ritardo dell’avvenuta iscrizione nell’elenco.L’aggiornamento del predetto atto amministrativo è effettuato con le medesime modalità di cui al presente comma.

Articoli

Categorie

Eli e Sofi: le gemelle virtuali influencer.

MARKETING: team interno vs outsourcing

Fundraising: cos’è e come nasce. Tutti i modi per fare fundraising.

L’utilizzo di sistemi di Intelligenza Artificiale in ambito lavorativo.

Il Responsabile della Conservazione Digitale: gli obblighi in capo agli enti pubblici ed ai soggetti privati.

Propaganda elettorale: Garante, no all’uso dei dati dei pazienti

Il Garante dà l’ok al nuovo sistema di fatturazione elettronica per gli operatori sanitari che andrà in vigore dal 1° gennaio 2026.

L’autenticità dei dati, quale ulteriore criterio – insieme alla riservatezza, alla integrità e alla disponibilità – per determinare il livello di sicurezza di una organizzazione.

Il Governo della Intelligenza Artificiale Generale: visto dall’altra sponda dell’Oceano. Come delineare un profilo di rischio per il futuro.

La necessità di una Governance per i sistemi di Intelligenza Artificiale.

La Determinazione 164179 del 14 aprile 2025, ACN con le specifiche di base per l’adempimento agli obblighi previsti dagli articoli 23, 24, 25, 29 e 32 del decreto NIS.

La minaccia cibernetica al settore sanitario: ACN gennaio 2023 – marzo 2025

L’istituzione scolastica e la pubblicazione di foto degli alunni su un social network senza il consenso degli alunni.

Disciplina dei contratti di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici e della sicurezza nazionale

About Author / Davide De Luca

Obbligo di nomina del punto di contatto entro il 31 maggio 2025

Nuova proroga Avviso PNRR per migrare sul cloud di Polo Strategico Nazionale

Lascia un commento Annulla risposta