L’Agenzia per la Cybersicurezza Nazionale ha pubblicato le Linee guida per l’applicazione dei criteri di premialità nei contratti pubblici. In ballo ci sono non solo appalti e tecnologie, ma una nuova architettura di fiducia nazionale. Chi lavora con la pubblica amministrazione – o spera di farlo – è avvisato. In materia consigliamo il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon, e, per la formazione del professionista, il Master in Cybersecurity e compliance integrata.
Indice
- 1. La premialità diventa legge: cosa dice l’art. 14 della legge 90/2024
- 2. Il cuore della riforma: la cybersicurezza entra nei bandi
- 3. La BOM: il “menu” degli ingredienti digitali
- 4. Tecnologie sovrane: perché l’origine conta
- 5. Come si calcola il punteggio: ponderazione, clausole tipo e controlli
- 6. Chi deve preoccuparsi? Tutti. Ma qualcuno di più.
- 7. Le PA non sono più solo acquirenti: diventano architetti della sicurezza
- 8. Conclusione: la rivoluzione silenziosa è già iniziata
- Formazione in materia per professionisti
- Ti interessano questi contenuti?
1. La premialità diventa legge: cosa dice l’art. 14 della legge 90/2024
L’articolo 14 della legge n. 90/2024 – colonna normativa del nuovo ecosistema nazionale di cybersicurezza – introduce un principio chiave: nelle procedure pubbliche per l’acquisto di prodotti e servizi ICT, i criteri di aggiudicazione devono premiare la cybersicurezza, valutata secondo parametri stabiliti a livello centrale.
Tradotto: se vuoi vincere un bando della PA con una tecnologia digitale, devi dimostrare di avere una cybersicurezza all’altezza, ben documentata, controllabile, e, in certi casi, anche “nazionalmente fedele”.
L’obiettivo è chiaro: ridurre la dipendenza da tecnologie estere opache, favorire soluzioni sicure, trasparenti, interoperabili e, quando possibile, italiane o europee. Ma per capire come funziona questo meccanismo – e perché interessa anche giuristi, DPO, responsabili procurement e legali d’impresa – serve leggere con attenzione le Linee guida pubblicate da ACN nell’ottobre 2025, sentita l’ANAC. In materia consigliamo il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon.
NIS 2 ed Evoluzione della Cybersicurezza Nazionale
Il volume offre una ricostruzione completa e aggiornata della Direttiva NIS 2 e del suo recepimento nel D.Lgs. 4 settembre 2024, n. 138, mettendoli in relazione con l’architettura della cybersicurezza nazionale, il ruolo dell’Agenzia per la Cybersicurezza Nazionale (ACN) e le più recenti riforme europee in materia.Curato da Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri, con contributi di dirigenti ACN e prefazione del Direttore Generale Bruno Frattasi, il testo unisce in un’unica guida quadro teorico, prassi applicativa e impatti operativi per soggetti essenziali e importanti. – Quadro normativo europeo “all-in-one”Dalla NIS 1 alla NIS 2, passando per Cybersecurity Act, DORA, Direttiva CER, Cyber Resilience Act e Cyber Solidarity Act, il volume ricostruisce in modo sistematico la strategia UE sulla cybersicurezza e la colloca nel contesto del mercato digitale e delle infrastrutture critiche.- Focus sull’ambito di applicazione e sull’autovalutazione NIS 2Una sezione dedicata aiuta a capire se e come si rientra tra i soggetti essenziali o importanti, illustrando le eccezioni, i poteri di ACN e proponendo un vero e proprio strumento di autovalutazione (giurisdizione, dimensione, tipologia di soggetto).- Requisiti minimi e misure di sicurezza spiegati punto per puntoAmpio commento alle misure di gestione del rischio informatico per soggetti essenziali e importanti, con analisi della determinazione ACN 14 aprile 2025 n. 164179 e delle misure di sicurezza di base (governance, asset, gap analysis, rafforzamento dell’assetto di cybersicurezza, gestione incidenti).- Protezione dei dati personali, domini e obblighi di notificaIntegrazione tra NIS 2, disciplina privacy e gestione dei data breach: procedure di notifica, ruolo dei nomi a dominio, sinergie e possibili sovrapposizioni tra i diversi regimi di segnalazione.- Governance aziendale e responsabilità degli organi di gestioneCapitoli dedicati ai doveri dell’organo di gestione in materia di cybersicurezza, alle responsabilità degli amministratori e degli organi direttivi e alla necessità di strutture interne dedicate (referente per la cybersicurezza, ruoli chiari, accountability).- Condivisione delle informazioni e notifiche degli incidenti al CSIRT ItaliaAnalisi degli obblighi di divulgazione coordinata delle vulnerabilità, degli accordi di condivisione delle informazioni, della rete CSIRT nazionale e delle nuove regole sulla notifica degli incidenti (soggetti obbligati, eventi da notificare, termini, tassonomia cyber, sanzioni ed esenzioni).- Crittografia e transizione post-quantumApprofondimento sul rafforzamento delle misure di sicurezza dei dati tramite crittografia, sul Centro Nazionale di Crittografia, sulle linee guida ACN e Garante Privacy e sui rischi della futura “rottura crittografica” nell’era quantistica, con indicazioni operative per la transizione post-quantum.- Vigilanza ACN, ispezioni e sanzioniCommento ai poteri di monitoraggio e valutazione della conformità dell’ACN, alle verifiche e ispezioni, agli esiti delle attività di controllo e alle misure di esecuzione. Il volume illustra inoltre la funzione delle sanzioni nel quadro della cybersicurezza europea, i criteri di proporzionalità e gli strumenti deflativi del contenzioso.- Cooperazione nazionale, CSIRT e gestione delle crisiTrattazione del ruolo dei CSIRT, del sistema delle autorità di settore NIS, del Tavolo NIS, del Quadro nazionale di gestione delle crisi informatiche e dei meccanismi di coordinamento tra ACN, Procura nazionale antimafia e antiterrorismo, polizia giudiziaria, servizi di informazione e autorità UE (gruppo di cooperazione NIS, EU-CyCLONe).- Riforma dei reati informatici e del D.Lgs. 231/2001Una parte finale è dedicata alle modifiche al codice penale e al codice di procedura penale (accesso abusivo, danneggiamento informatico, estorsione tramite reati informatici, truffa, intercettazioni, testimoni e collaboratori di giustizia) e all’aggiornamento del catalogo dei reati presupposto ex D.Lgs. 231/2001. Perché non puoi farne a meno oraCon l’entrata in vigore del D.Lgs. 138/2024 e delle più recenti determinazioni dell’Agenzia per la Cybersicurezza Nazionale, oltre 20.000 entità pubbliche e private sono già coinvolte dagli obblighi NIS 2, con impatti diretti su governance, misure di sicurezza, notifiche di incidente e sanzioni.Questo volume fornisce il quadro completo e operativo per impostare o rivedere il proprio modello di compliance, ridurre il rischio di non conformità e presentarsi preparati a verifiche, ispezioni e richieste informative. Acquista ora “NIS 2 ed evoluzione della cybersicurezza nazionale” e utilizza la guida per mappare correttamente i tuoi obblighi, adeguare processi e controlli interni e trasformare la conformità NIS 2 da adempimento formale a leva strategica di sicurezza e affidabilità per la tua organizzazione.
Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri | Maggioli Editore 2025
34.20 €
2. Il cuore della riforma: la cybersicurezza entra nei bandi
Le Linee guida specificano i criteri premianti da inserire nei bandi pubblici e spiegano come calcolare il punteggio che un’offerta può ottenere grazie a:
- una maggiore trasparenza del software (tramite la cosiddetta BOM, Bill of Materials),
- la nazionalità della tecnologia,
- la qualità delle misure di sicurezza implementate,
- l’adesione a standard riconosciuti e a schemi di certificazione.
Non si tratta di semplici “consigli”, ma di criteri obbligatori per tutte le amministrazioni pubbliche, che dovranno strutturare i bandi (e i capitolati) con queste indicazioni, pena la loro impugnabilità o inefficacia.
In altre parole: chi compra, deve premiare la cybersicurezza. Chi vende, deve saperla dimostrare.
3. La BOM: il “menu” degli ingredienti digitali
Il cuore tecnico della rivoluzione è proprio lei: la BOM (Bill of Materials). Che cos’è?
Una distinta base del software, ovvero un documento strutturato che elenca tutti i componenti di un sistema informatico o digitale, comprese librerie, plugin, dipendenze, versioni, fornitori e licenze.
La BOM serve a:
- identificare vulnerabilità note,
- verificare la provenienza delle componenti,
- controllare eventuali rischi di sicurezza o compliance.
ACN chiede una BOM profonda e ampia: non basta elencare la macroarchitettura, serve dettagliare fino al terzo livello, in alcuni casi anche oltre. E non solo per i prodotti software, ma anche per servizi digitali e piattaforme SaaS.
La BOM diventa così uno strumento di trasparenza e tracciabilità, fondamentale nei processi di valutazione, monitoraggio e verifica ex post.
Potrebbero interessarti anche:
4. Tecnologie sovrane: perché l’origine conta
Un altro aspetto non secondario è la nazionalità delle tecnologie impiegate.
Le Linee guida specificano che viene premiata la localizzazione dell’origine tecnologica (produzione, sviluppo, controllo, governance) sul territorio nazionale o dell’Unione Europea, in coerenza con gli obiettivi strategici di cyber-resilienza, sovranità digitale e autonomia strategica.
Non si tratta di autarchia tecnologica, ma di una preferenza strategica: meno dipendenze da vendor esterni, più controllo sugli aggiornamenti, più affidabilità in caso di crisi geopolitiche o cyber-attacchi sistemici.
Il principio della “digital sovereignty” – evocato in ambito europeo da anni – trova qui una prima concreta applicazione a livello normativo e operativo in Italia.
5. Come si calcola il punteggio: ponderazione, clausole tipo e controlli
Il documento fornisce esempi pratici di ponderazione del criterio di premialità all’interno dell’offerta tecnica, suggerendo anche clausole tipo da inserire negli atti di gara.
Ma attenzione: non è sufficiente dichiarare il rispetto del criterio per ottenere il punteggio. Serve documentarlo, allegare la BOM in formato leggibile, compilare i campi minimi previsti (e quelli facoltativi per ottenere punteggi superiori), ed essere pronti a sottoporsi a controlli a campione o sistematici.
Le PA potranno inoltre prevedere lotti riservati o dedicati esclusivamente a tecnologie con determinate caratteristiche di cybersicurezza, escludendo chi non è in grado di fornire tali garanzie.
6. Chi deve preoccuparsi? Tutti. Ma qualcuno di più.
Le Linee guida hanno impatto immediato su:
- fornitori IT e operatori del cloud che vogliono lavorare con la PA,
- uffici legali e procurement pubblici che devono impostare i bandi,
- DPO e referenti privacy, chiamati a valutare la trasparenza delle soluzioni proposte,
- soggetti aggregatori, centrali di committenza, stazioni appaltanti,
- ma anche su consulenti, integratori, software house e legal tech provider.
Chi finora ha trattato la cybersicurezza come un “bollino” o un paragrafo accessorio della documentazione, dovrà ripensare l’intera value proposition, dotarsi di strumenti per generare BOM affidabili, garantire origine controllata, e soprattutto imparare a raccontare bene – e documentare meglio – la propria affidabilità digitale.
7. Le PA non sono più solo acquirenti: diventano architetti della sicurezza
Un ultimo punto, forse il più importante: queste Linee guida trasformano le pubbliche amministrazioni in protagoniste della cybersicurezza nazionale.
Non si tratta più solo di “comprare bene”, ma di definire standard, orientare il mercato, premiare comportamenti virtuosi e costruire ecosistemi sicuri.
Un cambio di paradigma. E anche una responsabilità.
Perché ogni bando scritto male, ogni criterio eluso, ogni BOM incompleta, è una porta aperta nel sistema immunitario digitale del Paese.
8. Conclusione: la rivoluzione silenziosa è già iniziata
Chi lavora nel settore pubblico o fornisce tecnologie alla PA non può più ignorare queste Linee guida.
Non sono un’appendice tecnica, ma una nuova grammatica per la fiducia digitale, su cui si misureranno affidabilità, integrità, trasparenza e capacità competitiva.
La cybersicurezza, da oggi, non è solo una questione tecnica o normativa, ma un criterio di selezione pubblica, una voce nei punteggi di gara, una condizione di accesso ai fondi pubblici.
E come per ogni cambiamento serio, chi se ne accorge troppo tardi… resterà fuori.
Formazione in materia per professionisti
Master in Cybersecurity e compliance integrata
Il Master, giunto alla II edizione, è un percorso formativo avanzato pensato per imprese e pubbliche amministrazioni, professionisti, DPO, responsabili IT, compliance officer e consulenti legali che operano nel settore della sicurezza informatica e della governance normativa delle tecnologie digitali.
L’obiettivo del programma è fornire una visione sistematica, integrata e aggiornata della normativa europea e italiana in materia di cybersicurezza, affrontando in chiave applicativa i principali riferimenti normativi, dalle Direttive NIS alla nuova regolamentazione dei sistemi di intelligenza artificiale, passando per i regolamenti complementari e le linee guida e le ultime Determinazioni dell’ACN.
Attraverso un approccio teorico-pratico, il master esplora:
• L’evoluzione della strategia europea di cybersicurezza.
• L’impianto della Direttiva NIS 2 e il D.lgs. 138/2024, con approfondimento su soggetti obbligati, misure tecniche e regimi sanzionatori.
• Il Perimetro nazionale di sicurezza cibernetica e la Legge n. 90/2024 come strumenti di difesa strategica dello Stato.
• Le interazioni con normative chiave come il GDPR, il Cybersecurity Act, il Digital Operational Resilience Act (DORA) e il Cyber Resilience Act (CRA).
• Il nuovo AI Act, che disciplina lo sviluppo, l’uso e il controllo dei sistemi di intelligenza artificiale in Europa.
• Le responsabilità aziendali e degli amministratori, la governance interna della cybersicurezza e le strategie di compliance integrata.
Il percorso è arricchito da esempi pratici, simulazioni di audit, check list operative e riferimenti normativi aggiornati, utili per implementare con efficacia le disposizioni di legge nei diversi contesti organizzativi.
>>>Per info ed iscrizioni<<<
Ti interessano questi contenuti?
Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!
Scegli quale newsletter vuoi ricevere
Autorizzo l’invio di comunicazioni a scopo commerciale e di marketing nei limiti indicati nell’informativa.
Presto il consenso all’uso dei miei dati per ricevere proposte in linea con i miei interessi.
Cliccando su “Iscriviti” dichiari di aver letto e accettato la privacy policy.
Grazie per esserti iscritto alla newsletter.
Scrivi un commento
Accedi per poter inserire un commento