L’Acn (Agenzia per la cybersicurezza nazionale) ha adottato le linee guida per l’applicazione dei criteri di premialità, così da incentivare l’adozione di tecnologie di cyber security.
Per rendere più agevole l’attribuzione del punteggio a una determinata offerta, l’Acn ha pensato e messo a disposizione un tool in grado di interpretare i contenuti di una Bill of materials (BOM).
Indice degli argomenti
Indicazioni operative e non obblighi
Non si tratta di nuovi obblighi, ma di utili spiegazioni su come applicare concretamente quelli già previsti per legge (ex art. 14 L. 90/2024 e i due DPCM rispettivamente del 30 aprile e del 2 ottobre 2025), così Acn ha deciso di adottare le nuove “linee guida per l’applicazione dei criteri di premialità”.
Si tratta di un documento operativo utile per comprendere come applicare questi criteri così come previsto dall’art. 14 della L. 90/2024.
L’intento è quello di incentivare l’adozione di tecnologie di cyber sicurezza
italiane o provenienti da specifici Paesi, qualora dovessero presentarsi esigenze di tutela della sicurezza nazionale.
Ma l’ACN non si limita a questo. Predispone pure un tool (gestionale) che consente di interpretare i contenuti di una Bill of materials (BOM) e di fornire indicazioni in merito all’attribuzione del punteggio premiale a una determinata offerta.
Tutte le novità delle linee guida dei criteri di premialità per i fornitori
Un ulteriore tassello applicativo in materia di contratti pubblici di beni e servizi informatici adoperati in un contesto avvinto alla tutela degli interessi nazionali strategici, è stato messo da Acn, sentita l’Anac, attraverso le linee guida in parola.
La principale novità risiede nell’includere, tra le tecnologie emergenti nonché
soggette ai criteri di premialità, i servizi 4G/5G e annesse evoluzioni.
Non solo, tali linee guida chiariscono anche altri elementi importanti, di seguito
dettagliati.
La nozione di tecnologie di cyber sicurezza
L’Acn, attraverso queste linee guida, definisce quelle che sono le “tecnologie di cyber sicurezza” offrendo una nozione che richiama il principio generale di cyber security, secondo cui possono definirsi tali quelle che “svolgono, sia prioritariamente, sia in via eventuale, funzioni di sicurezza e cioè funzioni in grado di impattare sulla sicurezza dei dati e delle informazioni, in termini di riservatezza, integrità e disponibilità”.
Di qui discendono due classi di tecnologie, distinte, scrive Acn, “al solo scopo di specificare che quelle […] comporteranno l’applicazione del criterio di premialità solo nei casi in cui esse siano preposte a funzioni di sicurezza informatica attinenti alla tutela del dato e delle informazioni”.
Come, per esempio, i “dispositivi di rete che abbiano anche funzioni di filtraggio dei flussi di dati (screening router), ovvero di controllo accessi logici (switch con port security); relativamente ai servizi cloud, rientrano in tale ambito le tecnologie erogate in modalità SaaS (Software as a Service)” come i sistemi di gestione delle informazioni e degli eventi di sicurezza “SIEM”.
Le finalità e gli elementi necessari sui Bill of materials (BOM)
Chi è interessato all’applicazione del “criterio di premialità” deve far riferimento alla tecnica Bill of Materials (BOM) che consiste “nel far sì che vengano esattamente individuati i luoghi di provenienza dei singoli componenti/servizi appartenenti alle tecnologie di cybersicurezza” per ragioni anche di affidabilità.
La compilazione della BOM deve essere eseguita dagli offerenti e allegata alla proposta.
Si tratta, dunque, di un tool e quindi analisi automatizzata, che risponde anche ad esigenze di semplificazione, di aderenza ai principi costituzionalmente garantiti di “economicità, efficienza ed efficacia dell’azione amministrativa” (art. 97 Cost).
Circa la struttura, si rimanda all’appendice tecnica (a) di cui alla linea guida.
Le modalità di calcolo e di ponderazione: focus sui servizi 4G e 5G
Circa l’uso dei componenti/servizi, venendo in rilievo la tutela della sicurezza nazionale del Paese, i soggetti/fornitori che rientrano nella catena di approvvigionamento di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici di cui all’art. 14 della L. 90/2024, occorrono evidentemente dei criteri unitari “ai fini della determinazione del peso da attribuire alla premialità”.
Al riguardo viene chiarito come il valore del premio da attribuire sia pari a 8 punti, diversificando in base alle tecnologie e a come assegnare il punteggio.
Attenzione che eventuali difformità – emerse in sede ispettiva – rispetto a quanto dichiarato dal fornitore/offerente, saranno causa di risoluzione del contratto.
Per quanto riguarda il modus operandi con riferimento agli approvvigionamenti di beni e servizi ICT diversi dai sistemi e servizi telefonia mobile 4G e 5G, detto punteggio non sarà suscettibile di alcun frazionamento, nel senso che – spiegano le linee guida – “esso o è applicabile integralmente, laddove ciascun componente/servizio appartenente al livello 1 rispetti i requisiti o, in caso contrario, non lo è affatto (meccanismo di natura “on/off”)”.
Per ulteriori dettagli, si rimanda all’appendice tecnica Telco (b) di cui alla linea guida in questione.
ACN e le linee guida sui criteri di premialità: le clausole tipo
Le linee guida offrono (al capitoletto 5.3) due format di clausole ad hoc ai fini dell’attribuzione della premialità.
Queste clausole tipo potranno/dovranno essere adoperate dalle stazioni appaltanti, ivi comprese le centrali di committenza.
Ipotesi 1
In generale, ad esclusione di approvvigionamenti di sistemi e servizi telefonia mobile 4G e 5G, in versione sia stand-alone che non stand-alone, e successive evoluzioni tecnologiche, ecco il testo: “Ai sensi dell’articolo 4, primo periodo, del DPCM del 30 aprile 2025, come modificato dal DPCM 2 ottobre 2025, gli operatori economici producono, in sede di offerta, l’elenco di tutti gli elementi (componenti o servizi) per il livello 1 della BOM (Bill of Materials) conforme ai requisiti di cui alle Linee guida adottate dall’Agenzia per la cyber sicurezza nazionale, sentita l’Autorità nazionale anticorruzione, comprensiva almeno dei campi minimi indicati nelle medesime Linee guida, nonché una autodichiarazione che attesti che la propria offerta contempla, al livello di dettaglio riportato nella BOM, di cui si attesta la correttezza e la completezza, l’uso di tecnologie di cybersicurezza italiane, o di Paesi appartenenti all’Unione europea, o di Paesi aderenti all’Alleanza atlantica (NATO), o di Paesi terzi di cui all’Allegato 3 del citato Dpcm. La BOM dovrà essere fornita, ai sensi dell’Allegato 1, parte II, n. 1), lett. a), del DPCM 30 aprile 2025, in formato CycloneDX versione 1.6 o altro formato equivalente, previa autorizzazione della stazione appaltante”.
Ipotesi 2
Con riferimento agli approvvigionamenti di sistemi e servizi telefonia mobile 4G e 5G, in versione sia stand-alone che non stand-alone, e successive evoluzioni tecnologiche: “Ai sensi dell’articolo 4, secondo e terzo periodo, del DPCM del 30 aprile 2025, come modificato dal DPCM 2 ottobre 2025, gli operatori economici producono, in sede di offerta, l’elenco di tutti i componenti di fabbricazione delle infrastrutture impiegate per erogare i servizi e sistemi di telefonia mobile 4G e 5G, in versione sia stand-alone che non stand-alone, e successive evoluzioni tecnologiche, conforme ai requisiti di cui alle Linee guida adottate dall’Agenzia per la cybersicurezza nazionale, sentita l’Autorità nazionale anticorruzione, comprensiva dei campi del prospetto indicati nelle medesime Linee guida, nonché una autodichiarazione che attesti che la propria offerta contempla,
al livello del prospetto indicato nelle medesime Linee guida, di cui si attesta la
correttezza e la completezza, l’uso di tecnologie di cybersicurezza italiane, o di Paesi appartenenti all’Unione europea, o di Paesi aderenti all’Alleanza atlantica (NATO), o di Paesi terzi di cui all’Allegato 3 del citato DPCM. Il prospetto di tutti i componenti di fabbricazione delle infrastrutture impiegate per erogare i servizi e sistemi di telefonia mobile 4G e 5G, in versione sia stand-alone che non stand-alone, e successive evoluzioni tecnologiche, dovrà essere fornito come previsto nel prospetto di cui all’Appendice tecnica TELCO delle medesime Linee guida”.
La gestione del rischio intrinseco alla catena di approvvigionamento
Un elemento fondamentale di tutela della cyber security è la “gestione del rischio intrinseco alla catena di approvvigionamento”. Quest’ultima rappresenta uno dei principali vettori di attacco, specialmente nell’attuale momento storico caratterizzato da una importante evoluzione tecnologica, dove la minaccia cyber sta diventando sempre più sofisticata.
Così assicurare che gli approvvigionamenti di prodotti e servizi tecnologici anche considerato oltretutto che i fornitori di software, hardware o servizi IT spesso sono vittime di più ampi attacchi cyber, diventa un aspetto indifferibile e imprescindibile, a maggior ragione ai fini della tutela della sicurezza nazionale nel cyber spazio.
Tutti i chiarimenti
Ancora una volta emerge l’esigenza di (dover) promuovere l’autonomia tecnologica e strategica del Paese in un contesto di sicurezza nazionale, rafforzando il concetto di sovranità digitale, intesa anzitutto come sovranità sul dato.
L’obiettivo finale è dunque quello di un quadro operativo che intende rendere coerente e trasparente l’attuazione dei “criteri di premialità” previsti per legge, valorizzando l’impiego di tecnologie italiane, europee o Nato, fornendo ai fornitori/soggetti pubblici e privati destinatari, best practices ovvero chiarimenti operativi, in considerazione della complessità/novità della materia.
