Data protection

Gli elementi essenziali da richiamare nei contratti ICT: pubblicato il Decreto

Premessa
Come noto, in un contratto ICT, gli elementi essenziali da richiamare riguardano l’oggetto, la durata, il corrispettivo, le garanzie di qualità e le clausole relative alla proprietà intellettuale, alla gestione dei dati e alla risoluzione delle controversie.  Elaborazione: Oggetto: Deve essere definito con precisione il servizio o il prodotto ICT (es. sviluppo software, manutenzione hardware, consulenza IT). Durata: Stabilire la durata del contratto, con la possibilità di proroghe o risoluzioni anticipate, a condizione di notifica e in accordo con le parti. Corrispettivo: Definire le modalità di pagamento, gli importi, i termini di pagamento e le penali per ritardo. Garanzie di qualità: Specificare i livelli di servizio (SLAs), le garanzie sui prodotti e la gestione dei malfunzionamenti. Proprietà intellettuale: Regolare la titolarità dei diritti di proprietà intellettuale sui software, i database o altri materiali sviluppati nell’ambito del contratto. Gestione dei dati: Indicare come saranno gestiti i dati (es. privacy, sicurezza, archiviazione, trasferimento). Responsabilità: Definire le responsabilità delle parti per eventuali danni o problemi. Risoluzione delle controversie: Stabilire il foro competente per eventuali controversie. Clausole risolutive: Definire le condizioni che possono portare alla risoluzione del contratto. Legge applicabile: Specificare la legge che regola il contratto. Clausole penali: Stabilire le penali per mancato rispetto delle obbligazioni contrattuali. Clausole di riservatezza: Indicare le informazioni che sono considerate riservate e come devono essere gestite. Clausole di garanzia: Definire le garanzie che il fornitore offre sul servizio o prodotto fornito.  Clausole di accettazione: Definire le modalità di accettazione del servizio o prodotto fornito.  Clausole di modifica: Definire le modalità di modifica del contratto.  Clausole di risoluzione: Definire le modalità di risoluzione del contratto

Il testo del decreto
Il decreto che definisce la “disciplina dei contratti di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici e della sicurezza nazionale”. è stato pubblicato sulla gazzetta Ufficiale del 5 maggio 2025. Fatto salvo quanto previsto per la tutela delle informazioni classificate, il decreto, ai sensi dell’art.  14, comma 1, della legge 28 giugno 2024, n. 90, individua:     a) gli elementi essenziali di cybersicurezza che i soggetti di cui all’art. 2, comma 2, del codice dell’amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82[1], e i soggetti  privati non compresi tra quelli di cui all’art. 2, comma 2,  del  codice dell’amministrazione digitale  e  inseriti nell’elencazione di cui all’art. 1, comma 2-bis, del decreto-legge 21 settembre 2019, n. 105[2], convertito, con modificazioni, dalla legge 18 novembre 2019, n.  133, tengono in considerazione nelle attivita’ di approvvigionamento di beni e servizi informatici, appartenenti a specifiche categorie tecnologiche, impiegati in un contesto connesso alla tutela  degli interessi nazionali strategici;     b)  le  specifiche  categorie tecnologiche di beni e servizi informatici per i quali sono tenuti in  considerazione  gli  elementi essenziali di cybersicurezza di cui alla lettera a);     c) i casi in cui, per la tutela della sicurezza nazionale, devono essere previsti criteri di premialità  per  le  proposte  o  per  le offerte  che  contemplino  l’uso  di  tecnologie  di   cybersicurezza italiane o di  Paesi  appartenenti  all’Unione  europea  o  di  Paesi aderenti all’Alleanza atlantica (NATO) o di Paesi  terzi  individuati dal presente  decreto  tra  quelli  che  sono  parte  di  accordi  di collaborazione con l’Unione europea o  con  la  NATO  in  materia  di cybersicurezza, protezione delle informazioni classificate, ricerca e innovazione;     d) i Paesi terzi di cui alla lettera  c),  tra  quelli  che  sono parte di accordi di collaborazione con l’Unione europea o con la NATO in  materia  di   cybersicurezza,   protezione   delle   informazioni classificate, ricerca e innovazione.   L’Allegato 1 contempla gli Elementi essenziali di cybersicurezza dei beni e dei servizi informatici, individuando i seguenti requisiti relativi alle proprietà dei beni e dei servizi  informatici. 1) I beni  e  i  servizi  informatici  sono  progettati,  sviluppati, prodotti e forniti in modo da  garantire  un  livello  adeguato  di   cybersicurezza in base ai rischi. 2) Sulla base della valutazione dei rischi di cybersicurezza, i  beni  e i servizi informatici:     a) sono forniti senza vulnerabilita’ sfruttabili note;     b) sono forniti con una configurazione  sicura  per  impostazione predefinita, con la possibilita’ di ripristinare il bene  o  servizio informatico allo stato originale;     c) garantiscono che le  vulnerabilita’  possano  essere  trattate mediante aggiornamenti di sicurezza, anche,  se  del  caso,  mediante aggiornamenti di sicurezza  automatici  installati  entro  e  per  un periodo di tempo adeguato, abilitato come  impostazione  predefinita, con un meccanismo di disattivazione  chiaro  e  di  facile  utilizzo, attraverso  la  notifica  agli   utilizzatori   degli   aggiornamenti disponibili e la possibilita’ di rinviarli temporaneamente;      d) garantiscono la protezione dall’accesso non autorizzato mediante adeguati meccanismi di controllo, tra cui, e in ogni caso, sistemi  di autenticazione e di gestione dell’identita’ o dell’accesso, e che segnalano eventuali accessi non autorizzati; e) proteggono la riservatezza dei  dati,  personali  o  di  altro tipo, conservati, trasmessi o altrimenti trattati, mediante l’uso  di tecnologie allo stato dell’arte, tra cui sistemi per la cifratura dei pertinenti dati a riposo o in transito;     f) proteggono l’integrita’ dei dati, personali o di altro tipo conservati, trasmessi o altrimenti  trattati,  dei  comandi, dei programmi  e  della  configurazione da qualsiasi manipolazione o modifica non autorizzata da parte dell’utilizzatore, e  segnalano le corruzioni;     g) trattano solo dati,  personali o di altro tipo, adeguati, pertinenti e limitati a quanto necessario in relazione alla finalita’ prevista («minimizzazione dei dati»);     h) proteggono la disponibilita’ delle funzioni  essenziali  e  di base, anche dopo un incidente, anche attraverso misure di  resilienza e di mitigazione contro gli attacchi di  negazione  del  servizio (denial of service);     i)  riducono al minimo il loro impatto negativo sulla disponibilita’ dei servizi forniti da altri dispositivi o reti;     l) sono progettati, sviluppati, prodotti e forniti  per  limitare le superfici di attacco, comprese le interfacce esterne;     m) sono progettati, sviluppati, prodotti e  forniti  per  ridurre l’impatto  degli  incidenti  utilizzando  meccanismi  e  tecniche di mitigazione adeguati;     n)  forniscono  informazioni sulla sicurezza registrando e monitorando le attivita’ interne  pertinenti,  compresi  l’accesso  a dati, servizi o funzioni o la modifica degli stessi, con un meccanismo di disattivazione per l’utilizzatore;     o) offrono agli utenti  la  possibilita’  di  rimuovere  in  modo sicuro e agevole, su  base  permanente,  tutti  i  dati  e  tutte  le impostazioni e, qualora tali dati possano essere trasferiti ad  altri beni e servizi informatici, garantiscono che  cio’  avvenga  in  modo sicuro. Parte II. Requisiti di gestione delle vulnerabilita’. 1. La fornitura di beni e servizi informatici deve prevedere:     a) l’identificazione e la documentazione delle  vulnerabilita’  e dei componenti contenuti  nel  bene  o  servizio informatico, e la redazione di una distinta base del software  in  un  formato  di  uso comune e leggibile da un dispositivo automatico, che  includa  almeno le dipendenze di primo livello del bene o servizio;     b) in relazione ai rischi posti dai beni e servizi informatici, l’indirizzamento e la  correzione  tempestiva delle vulnerabilita’, anche fornendo aggiornamenti di sicurezza; ove tecnicamente fattibile, nuovi aggiornamenti di sicurezza sono forniti separatamente dagli aggiornamenti della funzionalità;     c) l’esecuzione di test e  riesami  efficaci  e  periodici  della sicurezza dei beni e servizi informatici;     d) una volta reso disponibile un aggiornamento di  sicurezza, la condivisione e divulgazione agli  utilizzatori  delle  informazioni sulle vulnerabilita’  risolte, comprendenti una descrizione delle vulnerabilita’, informazioni che  consentano agli utilizzatori di identificare il bene o servizio  informatico interessato, l’impatto delle vulnerabilita’, la loro gravita  e informazioni  chiare  e accessibili che aiutino gli utilizzatori a correggere le vulnerabilita’; in casi debitamente  giustificati,  qualora  ritenuto che i rischi di sicurezza legati alla divulgazione siano superiori ai benefici  in  termini  di  sicurezza,  e’ possibile ritardare la divulgazione di informazioni su una  vulnerabilita’ risolta fino a quando  gli  utilizzatori  non  abbiano  avuto  la  possibilita’ di applicare la  pertinente patch, in  coerenza  con  quanto  previsto dall’art. 16 del decreto legislativo 4 settembre 2024, n. 138;   e)  l’adozione  di  misure  per  facilitare  la  condivisione  di informazioni sulle potenziali  vulnerabilita’ del  bene  o  servizio informatico e dei componenti di terzi ivi contenuti,  fornendo  anche un indirizzo di contatto per  la  segnalazione  delle  vulnerabilita’ individuate;     f) l’adozione di meccanismi per distribuire in  modo  sicuro  gli aggiornamenti dei beni e servizi informatici al fine di garantire che le vulnerabilita’ siano corrette o mitigate in modo tempestivo e, ove applicabile per gli aggiornamenti di sicurezza, in modo automatico;     g) l’identificazione dei fornitori e dei partner terzi di sistemi informatici,  componenti  e  servizi,  la  loro  prioritizzazione e valutazione, utilizzando, allo scopo, un processo di valutazione  del rischio inerente alla catena di approvvigionamento cyber;     h)  l’adozione  di meccanismi per garantire che, qualora disponibili, siano   diffusi tempestivamente   e   gratuitamente, aggiornamenti di  sicurezza  al  fine  di  risolvere  i problemi di sicurezza  individuati,  accompagnati  da messaggi di avviso che forniscano agli utilizzatori le informazioni pertinenti, comprese le potenziali misure da adottare.

[1] 2. Le disposizioni del presente Codice si applicano: a) alle pubbliche amministrazioni di cui all’articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, nel rispetto del riparto di competenza di cui all’articolo 117 della Costituzione, ivi comprese le autorità di sistema portuale, nonché alle autorità amministrative indipendenti di garanzia, vigilanza e regolazione; b) ai gestori di servizi pubblici, ivi comprese le società quotate, in relazione ai servizi di pubblico interesse; c) alle società a controllo pubblico, come definite nel decreto legislativo 19 agosto 2016, n. 175, escluse le società quotate di cui all’articolo 2, comma 1, lettera p), del medesimo decreto che non rientrino nella categoria di cui alla lettera b).

[2] 2-bis. L’elencazione dei soggetti individuati ai sensi del comma 2, lettera a), è contenuta in un atto amministrativo, adottato dal Presidente del Consiglio dei ministri, su proposta del CIC, entro trenta giorni dalla data di entrata in vigore del decreto del Presidente del Consiglio dei ministri di cui al comma 2. Il predetto atto amministrativo, per il quale è escluso il diritto di accesso, non è soggetto a pubblicazione, fermo restando che a ciascun soggetto è data, separatamente, comunicazione senza ritardo dell’avvenuta iscrizione nell’elenco.L’aggiornamento del predetto atto amministrativo è effettuato con le medesime modalità di cui al presente comma.

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

GDPR
Cybersecurity

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

wifi
Come gestire la richiesta di installazione Internet in rete Wifi, presso una struttura aziendale
19 Luglio 2024
intelligenza artificiale
Linee guida della Commissione sulle pratiche vietate di intelligenza artificiale stabilite dal Regolamento
26 Marzo 2025
intelligenza artificiale.
Definizione di sistema di intelligenza artificiale.
13 Maggio 2025

Start typing and press Enter to search