Alle amministrazioni pubbliche di cui
all'art. 1, comma 2, del decreto
legislativo n. 165 del 2001 e alle
centrali di committenza di cui
all'art. 1, comma 1, lettera i),
dell'allegato I.1, del decreto
legislativo n. 36 del 2023
- Loro sedi
Oggetto:
«Attuazione dell'art. 29, comma 3, del decreto-legge 21 marzo 2022,
n. 21. Diversificazione di prodotti e servizi tecnologici di
sicurezza informatica». Aggiornamento della circolare del 21 aprile
2022, n. 4336, pubblicata nella Gazzetta Ufficiale n. 96 del 26
aprile 2022.
A) Premesse.
Il decreto-legge 21 marzo 2022, n. 21, convertito, con
modificazioni, dalla legge 20 maggio 2022, n. 51, all'art. 29 ha
stabilito per tutte le amministrazioni pubbliche di cui all'art. 1,
comma 2, del decreto legislativo 30 marzo 2001, n. 165, l'obbligo di
procedere, tempestivamente, alla diversificazione dei prodotti e dei
servizi tecnologici di sicurezza informatica prodotti o forniti da
aziende legate alla Federazione Russa, appartenenti alle categorie
individuate da un'apposita circolare dell'Agenzia per la
cybersicurezza nazionale, anche sulla base degli elementi forniti
nell'ambito del Nucleo per la cybersicurezza, tra quelle volte ad
assicurare le seguenti funzioni di sicurezza: a) sicurezza dei
dispositivi (endpoint security), ivi compresi applicativi antivirus,
antimalware ed «endpoint detection and response» (EDR); b) «web
application firewall» (WAF).
Il predetto art. 29 prevede, altresi', che le centrali di
committenza «consentono l'aggiornamento delle offerte mediante
l'inserimento di ulteriori prodotti idonei alle finalita' di cui al
presente articolo [e cioe' l'art. 29], di cui sia valutata la
sostenibilita' e che contribuiscano al conseguimento dell'autonomia
tecnologica nazionale ed europea».
In relazione al predetto quadro normativo e in considerazione della
perdurante esigenza di prevenire, nell'attuale contesto geopolitico,
ai sensi dell'art. 29, possibili pregiudizi per la sicurezza
nazionale nello spazio cibernetico, si rende necessario procedere
all'aggiornamento della circolare del 21 aprile 2022.
B) Individuazione dei prodotti e servizi tecnologici di sicurezza
informatica ai sensi dell'art. 29.
Ai sensi dell'art. 29, comma 3, del decreto-legge n. 21 del 2022,
sono individuate le seguenti categorie di prodotti e servizi
tecnologici di sicurezza informatica, ivi incluse le relative aziende
produttrici o fornitrici legate alla Federazione Russa:
1) prodotti e servizi di cui all'art. 29, comma 3, lettera a),
del decreto-legge n. 21 del 2022, della societa' «Kaspersky Lab» e
della societa' «Group-IB», anche commercializzati tramite canali di
rivendita indiretta o veicolati tramite accordi quadro o contratti
quadro in modalita' «on-premise» o «da remoto»;
2) prodotti e servizi di cui all'art. 29, comma 3, lettera b),
del decreto-legge n. 21 del 2022, della societa' «Security Gen» -
gia' «Positive Technologies», oltre ai prodotti e ai servizi che
siano stati o che ancora siano prodotti da quest'ultima - anche
commercializzati tramite canali di rivendita indiretta e/o anche
veicolati tramite accordi quadro o contratti quadro in modalita'
«on-premise» o «da remoto».
C) Raccomandazioni procedurali.
Si raccomanda alle amministrazioni e alle centrali di committenza,
al fine di provvedere agli adempimenti prescritti dal citato art. 29,
di richiedere agli operatori economici la lista:
1) dei componenti software inclusi nel prodotto (c.d. software
bill of materials-SBOM);
2) delle infrastrutture tecnologiche per l'erogazione del
servizio (a titolo esemplificativo, componente IaaS o PaaS di un
servizio cloud o security operation center-SOC);
3) dei componenti applicativi del servizio, laddove esistenti,
erogati in modalita' SaaS.
Le amministrazioni e le centrali di committenza possono richiedere,
alternativamente alle liste di cui al periodo precedente,
un'autodichiarazione circa l'assenza dei prodotti e dei servizi di
cui al paragrafo B) all'interno:
1) dei componenti software inclusi nel prodotto (c.d. software
bill of materials-SBOM);
2) delle infrastrutture tecnologiche per l'erogazione del
servizio (a titolo esemplificativo, componente IaaS o PaaS di un
servizio cloud o security operation center-SOC);
3) dei componenti applicativi del servizio, laddove esistenti,
erogati in modalita' SaaS.
Restano ferme le responsabilita' penali, civili e amministrative
previste dalla legge in caso di presentazione di dichiarazioni false
o mendaci.
Si raccomanda, altresi', alle amministrazioni destinatarie della
presente circolare - responsabili nella conduzione delle operazioni
di configurazione dei nuovi servizi e prodotti acquisiti ai sensi
dell'art. 29 del decreto-legge n. 21 del 2022, anche in relazione
alla precisa conoscenza dei propri asset (reti, sistemi informativi e
servizi informatici) e degli impatti degli stessi sulla continuita'
dei servizi e della protezione dei dati - di adottare tutte le misure
e le buone prassi di gestione di servizi informatici e del rischio
cyber e, in particolare, di tenere conto di quanto definito dal
Framework nazionale per la cybersecurity e la data protection,
edizione 2025 (v.2.1), realizzato dal Centro di ricerca di cyber
intelligence and information security (CIS) dell'Universita' Sapienza
di Roma e dal Cybersecurity national lab del Consorzio
interuniversitario nazionale per l'informatica (CINI), con il
supporto dell'Agenzia per la cybersicurezza nazionale.
In particolare, si raccomanda di:
1) censire dettagliatamente i servizi e i prodotti di cui al
paragrafo B) della presente circolare, analizzando gli impatti degli
aggiornamenti degli stessi sull'operativita', quali i tempi di
manutenzione necessari;
2) identificare e valutare i nuovi servizi e prodotti,
validandone la compatibilita' con i propri asset, nonche' la
complessita' di gestione operativa delle strutture di supporto in
essere;
3) definire, condividere e comunicare i piani di migrazione con
tutti i soggetti interessati a titolo diretto o indiretto, quali
organizzazioni interne alle amministrazioni e soggetti terzi;
4) validare le modalita' di esecuzione del piano di migrazione su
asset di test significativi, assicurandosi di procedere con la
migrazione dei servizi e prodotti sugli asset piu' critici soltanto
dopo la validazione di alcune migrazioni e con l'ausilio di piani di
ripristino a breve termine al fine di garantire la necessaria
continuita' operativa. Il piano di migrazione dovra' garantire che in
nessun momento venga interrotta la funzione di protezione garantita
dagli strumenti oggetto della diversificazione;
5) analizzare e validare le funzionalita' e integrazioni dei
nuovi servizi e prodotti, assicurando l'applicazione di regole e
configurazioni di sicurezza proporzionate a scenari di rischio
elevati (quali, ad esempio, autenticazione multi-fattore per tutti
gli accessi privilegiati, attivazione dei soli servizi e funzioni
strettamente necessari, adozione di principi di «zero-trust»);
6) assicurare adeguato monitoraggio e audit dei nuovi prodotti e
servizi, prevedendo adeguato supporto per l'aggiornamento e la
revisione delle configurazioni in linea.
Nella predisposizione, migrazione e gestione dei nuovi prodotti e
servizi, si raccomanda l'adozione di principi trasversali di
indirizzo, quali a titolo esemplificativo quello della «gestione del
rischio», in termini di identificazione, valutazione e mitigazione
dei rischi di diversa fattispecie che concorrono nell'attuazione
della diversificazione dei servizi.
Infine, si raccomanda alle amministrazioni di controllare
costantemente il canale istituzionale di comunicazione dell'Agenzia
per la cybersicurezza nazionale (https://www.acn.gov.it/ e
https://www.acn.gov.it/portale/csirt-italia/).
La presente circolare sostituisce la precedente del 21 aprile 2022,
n. 4336, ed e' efficace dalla sua pubblicazione nella Gazzetta
Ufficiale della Repubblica italiana. La presente circolare sara'
disponibile, dopo la pubblicazione, anche all'indirizzo
https://www.acn.gov.it/
Roma, 14 novembre 2025
Il direttore generale: Frattasi