Nel nuovo codice degli Appalti per la prima volta è stata inserita la cybersicurezza. Infatti, come anticipato da Cybersecurity Italia, nel testo definitivo del Decreto Legislativo di riforma del Codice dei contratti pubblici, approvato dal Consiglio dei ministri, è stato inserito all’articolo 108 (Criteri di aggiudicazione degli appalti di lavori, servizi e forniture), il comma 4, che la nostra testata è in grado di svelare nella sua versione ufficiale e definitiva.
I documenti di gara stabiliscono i criteri di aggiudicazione dell’offerta, pertinenti alla natura, all’oggetto e alle caratteristiche del contratto. In particolare, l’offerta economicamente più vantaggiosa, individuata sulla base del miglior rapporto qualità/prezzo, è valutata sulla base di criteri oggettivi, quali gli aspetti qualitativi, ambientali o sociali, connessi all’oggetto dell’appalto. La stazione appaltante, al fine di assicurare l’effettiva individuazione del miglior rapporto qualità/prezzo, valorizza gli elementi qualitativi dell’offerta e individua criteri tali da garantire un confronto concorrenziale effettivo sui profili tecnici.
Nelle attività di approvvigionamento di beni e servizi informatici per la pubblica amministrazione, le stazioni appaltanti, incluse le centrali di committenza, nella valutazione dell’elemento qualitativo ai fini dell’individuazione del miglior rapporto qualità prezzo per l’aggiudicazione, tengono sempre in considerazione gli elementi di cybersicurezza, attribuendovi specifico e peculiare rilievo nei casi in cui il contesto di impiego è connesso alla tutela degli interessi nazionali strategici.
Nei casi di cui al quarto periodo, quando i beni e servizi informatici oggetto di appalto sono impiegati in un contesto connesso alla tutela degli interessi nazionali strategici, la stazione appaltante stabilisce un tetto massimo per il punteggio economico entro il limite del 10 per cento. Per i contratti ad alta intensità di manodopera, la stazione appaltante stabilisce un tetto massimo per il punteggio economico entro il limite del 30 per cento.Né nella versione precedente né nei pareri delle Commissioni si faceva riferimento al termine cybersicurezza. E la novità riguarderà PA, enti e società soggette al perimetro di sicurezza nazionale cibernetica, Nis 2 e Dora, che dovranno “tenere sempre in considerazione gli elementi di cybersicurezza quando acquistano beni e servizi informatici”. E non solo. Gli stessi soggetti dovranno attribuire specifico e peculiare rilievo nei casi in cui il contesto di impiego è connesso alla tutela degli interessi nazionali strategici.
Una battaglia fortemente portata avanti da AIPSA
L’inserimento della cybersicurezza nel nuovo codice appalti è una stata battaglia fortemente portata avanti da AIPSA (Associazione Italiana Professionisti Security Aziendale).
Il presidente Alessandro Manfredini così ha commentato a Cybersecurity Italia: “La spesa di cybersecurity dovrebbe essere prevista, obbligatoriamente, in tutte le iniziative che riguardano la transizione digitale, con percentuali da valutare di volta in volta in base al tipo di costo, investimento o ambito che si deve attuare. Sarebbe, quindi, utile tracciare delle linee guida per definire i requisiti minimi sulle quote da destinare agli acquisti cyber. Si potrebbe mutuare la stessa ratio adottata per la spesa in termini di safety, seconda la quale ogni spesa per un appalto deve prevedere una quota di risorse per la sicurezza. Infine, è importante mantenere una quota di cybersecurity in tutto il ciclo di vita del software, che è qualcosa di dinamico: quindi riservare una parte delle risorse ai piani di patching”.
Il testo del nuovo codice Appalti sarà pubblicato in Gazzetta Ufficiale entro il 31 marzo, come da tabella Ue, visto che si tratta di una riforma fondante del PNRR, una milestone. Entrerà in vigore, con i relativi allegati, il 1° aprile 2023, mentre le disposizioni del codice, con i relativi allegati, acquistano efficacia il 1° luglio 2023.
Le nostre domande
Tuttavia, dopo aver letto il testo definitivo, ci restano i seguenti dubbi:
1) Vale “per la pubblica amministrazione”, ma non per tutti i soggetti che saranno tenuti ad applicare il nuovo codice.
2) Si fa riferimento all’approvvigionamento di “beni e servizi informatici” per la pubblica amministrazione, ma che significa “informatici” ? Una rete ferroviaria è un bene informatico? E una rete di Tlc?
3) L’espressione “tengono sempre in considerazione”, che significa concretamente e tecnicamente?
4) E ancora gli “elementi di cybersicurezza” cosa significano? E in base a cosa devono essere valutati?
5) E poi “…quando i beni e servizi informatici oggetto di appalto sono impiegati in un contesto connesso alla tutela degli interessi nazionali strategici…” che significa “connesso”? Chi valuta se la connessione esiste o meno?
6) Infine, sugli “interessi nazionali strategici” chi decide se ricorre questa circostanza? In base a cosa?
English (US)