Cybersicurezza e NIS2: in Gazzetta il DPCM con nuovi obblighi

La pubblicazione del D.P.C.M. 2 ottobre 2025 sulla Gazzetta Ufficiale n. 243 del 18 ottobre segna una tappa decisiva nell’attuazione in Italia della Direttiva (UE) 2022/2555 – NIS 2, che ha ridefinito a livello europeo gli standard di cybersicurezza delle reti e dei sistemi informativi. L’atto si inserisce nel quadro della Legge 28 giugno 2024, n. 90, che ha delegato il Governo all’attuazione della direttiva, e nel D.Lgs. 82/2025, che ha aggiornato la normativa nazionale sul perimetro di sicurezza cibernetica. Sugli adempimenti NIS2, abbiamo organizzato il corso Referente CSIRT: NIS 2 e nuova Determinazione ACN 333017/2025. Per approfondire il tema, abbiamo pubblicato il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon. Per supporto ai professionisti abbiamo pubblicato il Codice di procedura Civile – Aggiornato a Legge AI e Conversione del decreto giustizia, disponibile su Shop Maggioli e su Amazon

1. Il raccordo con la NIS 2 e la Legge 90/2024 sui requisiti di cybersicurezza

Il decreto modifica il precedente D.P.C.M. 30 aprile 2025, dedicato alla disciplina dei contratti di beni e servizi informatici impiegati in contesti legati alla sicurezza nazionale, con l’obiettivo di rendere più stringenti e uniformi i requisiti di cybersicurezza nelle forniture ICT destinate alla pubblica amministrazione e agli operatori strategici. Si tratta di un intervento che trasforma la sicurezza informatica in un vero e proprio requisito giuridico e contrattuale, con effetti diretti sulla validità dei bandi e sull’esecuzione delle forniture. Per approfondire il tema, abbiamo pubblicato il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon. In supporto ai professionisti, abbiamo pubblicato il nuovissimo Codice di procedura Civile – Aggiornato a Legge AI e Conversione del decreto giustizia, disponibile su Shop Maggioli e su Amazon

2. Ambito di applicazione e finalità operative

Il DPCM si applica non solo alle amministrazioni centrali e locali, ma anche a tutti i soggetti pubblici e privati inclusi nel perimetro di sicurezza nazionale cibernetica, istituito dal D.L. 105/2019 e oggi aggiornato alla luce delle previsioni NIS 2. L’obiettivo è duplice: garantire la resilienza tecnologica dei sistemi pubblici e prevenire i rischi derivanti dall’impiego di componenti o servizi non conformi agli standard europei di sicurezza.
Il decreto punta inoltre a ridurre la dipendenza tecnologica da fornitori extra-UE, promuovendo la cosiddetta “autonomia strategica” dell’ecosistema digitale nazionale. Viene così introdotta una logica di sicurezza degli approvvigionamenti ICT, che pone la cybersicurezza al centro delle procedure di gara. Ogni amministrazione è tenuta a integrare nei capitolati d’appalto clausole relative a integrità, disponibilità, aggiornamenti di sicurezza, tracciabilità e gestione del rischio informatico. Si prevede, infine, un meccanismo di aggiornamento biennale degli allegati tecnici, per consentire l’adeguamento delle regole all’evoluzione tecnologica e alle nuove minacce cibernetiche.

3. Le modifiche principali al DPCM 30 aprile 2025

Le innovazioni introdotte dal nuovo decreto sono sostanziali. In primo luogo, vengono ridefinite le categorie tecnologiche di beni e servizi informatici soggetti a requisiti obbligatori: il campo di applicazione si estende ora ai sistemi cloud, alle infrastrutture OT, ai dispositivi IoT e alle soluzioni di sicurezza integrata. In secondo luogo, vengono precisati gli elementi essenziali di cybersicurezza, che comprendono la tracciabilità dei componenti, la gestione delle vulnerabilità, la trasparenza della supply chain e l’obbligo di garantire continuità operativa anche in caso di incidente informatico.
Un altro aspetto rilevante riguarda i criteri di premialità nei bandi pubblici: le stazioni appaltanti sono incoraggiate a favorire fornitori in possesso di certificazioni europee, come ISO/IEC 27001 o ETSI, o con sedi produttive in Paesi UE o NATO. Si rafforza, infine, il ruolo dell’Agenzia per la Cybersicurezza Nazionale (ACN), chiamata a fornire supporto tecnico alle amministrazioni, validare i requisiti di sicurezza e aggiornare periodicamente gli elenchi delle tecnologie sensibili. In questo modo, il decreto consolida una governance multilivello in cui la cybersicurezza diventa responsabilità condivisa tra autorità pubbliche e operatori privati.

4. La prospettiva dei giuristi: checklist per la conformità aziendale

Per le imprese fornitrici di beni e servizi ICT, l’impatto del decreto è significativo. Non si tratta solo di un adeguamento tecnico, ma di una vera e propria trasformazione della compliance aziendale, che impone di integrare sicurezza informatica e gestione contrattuale. In questo scenario, i giuristi d’impresa e gli avvocati specializzati in contrattualistica pubblica assumono un ruolo chiave: devono tradurre i requisiti tecnici in obblighi giuridici, predisporre contratti conformi e guidare le aziende nel percorso di adeguamento.
Checklist operativa per la conformità

• Mappare i contratti ICT in essere con la PA o con soggetti del perimetro cibernetico;
• Verificare se beni o servizi rientrano tra le categorie elencate negli allegati tecnici del DPCM;
• Aggiornare le clausole contrattuali introducendo obblighi di sicurezza, gestione incidenti e responsabilità specifiche;
• Acquisire o rinnovare certificazioni ISO/IEC 27001 o equivalenti e documentare la provenienza dei componenti;
• Implementare controlli sulla supply chain e meccanismi di audit interno;
• Definire procedure di cooperazione con l’ACN e predisporre piani di continuità operativa;
• Formare il personale sui nuovi obblighi e predisporre un registro delle misure di sicurezza adottate.

Questa checklist rappresenta un punto di partenza pratico per assicurare che la conformità non resti solo dichiarata, ma effettivamente dimostrabile in sede di verifica o audit.

5. Sintesi operativa con tabella

Il D.P.C.M. 2 ottobre 2025 completa il percorso di adeguamento dell’Italia al paradigma NIS 2. La cybersicurezza diventa elemento costitutivo dei contratti ICT strategici, con obblighi di conformità che si riflettono direttamente sulle clausole contrattuali, sulle responsabilità del fornitore e sulle procedure di verifica dell’amministrazione appaltante.
Per i giuristi e i consulenti d’impresa, la nuova disciplina rappresenta un campo di applicazione trasversale in cui diritto amministrativo, tecnologia e sicurezza si intrecciano stabilmente.

Formazione in materia per professionisti

Referente CSIRT: NIS 2 e nuova Determinazione ACN 333017/2025
La nuova Determinazione ACN n. 333017/2025 segna un passaggio decisivo nell’attuazione della Direttiva NIS2 in Italia, introducendo all’art. 7 una figura inedita: il Referente CSIRT.
Il corso offre una lettura chiara e operativa delle nuove regole emanate dall’Agenzia per la Cybersicurezza Nazionale (ACN), spiegando cosa cambia per i soggetti NIS e come organizzarsi entro le scadenze previste. Il Referente CSIRT dovrà infatti essere designato tra il 20 novembre e il 31 dicembre 2025.
Attraverso un percorso pratico e di approfondimento, i partecipanti comprenderanno:
– il quadro normativo aggiornato e le differenze tra Punto di Contatto e Referente CSIRT
– le responsabilità, le procedure e gli obblighi di notifica degli incidenti
– l’utilizzo del Portale ACN e checklist operative per il Referente CSIRT
 
Perché scegliere questo corso?
– Analizza in modo chiaro la nuova Determinazione ACN n. 333017/2025, appena pubblicata
– Approfondisce la nuova figura del Referente CSIRT, con indicazioni pratiche su ruolo, requisiti e designazione
– Chiarisce i rapporti tra Punto di Contatto, CSIRT Italia e organi direttivi, offrendo una guida operativa agli obblighi di notifica e alla gestione degli incidenti tramite il Portale ACN
 >>>Per info ed iscrizioni<<<

Ti interessano questi contenuti?

Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!