Nel nuovo codice degli appalti potrebbe esserci anche la cybersicurezza. Il Consiglio dei ministri di oggi, tra l’altro, ha come punto all’Ordine del giorno l’esame definitivo del Decreto Legislativo di riforma del Codice dei contratti pubblici e sul tavolo c’è anche l’articolo 108 (Criteri di aggiudicazione degli appalti di lavori, servizi e forniture), comma 4, che introduce per la prima volta la cybersicurezza e che Cybersecurity Italia è in grado di svelare.
Al quarto e quinto periodo si fa riferimento alla cybersicurezza, in questi termini:
“Nelle attività di approvvigionamento di beni e servizi informatici per la pubblica amministrazione, le stazioni appaltanti, incluse le centrali di committenza, nella valutazione dell’elemento qualitativo ai fini dell’individuazione del miglior rapporto qualità prezzo per l’aggiudicazione, tengono sempre in considerazione gli elementi di cybersicurezza, attribuendovi specifico e peculiare rilievo nei casi in cui il contesto di impiego è connesso alla tutela degli interessi nazionali strategici”.
“Nei casi di cui al quarto periodo precedente, quando i beni e servizi informatici oggetto di appalto sono impiegati in un contesto connesso alla tutela degli interessi nazionali strategici, la stazione appaltante stabilisce un tetto massimo per il punteggio economico entro il limite del 10%.”.
Né nella versione precedente né nei pareri delle Commissioni si faceva riferimento al termine cybersicurezza. E la novità, se dovesse essere approvata, riguarderà PA, enti e società soggette al perimetro di sicurezza nazionale cibernetica, Nis 2 e Dora, che dovranno “tenere sempre in considerazione gli elementi di cybersicurezza quando acquistano beni e servizi informatici”. E non solo. Gli stessi soggetti dovranno attribuire specifico e peculiare rilievo nei casi in cui il contesto di impiego è connesso alla tutela degli interessi nazionali strategici.
Una battaglia fortemente portata avanti da AIPSA
L’inserimento della cybersicurezza nel nuovo codice appalti è una battaglia fortemente portata avanti da AIPSA (Associazione Italiana Professionisti Security Aziendale).
Il presidente Alessandro Manfredini così ha commentato a Cybersecurity Italia: “La spesa di cybersecurity dovrebbe essere prevista, obbligatoriamente, in tutte le iniziative che riguardano la transizione digitale, con percentuali da valutare di volta in volta in base al tipo di costo, investimento o ambito che si deve attuare. Sarebbe, quindi, utile tracciare delle linee guida per definire i requisiti minimi sulle quote da destinare agli acquisti cyber. Si potrebbe mutuare la stessa ratio adottata per la spesa in termini di safety, seconda la quale ogni spesa per un appalto deve prevedere una quota di risorse per la sicurezza. Infine, è importante mantenere una quota di cybersecurity in tutto il ciclo di vita del software, che è qualcosa di dinamico: quindi riservare una parte delle risorse ai piani di patching”.
Vedremo se questo articolo verrà approvato dal Consiglio dei ministri e, quindi, inserito nel nuovo codice appalti, che entrerà in vigore, con i relativi allegati, il 1° aprile 2023, mentre le disposizioni del codice, con i relativi allegati, acquistano efficacia il 1° luglio 2023.
Sarebbe un primo passo per poi estendere, si spera, la spesa di cybersecurity obbligatoria per tutte le aziende, anche private. Così si può davvero rafforzare la cyber-resilienza dell’intero Paese.
English (US)