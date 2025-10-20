La pubblicazione del D.P.C.M. 2 ottobre 2025 sulla Gazzetta Ufficiale n. 243 del 18 ottobre segna una tappa decisiva nell’attuazione in Italia della Direttiva (UE) 2022/2555 – NIS 2, che ha ridefinito a livello europeo gli standard di cybersicurezza delle reti e dei sistemi informativi. L’atto si inserisce nel quadro della Legge 28 giugno 2024, n. 90, che ha delegato il Governo all’attuazione della direttiva, e nel D.Lgs. 82/2025, che ha aggiornato la normativa nazionale sul perimetro di sicurezza cibernetica.

Scarica il testo del D.P.C.M. 2 ottobre 2025 pdf-47.pdf 2 MB Iscriviti alla newsletter per poter scaricare gli allegati Iscriviti Grazie per esserti iscritto alla newsletter. Ora puoi scaricare il tuo contenuto. × Iscriviti alla newsletter Si è verificato un errore durante la tua richiesta. EMAIL Scegli quale newsletter vuoi ricevere Seleziona newsletter DirittoeDiritti Sentenze Settimana Autorizzo l’invio di comunicazioni a scopo commerciale e di marketing nei limiti indicati nell’informativa. Autorizzo Non autorizzo Presto il consenso all’uso dei miei dati per ricevere proposte in linea con i miei interessi. Autorizzo Non autorizzo Cliccando su “Iscriviti” dichiari di aver letto e accettato la privacy policy. Iscriviti Iscrizione completata Grazie per esserti iscritto alla newsletter. Seguici sui social



1. Il raccordo con la NIS 2 e la Legge 90/2024 sui requisiti di cybersicurezza

Il decreto modifica il precedente D.P.C.M. 30 aprile 2025, dedicato alla disciplina dei contratti di beni e servizi informatici impiegati in contesti legati alla sicurezza nazionale, con l’obiettivo di rendere più stringenti e uniformi i requisiti di cybersicurezza nelle forniture ICT destinate alla pubblica amministrazione e agli operatori strategici. Si tratta di un intervento che trasforma la sicurezza informatica in un vero e proprio requisito giuridico e contrattuale, con effetti diretti sulla validità dei bandi e sull’esecuzione delle forniture.

2. Ambito di applicazione e finalità operative

Il DPCM si applica non solo alle amministrazioni centrali e locali, ma anche a tutti i soggetti pubblici e privati inclusi nel perimetro di sicurezza nazionale cibernetica, istituito dal D.L. 105/2019 e oggi aggiornato alla luce delle previsioni NIS 2. L’obiettivo è duplice: garantire la resilienza tecnologica dei sistemi pubblici e prevenire i rischi derivanti dall’impiego di componenti o servizi non conformi agli standard europei di sicurezza.

Il decreto punta inoltre a ridurre la dipendenza tecnologica da fornitori extra-UE, promuovendo la cosiddetta “autonomia strategica” dell’ecosistema digitale nazionale. Viene così introdotta una logica di sicurezza degli approvvigionamenti ICT, che pone la cybersicurezza al centro delle procedure di gara. Ogni amministrazione è tenuta a integrare nei capitolati d’appalto clausole relative a integrità, disponibilità, aggiornamenti di sicurezza, tracciabilità e gestione del rischio informatico. Si prevede, infine, un meccanismo di aggiornamento biennale degli allegati tecnici, per consentire l’adeguamento delle regole all’evoluzione tecnologica e alle nuove minacce cibernetiche.

3. Le modifiche principali al DPCM 30 aprile 2025

Le innovazioni introdotte dal nuovo decreto sono sostanziali. In primo luogo, vengono ridefinite le categorie tecnologiche di beni e servizi informatici soggetti a requisiti obbligatori: il campo di applicazione si estende ora ai sistemi cloud, alle infrastrutture OT, ai dispositivi IoT e alle soluzioni di sicurezza integrata. In secondo luogo, vengono precisati gli elementi essenziali di cybersicurezza, che comprendono la tracciabilità dei componenti, la gestione delle vulnerabilità, la trasparenza della supply chain e l’obbligo di garantire continuità operativa anche in caso di incidente informatico.

Un altro aspetto rilevante riguarda i criteri di premialità nei bandi pubblici: le stazioni appaltanti sono incoraggiate a favorire fornitori in possesso di certificazioni europee, come ISO/IEC 27001 o ETSI, o con sedi produttive in Paesi UE o NATO. Si rafforza, infine, il ruolo dell’Agenzia per la Cybersicurezza Nazionale (ACN), chiamata a fornire supporto tecnico alle amministrazioni, validare i requisiti di sicurezza e aggiornare periodicamente gli elenchi delle tecnologie sensibili. In questo modo, il decreto consolida una governance multilivello in cui la cybersicurezza diventa responsabilità condivisa tra autorità pubbliche e operatori privati.

4. La prospettiva dei giuristi: checklist per la conformità aziendale

Per le imprese fornitrici di beni e servizi ICT, l’impatto del decreto è significativo. Non si tratta solo di un adeguamento tecnico, ma di una vera e propria trasformazione della compliance aziendale, che impone di integrare sicurezza informatica e gestione contrattuale. In questo scenario, i giuristi d’impresa e gli avvocati specializzati in contrattualistica pubblica assumono un ruolo chiave: devono tradurre i requisiti tecnici in obblighi giuridici, predisporre contratti conformi e guidare le aziende nel percorso di adeguamento.

Checklist operativa per la conformità Mappare i contratti ICT in essere con la PA o con soggetti del perimetro cibernetico;

Verificare se beni o servizi rientrano tra le categorie elencate negli allegati tecnici del DPCM;

Aggiornare le clausole contrattuali introducendo obblighi di sicurezza, gestione incidenti e responsabilità specifiche;

Acquisire o rinnovare certificazioni ISO/IEC 27001 o equivalenti e documentare la provenienza dei componenti;

Implementare controlli sulla supply chain e meccanismi di audit interno;

Definire procedure di cooperazione con l’ACN e predisporre piani di continuità operativa;

Formare il personale sui nuovi obblighi e predisporre un registro delle misure di sicurezza adottate. Questa checklist rappresenta un punto di partenza pratico per assicurare che la conformità non resti solo dichiarata, ma effettivamente dimostrabile in sede di verifica o audit.

5. Sintesi operativa con tabella

Il D.P.C.M. 2 ottobre 2025 completa il percorso di adeguamento dell’Italia al paradigma NIS 2. La cybersicurezza diventa elemento costitutivo dei contratti ICT strategici, con obblighi di conformità che si riflettono direttamente sulle clausole contrattuali, sulle responsabilità del fornitore e sulle procedure di verifica dell’amministrazione appaltante.

Per i giuristi e i consulenti d’impresa, la nuova disciplina rappresenta un campo di applicazione trasversale in cui diritto amministrativo, tecnologia e sicurezza si intrecciano stabilmente.



Ti interessano questi contenuti?

Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!

Iscriviti!