L’Agenzia per la Cybersicurezza Nazionale ha pubblicato le Linee guida per l’applicazione dei criteri di premialità nei contratti pubblici. In ballo ci sono non solo appalti e tecnologie, ma una nuova architettura di fiducia nazionale. Chi lavora con la pubblica amministrazione – o spera di farlo – è avvisato. Sugli adempimenti per la cybersicurezza, abbiamo organizzato il corso Referente CSIRT: NIS 2 e nuova Determinazione ACN 333017/2025 e il Master in Compliance Management.

Scarica le linee guida in PDF Linee-guida_Criteri_Premialita.pdf 1 MB

1. La premialità diventa legge: cosa dice l’art. 14 della legge 90/2024

L’articolo 14 della legge n. 90/2024 – colonna normativa del nuovo ecosistema nazionale di cybersicurezza – introduce un principio chiave: nelle procedure pubbliche per l’acquisto di prodotti e servizi ICT, i criteri di aggiudicazione devono premiare la cybersicurezza, valutata secondo parametri stabiliti a livello centrale.

Tradotto: se vuoi vincere un bando della PA con una tecnologia digitale, devi dimostrare di avere una cybersicurezza all’altezza, ben documentata, controllabile, e, in certi casi, anche “nazionalmente fedele”.

L’obiettivo è chiaro: ridurre la dipendenza da tecnologie estere opache, favorire soluzioni sicure, trasparenti, interoperabili e, quando possibile, italiane o europee. Ma per capire come funziona questo meccanismo – e perché interessa anche giuristi, DPO, responsabili procurement e legali d’impresa – serve leggere con attenzione le Linee guida pubblicate da ACN nell’ottobre 2025, sentita l’ANAC.

2. Il cuore della riforma: la cybersicurezza entra nei bandi

Le Linee guida specificano i criteri premianti da inserire nei bandi pubblici e spiegano come calcolare il punteggio che un’offerta può ottenere grazie a: una maggiore trasparenza del software (tramite la cosiddetta BOM , Bill of Materials),

(tramite la cosiddetta , Bill of Materials), la nazionalità della tecnologia ,

, la qualità delle misure di sicurezza implementate,

implementate, l’adesione a standard riconosciuti e a schemi di certificazione. Non si tratta di semplici “consigli”, ma di criteri obbligatori per tutte le amministrazioni pubbliche, che dovranno strutturare i bandi (e i capitolati) con queste indicazioni, pena la loro impugnabilità o inefficacia.

In altre parole: chi compra, deve premiare la cybersicurezza. Chi vende, deve saperla dimostrare.

3. La BOM: il “menu” degli ingredienti digitali

Il cuore tecnico della rivoluzione è proprio lei: la BOM (Bill of Materials). Che cos’è?

Una distinta base del software, ovvero un documento strutturato che elenca tutti i componenti di un sistema informatico o digitale, comprese librerie, plugin, dipendenze, versioni, fornitori e licenze.

La BOM serve a: identificare vulnerabilità note ,

, verificare la provenienza delle componenti ,

, controllare eventuali rischi di sicurezza o compliance. ACN chiede una BOM profonda e ampia: non basta elencare la macroarchitettura, serve dettagliare fino al terzo livello, in alcuni casi anche oltre. E non solo per i prodotti software, ma anche per servizi digitali e piattaforme SaaS.

La BOM diventa così uno strumento di trasparenza e tracciabilità, fondamentale nei processi di valutazione, monitoraggio e verifica ex post.



Potrebbero interessarti anche: Legge sulla cybersicurezza: obblighi e adempimenti per PA e aziende

Cybersicurezza e NIS2: in Gazzetta il DPCM con nuovi obblighi

Cybersicurezza nei contratti ICT: i nuovi obblighi del DPCM

4. Tecnologie sovrane: perché l’origine conta

Un altro aspetto non secondario è la nazionalità delle tecnologie impiegate.

Le Linee guida specificano che viene premiata la localizzazione dell’origine tecnologica (produzione, sviluppo, controllo, governance) sul territorio nazionale o dell’Unione Europea, in coerenza con gli obiettivi strategici di cyber-resilienza, sovranità digitale e autonomia strategica.

Non si tratta di autarchia tecnologica, ma di una preferenza strategica: meno dipendenze da vendor esterni, più controllo sugli aggiornamenti, più affidabilità in caso di crisi geopolitiche o cyber-attacchi sistemici.

Il principio della “digital sovereignty” – evocato in ambito europeo da anni – trova qui una prima concreta applicazione a livello normativo e operativo in Italia.

5. Come si calcola il punteggio: ponderazione, clausole tipo e controlli

Il documento fornisce esempi pratici di ponderazione del criterio di premialità all’interno dell’offerta tecnica, suggerendo anche clausole tipo da inserire negli atti di gara.

Ma attenzione: non è sufficiente dichiarare il rispetto del criterio per ottenere il punteggio. Serve documentarlo, allegare la BOM in formato leggibile, compilare i campi minimi previsti (e quelli facoltativi per ottenere punteggi superiori), ed essere pronti a sottoporsi a controlli a campione o sistematici.

Le PA potranno inoltre prevedere lotti riservati o dedicati esclusivamente a tecnologie con determinate caratteristiche di cybersicurezza, escludendo chi non è in grado di fornire tali garanzie.

6. Chi deve preoccuparsi? Tutti. Ma qualcuno di più.

Le Linee guida hanno impatto immediato su: fornitori IT e operatori del cloud che vogliono lavorare con la PA,

e operatori del cloud che vogliono lavorare con la PA, uffici legali e procurement pubblici che devono impostare i bandi,

e procurement pubblici che devono impostare i bandi, DPO e referenti privacy , chiamati a valutare la trasparenza delle soluzioni proposte,

, chiamati a valutare la trasparenza delle soluzioni proposte, soggetti aggregatori, centrali di committenza, stazioni appaltanti ,

, ma anche su consulenti, integratori, software house e legal tech provider. Chi finora ha trattato la cybersicurezza come un “bollino” o un paragrafo accessorio della documentazione, dovrà ripensare l’intera value proposition, dotarsi di strumenti per generare BOM affidabili, garantire origine controllata, e soprattutto imparare a raccontare bene – e documentare meglio – la propria affidabilità digitale.

7. Le PA non sono più solo acquirenti: diventano architetti della sicurezza

Un ultimo punto, forse il più importante: queste Linee guida trasformano le pubbliche amministrazioni in protagoniste della cybersicurezza nazionale.

Non si tratta più solo di “comprare bene”, ma di definire standard, orientare il mercato, premiare comportamenti virtuosi e costruire ecosistemi sicuri.

Un cambio di paradigma. E anche una responsabilità.

Perché ogni bando scritto male, ogni criterio eluso, ogni BOM incompleta, è una porta aperta nel sistema immunitario digitale del Paese.

8. Conclusione: la rivoluzione silenziosa è già iniziata

Chi lavora nel settore pubblico o fornisce tecnologie alla PA non può più ignorare queste Linee guida.

Non sono un’appendice tecnica, ma una nuova grammatica per la fiducia digitale, su cui si misureranno affidabilità, integrità, trasparenza e capacità competitiva.

La cybersicurezza, da oggi, non è solo una questione tecnica o normativa, ma un criterio di selezione pubblica, una voce nei punteggi di gara, una condizione di accesso ai fondi pubblici.

E come per ogni cambiamento serio, chi se ne accorge troppo tardi… resterà fuori.

Formazione in materia per professionisti

Referente CSIRT: NIS 2 e nuova Determinazione ACN 333017/2025

La nuova Determinazione ACN n. 333017/2025 segna un passaggio decisivo nell’attuazione della Direttiva NIS2 in Italia, introducendo all’art. 7 una figura inedita: il Referente CSIRT.

Il corso offre una lettura chiara e operativa delle nuove regole emanate dall’Agenzia per la Cybersicurezza Nazionale (ACN), spiegando cosa cambia per i soggetti NIS e come organizzarsi entro le scadenze previste. Il Referente CSIRT dovrà infatti essere designato tra il 20 novembre e il 31 dicembre 2025.

Attraverso un percorso pratico e di approfondimento, i partecipanti comprenderanno:

– il quadro normativo aggiornato e le differenze tra Punto di Contatto e Referente CSIRT

– le responsabilità, le procedure e gli obblighi di notifica degli incidenti

– l’utilizzo del Portale ACN e checklist operative per il Referente CSIRT

>>>Per info ed iscrizioni<<<



Master in Compliance Management

Il Master in Compliance Management è un percorso di formazione specialistica della durata di 24 ore, pensato per offrire una visione chiara, aggiornata e completa delle principali aree della compliance aziendale. Il focus è sugli strumenti, gli obblighi e le responsabilità che imprese e professionisti devono conoscere e applicare per garantire la conformità e l’efficacia dei modelli organizzativi.

Grazie all’esperienza dei docenti e all’analisi di casi concreti, il Master si distingue per un taglio pratico e operativo che consentirà ai partecipanti di acquisire competenze e strumenti utili per gestire la compliance integrata in diversi contesti aziendali.

Il programma copre i principali ambiti della compliance: dalla governance aziendale alla responsabilità amministrativa degli enti (D.Lgs. 231/2001), dalla protezione dei dati personali e privacy alla gestione delle segnalazioni whistleblowing, dalla sostenibilità ESG e i nuovi obblighi europei alla regolamentazione sull’intelligenza artificiale (AI Act), fino alla cybersecurity e alla gestione integrata del rischio.

>>>Per info ed iscrizioni<<<

Ti interessano questi contenuti?

Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!

Iscriviti!