IL PRESIDENTE
DEL CONSIGLIO DEI MINISTRI
Vista la legge 23 agosto 1988, n. 400, recante «Disciplina
dell'attivita' di Governo e ordinamento della Presidenza del
Consiglio dei ministri»;
Vista la legge 28 giugno 2024, n. 90, recante «Disposizioni in
materia di rafforzamento della cybersicurezza nazionale e di reati
informatici» e, in particolare, l'art. 14 che stabilisce che con
decreto del Presidente del Consiglio dei ministri siano individuati
per specifiche categorie tecnologiche di beni e servizi informatici,
gli elementi essenziali di cybersicurezza che taluni specifici
soggetti devono tenere in considerazione nelle attivita' di
approvvigionamento di beni e servizi informatici impiegati in un
contesto connesso alla tutela degli interessi nazionali strategici,
nonche' i casi in cui, per la tutela della sicurezza nazionale,
devono essere previsti criteri di premialita' per le proposte o per
le offerte che contemplino l'uso di tecnologie di cybersicurezza
italiane o di Paesi appartenenti all'Unione europea o di Paesi
aderenti all'Alleanza atlantica (NATO) o di Paesi terzi individuati
con il presente decreto tra quelli che sono parte di accordi di
collaborazione con l'Unione europea o con la NATO in materia di
cybersicurezza, protezione delle informazioni classificate, ricerca e
innovazione;
Visto il decreto legislativo 7 marzo 2005, n. 82, recante «Codice
dell'amministrazione digitale»;
Vista la legge 3 agosto 2007, n. 124, recante «Sistema di
informazione per la sicurezza della Repubblica e nuova disciplina del
segreto»;
Visto il decreto-legge 18 ottobre 2012, n. 179, convertito, con
modificazioni, dalla legge 17 dicembre 2012, n. 221, recante
«Ulteriori misure urgenti per la crescita del Paese»;
Visto il decreto-legge 21 settembre 2019, n. 105, convertito, con
modificazioni, dalla legge 18 novembre 2019, n. 133, recante
«Disposizioni urgenti in materia di perimetro di sicurezza nazionale
cibernetica e di disciplina dei poteri speciali nei settori di
rilevanza strategica»;
Visto il decreto-legge 14 giugno 2021, n. 82, convertito, con
modificazioni, dalla legge 4 agosto 2021, n. 109, recante
«Disposizioni urgenti in materia di cybersicurezza, definizione
dell'architettura nazionale di cybersicurezza e istituzione
dell'Agenzia per la cybersicurezza nazionale»;
Visto il decreto legislativo 3 agosto 2022, n. 123, recante «Norme
di adeguamento della normativa nazionale alle disposizioni del Titolo
III "Quadro di certificazione della cibersicurezza" del regolamento
(UE) 2019/881 del Parlamento europeo e del Consiglio del 17 aprile
2019 relativo all'ENISA, l'Agenzia dell'Unione europea per la
cibersicurezza, e alla certificazione della cibersicurezza per le
tecnologie dell'informazione e della comunicazione, e che abroga il
regolamento (UE) n. 526/2013»;
Visto il decreto legislativo 4 settembre 2024, n. 138, recante
«Recepimento della direttiva (UE) 2022/2555, relativa a misure per un
livello comune elevato di cibersicurezza nell'Unione, recante
modifica del regolamento (UE) n. 910/2014 e della direttiva (UE)
2018/1972 e che abroga la direttiva (UE) 2016/1148»;
Visto il decreto del Presidente del Consiglio dei ministri 18
dicembre 2020, n. 179, recante «Regolamento per l'individuazione dei
beni e dei rapporti di interesse nazionale nei settori di cui
all'art. 4, paragrafo 1, del regolamento (UE) 2019/452 del Parlamento
europeo e del Consiglio, del 19 marzo 2019, a norma dell'art. 2,
comma 1-ter, del decreto-legge 15 marzo 2012, n. 21, convertito, con
modificazioni, dalla legge 11 maggio 2012, n. 56»;
Visto il decreto del Presidente del Consiglio dei ministri 23
ottobre 2022, con il quale al Sottosegretario di Stato alla
Presidenza del Consiglio dei ministri, dott. Alfredo Mantovano, e'
stata delegata la firma dei decreti, degli atti e dei provvedimenti
di competenza del Presidente del Consiglio dei ministri, a esclusione
di quelli che richiedono una preventiva deliberazione del Consiglio
dei ministri e di quelli relativi alle attribuzioni di cui all'art. 5
della legge 23 agosto 1988, n. 400;
Visto il decreto del Presidente del Consiglio dei ministri 12
novembre 2022, recante delega di funzioni in materia di
cybersicurezza, con il quale l'Autorita' delegata per la sicurezza
della Repubblica e' delegata a svolgere le funzioni del Presidente
del Consiglio dei ministri in materia di cybersicurezza, fatte salve
quelle attribuite in via esclusiva al Presidente del Consiglio dei
ministri;
Visto il decreto direttoriale ACN n. 21007/2024 del 27 giugno 2024,
recante «Regolamento per le infrastrutture digitali e per i servizi
cloud per la pubblica amministrazione, ai sensi dell'art. 33-septies,
comma 4, del decreto-legge 18 ottobre 2012, n. 179, convertito, con
modificazioni, dalla legge 17 dicembre 2012, n. 221»;
Ritenuto di dover procedere alla individuazione degli elementi
essenziali di cybersicurezza da tenere in considerazione
nell'attivita' di approvvigionamento, per specifiche categorie
tecnologiche, di beni e servizi informatici impiegati in un contesto
connesso alla tutela degli interessi nazionali strategici;
Tenuto conto che le specifiche categorie tecnologiche di beni e
servizi informatici sono state individuate sulla base dell'utilizzo
dei medesimi beni e servizi informatici nello svolgimento di funzioni
essenziali per la cybersicurezza ovvero di servizi per i quali vi e'
una dipendenza critica o un rischio di gravi perturbazioni delle
catene di approvvigionamento;
Ritenuto, altresi', di dover procedere alla individuazione dei
Paesi terzi tra quelli che sono parte di accordi di collaborazione
con l'Unione europea o con la NATO in materia di cybersicurezza,
protezione delle informazioni classificate, ricerca e innovazione,
secondo un principio di gradualita' volto a tutelare la sicurezza
nazionale e di conseguire l'autonomia tecnologica e strategica
nell'ambito della cybersicurezza;
Considerati gli accordi di collaborazione vigenti fra l'Unione
europea e la NATO con Paesi terzi in materia di cybersicurezza,
protezione delle informazioni classificate, ricerca e innovazione;
Esperite valutazioni di ordine diplomatico in merito alle relazioni
bilaterali con i predetti Paesi, nonche' valutazioni di ordine
tecnico circa la capacita' dei fornitori di tecnologie informatiche
di assicurare elevate garanzie di sicurezza nazionale sul piano
operativo e funzionale;
Sulla proposta dell'Agenzia per la cybersicurezza nazionale;
Acquisito il parere del Comitato interministeriale per la sicurezza
della Repubblica, nella composizione di cui all'art. 10, comma 1, del
decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni,
dalla legge 4 agosto 2021, n. 109;
Decreta:
Art. 1
Oggetto
1. Fatto salvo quanto previsto per la tutela delle informazioni
classificate, il presente decreto, ai sensi dell'art. 14, comma 1,
della legge 28 giugno 2024, n. 90, individua:
a) gli elementi essenziali di cybersicurezza che i soggetti di
cui all'art. 2, comma 2, del codice dell'amministrazione digitale, di
cui al decreto legislativo 7 marzo 2005, n. 82, e i soggetti privati
non compresi tra quelli di cui all'art. 2, comma 2, del codice
dell'amministrazione digitale e inseriti nell'elencazione di cui
all'art. 1, comma 2-bis, del decreto-legge 21 settembre 2019, n. 105,
convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133,
tengono in considerazione nelle attivita' di approvvigionamento di
beni e servizi informatici, appartenenti a specifiche categorie
tecnologiche, impiegati in un contesto connesso alla tutela degli
interessi nazionali strategici;
b) le specifiche categorie tecnologiche di beni e servizi
informatici per i quali sono tenuti in considerazione gli elementi
essenziali di cybersicurezza di cui alla lettera a);
c) i casi in cui, per la tutela della sicurezza nazionale, devono
essere previsti criteri di premialita' per le proposte o per le
offerte che contemplino l'uso di tecnologie di cybersicurezza
italiane o di Paesi appartenenti all'Unione europea o di Paesi
aderenti all'Alleanza atlantica (NATO) o di Paesi terzi individuati
dal presente decreto tra quelli che sono parte di accordi di
collaborazione con l'Unione europea o con la NATO in materia di
cybersicurezza, protezione delle informazioni classificate, ricerca e
innovazione;
d) i Paesi terzi di cui alla lettera c), tra quelli che sono
parte di accordi di collaborazione con l'Unione europea o con la NATO
in materia di cybersicurezza, protezione delle informazioni
classificate, ricerca e innovazione.