Focus sulla figura del referente della cybersicurezza e sugli impatti della legge in relazione ai contratti pubblici
1. IL REFERENTE PER LA CYBER SICUREZZA
1.1. La legge 28 giugno 2024, n. 90, pubblicata nella Gazzetta Ufficiale n. 153 del 2 luglio 2024, recante “Disposizioni in materia di rafforzato della cybersicurezza nazionale e di reati informatici”, c.d. “Legge sulla Cybersicurezza” ha come obiettivo quello di introdurre e armonizzare una serie di misure destinate a rafforzare la sicurezza informatica: dalla governance, ai requisiti di cybersicurezza nei contratti pubblici, fino alle preclusioni per l’assunzione di alcune tipologie di professionalità provenienti dal mondo della cybersecurity pubblica e della sicurezza nazionale.
1.2. La L. 90/2024 si caratterizza per un ambito di applicazione molto ampio.
Il perimetro soggettivo include:
- Le pubbliche amministrazioni centrali incluse nell’elenco annuale ISTAT delle pubbliche amministrazioni previsto dall’art. 1, co. 3 L. 196/2009 (es. Organi costituzionali e di rilievo costituzionale, Presidenza del Consiglio dei Ministri e Ministeri, Agenzie fiscali, Enti produttori di servizi economici, etc.);
- Le regioni e le province autonome di Trento e Bolzano;
- Le città metropolitane;
- I comuni con popolazione superiore a 100.000 abitanti;
- I comuni capoluoghi di regione;
- Le società di trasporto pubblico urbano con bacino di utenza non inferiore a 100.000 abitanti;
- Le società di trasporto pubblico extraurbano operanti nell’ambito delle città metropolitane;
- Le aziende sanitarie locali;
- Le società in house degli enti sopra citati, qualora siano fornitrici di servizi informatici, dei servizi di trasporto sopra indicati, dei servizi di raccolta, smaltimento o trattamento.
1.3. A tali soggetti, il legislatore chiede di rafforzare la resilienza in materia di cybersicurezza e tale obiettivo deve essere raggiunto attraverso una serie di adempimenti, tra cui:
i) dotarsi, ove non sia già presente, di una struttura per la cybersicurezza, anche fra quelle già esistenti, nell’ambito delle risorse umane, strumentali e finanziarie disponibili in base alla legislazione vigente;
ii) istituire la figura del referente per la cybersicurezza;
iii) segnalare gli incidenti indicati nella “Tassonomia” di cui all’art. 1, comma 3 -bis del D.L. n. 105/2019, (cosiddetto Decreto Perimetro).
In particolare, la Tassonomia Cyber dell’Agenzia per la Cybersicurezza Nazionale[1], TC-ACN, rappresenta il linguaggio comune per lo scambio delle informazioni relative a eventi e minacce di cybersicurezza ed è stata redatta con lo scopo di fornir ai soggetti interessati gli strumenti per caratterizzare un evento, attraverso 144 attributi per specificarne la natura e fornire una descrizione granulare durante gli scambi informativi.
iv) Provvedere tempestivamente all’adozione degli interventi risolutivi indicati dall’Agenzia per la Cybersicurezza Nazionale, nel caso in cui essa segnali specifiche vulnerabilità cui le pubbliche amministrazioni interessate dalla legge risultino potenzialmente esposte.
1.4. Nello specifico, con riferimento al secondo adempimento, ossia l’istituzione del referente, l’art. 8, L. 90/2024, comma 2, prevede alcuni caratteri che tale soggetto deve possedere; il referente della cybersicurezza viene individuato in ragione delle sue specifiche professionalità e competenze possedute. Inoltre, il referente della cybersicurezza deve essere dotato non solo di conoscenze tecniche, ma anche di capacità di gestione del rischio, di pianificazione strategica e di comunicazione efficace.
Ai sensi del comma 3 dell’art 8 della legge in questione tale soggetto può essere individuato anche nella figura del Responsabile per la Transizione Digitale (RTD, Art. 17 del Codice dell’Amministrazione Digitale).
1.5. Le responsabilità principali si sostanziano nell’identificazione e nella mitigazione dei rischi informatici, nella progettazione e nell’implementazione di politiche e procedure di sicurezza, e nel monitoraggio continuo delle minacce alla sicurezza dei dati.
Un ulteriore ruolo fondamentale assunto dal referente si sostanzia nella capacità di mantenere la pubblica amministrazione in linea con le normative nazionali e internazionali in materia di cyber sicurezza e nello specifico, il referente deve assicurarsi che tutte le pratiche e i sistemi siano conformi alle leggi vigenti, riducendo in tal modo il rischio di violazioni dei dati e di altri incidenti di sicurezza.
Infine, il referente ha anche il compito di fungere da intermediario tra l’amministrazione e le agenzie di regolamentazione, come l’Agenzia per la Cybersicurezza Nazionale, garantendo che vi sia un flusso costante di informazioni e aggiornamenti.
1.6. Ai sensi sempre del comma 2, poi, il nominativo del referente deve essere obbligatoriamente comunicato all’Agenzia per la Cybersicurezza Nazionale (ACN) e tale comunicazione deve avvenire tramite PEC e deve contenere sia la nomina del referente per la cybersicurezza firmata digitalmente, sia il modulo referente per la cybersicurezza (scaricabile dal sito ACN) compilato e firmato.
1.7. Laddove le amministrazioni non dovessero disporre di personale dipendente fornito di tali requisiti, possono comunque conferire l’incarico al dipendente di un’altra pubblica amministrazione, previa autorizzazione dell’amministrazione di appartenenza e nell’ambito delle risorse disponibili in base alla legislazione vigente senza determinare nuovi o maggiori oneri per la finanza pubblica.
1.8. Il ruolo delle strutture è quindi particolarmente importante, dal momento che esse verificano che i programmi e le applicazioni informatiche e di comunicazione elettronica che utilizzano soluzioni crittografiche, rispettino le linee guida sulla crittografia nonché quelle sulla conservazione delle password adottate dall’Agenzia per la Cybersicurezza Nazionale e dal Garante per la protezione de dati personali, ai sensi dell’art. 9 della presente legge.
2. LEGGE 90/2024 E CONTRATTI PUBBLICI
2.1. L’art.108 del Nuovo Codice dei contratti pubblici (D. Lgs. 36/2023) disciplina i criteri di aggiudicazione enunciando, quale regola di carattere generale, valevole per tutti gli appalti di lavori, forniture e servizi (salva la differente regolamentazione per gli appalti sottosoglia) l’offerta economicamente più vantaggiosa.
Nello specifico, l’art. 108 del D. Lgs. 36/2023 al comma 4 contiene una precisazione circa l’approvvigionamento di beni e servizi informatici: le stazioni appaltanti devono tenere in considerazione gli elementi di cybersicurezza nella valutazione dell’elemento qualitativo ai fini dell’individuazione del miglior rapporto qualità-prezzo, in particolare:
- Nei casi in cui i beni e servizi informati oggetto di appalto siano impiegati in un contesto connesso alla tutela degli interessi nazionali strategici, la stazione appaltante stabilisce un tetto massimo per il punteggio economico (max al 10%).
- Per i contratti ad alta intensità di manodopera, la stazione appaltante stabilisce un tetto massimo per il punteggio economico entro il limite del 30%.
2.2. in tale contesto acquista particolare rilievo la norma dedicata alla disciplina dei contratti pubblici di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici, di cui all’articolo 14. L. 90/2024.
La norma in questione prevede che entro 120 giorni dall’entrata in vigore della Legge (L.90/2024) dovrà essere adottato un decreto del Presidente del Consiglio dei Ministri attraverso il quale verranno individuati gli elementi essenziali di cybersicurezza[2] che i soggetti di cui all’art. 2, comma 2 del Codice dell’Amministrazione Digitale (D.Lgs. 82/2005) devono tenere in considerazione sia nelle attività di approvvigionamento di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici e sia nei casi in cui, per la tutela della sicurezza nazionale, devono essere previsti criteri di premialità per le proposte o per le offerte che contemplino l’uso di tecnologie di cybersicurezza italiane o di Paesi appartenenti all’Unione Europea o di Paesi aderenti alla NATO o di Paesi terzi (individuati dallo stesso decreto) tra quelli che sono parte di accordi di collaborazione con l’UE o con la NATO in materia di cybersicurezza, protezione delle informazioni classificate, ricerca e innovazione.
2.3. A tale scopo, le Stazioni Appaltanti, comprese le centrali di committenza:
- Possono esercitare la facoltà ex artt. 107, co. 2 (secondo cui “la Stazione Appaltante può decidere di non aggiudicare l’appalto all’offerente che ha presentato l’offerta economicamente più vantaggiosa se ha accertato che l’offerta non soddisfa gli obblighi in materia ambientale, sociale e del lavoro stabiliti dalla normativa europea e nazionale, dai contratti collettivi o dalle disposizioni internazionali di diritto del lavoro”) e 108, co. 10 del D.Lgs. n. 36/2023 (secondo cui “le stazioni appaltanti possono decidere di non procedere all’aggiudicazione se nessuna offerta risulti conveniente o idonea in relazione all’oggetto del contratto”), se accertano che l’offerta non tiene in considerazione gli elementi di cybersicurezza individuati nel dPCM;
- Tengono in considerazione gli elementi essenziali di cybersicurezza nella valutazione dell’elemento qualitativo, ai fini dell’individuazione del miglior rapporto qualità/prezzo per l’aggiudicazione;
- Nel caso in cui sia stato utilizzato il criterio del minor prezzo, ai sensi dell’art. 108, co. 3 D.Lg. 36/2023, inseriscono gli elementi di cybersicurezza tra i requisiti minimi dell’offerta;
- Nel caso in cui sia stato utilizzato il criterio dell’offerta economicamente più vantaggiosa, ai sensi dell’art. 108, co. 4 D.Lgs. 36/2023, nella valutazione dell’elemento qualitativo ai fini dell’individuazione del miglior rapporto qualità/prezzo, stabiliscono un tetto massimo per il punteggio economico entro il limite del 10%;
- Prevedono criteri di premialità per le proposte o per le offerte che contemplino l’uso di tecnologie di cybersicurezza italiane o di Paesi appartenenti all’UE o di Paesi aderenti alla NATO o di Paesi terzi individuati con il decreto tra quelli che sono parte di accordi di collaborazione con l’UE o con la NATO in materia di cybersicurezza, protezione delle informazioni classificate, ricerca e innovazione, al fine di tutelare la sicurezza nazionale e di conseguire l’autonomia tecnologica e strategica nell’ambito della cybersicurezza.
2.4. Le disposizioni di cui sopra si applicano anche ai soggetti privati non compresi tra quelli elencati nel CAD ma che sono inseriti nell’elenco previsto dal comma 2 bis dell’art. 1 D.L. n. 105/2019, convertito con modificazioni dalla L. 133/2019, ossia il D.L. che ha istituito il Perimetro di Sicurezza Nazionale Cibernetica (PSNC). In particolare, i soggetti inclusi nel PSNC sono individuati sulla base di un criterio di gradualità, tenendo conto dell’entità de pregiudizio per la sicurezza nazionale che, in relazione alle specificità dei diversi settori di attività, può derivare dal malfunzionamento, interruzione (anche parziale), utilizzo improprio delle reti, sistemi informativi e dei servizi informativi.
Nello specifico, li soggetti sono individuati in:
- Soggetti che esercitano una funzione essenziale dello Stato, il cui esercizio dipende da reti, sistemi informativi e servizi informatici;
- Soggetti che assicurano un servizio essenziale per il mantenimento di attività civili, sociali ed economiche fondamentali per lo Stato e il cui esercizio dipende da reti, sistemi informativi e servizi informatici.
L’elenco dei soggetti inclusi nel PSNC è poi contenuto in un atto amministrativo, adottato dal Presidente del Consiglio dei Ministri, su proposta del CIC.
Infine, rimangono vigenti le disposizioni dell’art. 1 D.L. n. 105/2019 per i casi relativi all’approvvigionamento di beni, sistemi e servizi di information and communication technology destinati ad essere impiegati nelle reti e nei sistemi informativi, oltre che per l’espletamento dei servizi informatici di cui alla lettera b) del comma 2 dello stesso articolo 1, ossia i sistemi informativi e le reti che riguardano settori strategici per il funzionamento e la sicurezza dello Stato. Tra questi rientrano sicuramente: le reti e i sistemi che gestiscono le infrastrutture critiche come energia, trasporti, sanità, finanza e telecomunicazioni ed i sistemi informativi dell’amministrazione pubblica, che comprendono quelli per la gestione dei dati sensibili o strategici per il funzionamento dello Stato; tutti questi sistemi e reti devono essere protetti da minacce, in particolare cyber attacchi.
[1] L’ACN ha definito una “tassonomia cyber” (TC-ACN) in grado di: i) agevolare lo scambio di informazioni a livello nazionale attraverso l’adozione di un lessico comune che rappresenti una base metodologica sia per la condivisione di informazioni riguardo agli eventi cyber sia per la notifica degli incidenti al CSIRT Italia; ii) identificare, definire e caratterizzare gli eventi cyber attraverso un’unica tassonomia rilevante a livello nazionale; iii) fornire alle organizzazioni un documento che si armonizzi con le tassonomie internazionali in materia di cybersecurity e che sia al contempo adeguato al contesto normativo nazionale (https://www.csirt.gov.it/contenuti/la-tassonomia-cyber-dellacn).
[2] Con elementi essenziali di cybersicurezza si intendono l’insieme di criteri e regole tecniche a cui i beni e servizi informatici da acquisire devono essere conformi per garantire che il livello di confidenzialità, integrità e disponibilità dei dati da trattare corrisponda alle esigenze di tutela espresse dal provvedimento.
Questo articolo ti è stato utile?
Consulta le nostre sezioni dedicate al Regolamento 679/2016 (GDPR) e privacy e al supporto alle stazioni appaltanti. Puoi anche iscriverti alla nostra newsletter e non perdere le notizie più importanti in tema di Appalti, anticorruzione, digitalizzazione della PA e D.Lgs. 231 responsabilità delle persone giuridiche. Non preoccuparti, saremo moderati. Anche noi odiamo lo SPAM.