| Gazzetta n. 272 del 22 novembre 2025 (vai al sommario) |
| AGENZIA PER LA CYBERSICUREZZA NAZIONALE |
| CIRCOLARE 14 novembre 2025 |
| Attuazione dell'articolo 29, comma 3, del decreto-legge 21 marzo 2022, n. 21. Diversificazione di prodotti e servizi tecnologici di sicurezza informatica. |
|
|
Alle amministrazioni pubbliche di cui
all'art. 1, comma 2, del decreto
legislativo n. 165 del 2001 e alle
centrali di committenza di cui
all'art. 1, comma 1, lettera i),
dell'allegato I.1, del decreto
legislativo n. 36 del 2023
- Loro sedi Oggetto:
«Attuazione dell'art. 29, comma 3, del decreto-legge 21 marzo 2022, n. 21. Diversificazione di prodotti e servizi tecnologici di sicurezza informatica». Aggiornamento della circolare del 21 aprile 2022, n. 4336, pubblicata nella Gazzetta Ufficiale n. 96 del 26 aprile 2022. A) Premesse.
Il decreto-legge 21 marzo 2022, n. 21, convertito, con modificazioni, dalla legge 20 maggio 2022, n. 51, all'art. 29 ha stabilito per tutte le amministrazioni pubbliche di cui all'art. 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, l'obbligo di procedere, tempestivamente, alla diversificazione dei prodotti e dei servizi tecnologici di sicurezza informatica prodotti o forniti da aziende legate alla Federazione Russa, appartenenti alle categorie individuate da un'apposita circolare dell'Agenzia per la cybersicurezza nazionale, anche sulla base degli elementi forniti nell'ambito del Nucleo per la cybersicurezza, tra quelle volte ad assicurare le seguenti funzioni di sicurezza: a) sicurezza dei dispositivi (endpoint security), ivi compresi applicativi antivirus, antimalware ed «endpoint detection and response» (EDR); b) «web application firewall» (WAF).
Il predetto art. 29 prevede, altresi', che le centrali di committenza «consentono l'aggiornamento delle offerte mediante l'inserimento di ulteriori prodotti idonei alle finalita' di cui al presente articolo [e cioe' l'art. 29], di cui sia valutata la sostenibilita' e che contribuiscano al conseguimento dell'autonomia tecnologica nazionale ed europea».
In relazione al predetto quadro normativo e in considerazione della perdurante esigenza di prevenire, nell'attuale contesto geopolitico, ai sensi dell'art. 29, possibili pregiudizi per la sicurezza nazionale nello spazio cibernetico, si rende necessario procedere all'aggiornamento della circolare del 21 aprile 2022. B) Individuazione dei prodotti e servizi tecnologici di sicurezza informatica ai sensi dell'art. 29.
Ai sensi dell'art. 29, comma 3, del decreto-legge n. 21 del 2022, sono individuate le seguenti categorie di prodotti e servizi tecnologici di sicurezza informatica, ivi incluse le relative aziende produttrici o fornitrici legate alla Federazione Russa:
1) prodotti e servizi di cui all'art. 29, comma 3, lettera a), del decreto-legge n. 21 del 2022, della societa' «Kaspersky Lab» e della societa' «Group-IB», anche commercializzati tramite canali di rivendita indiretta o veicolati tramite accordi quadro o contratti quadro in modalita' «on-premise» o «da remoto»;
2) prodotti e servizi di cui all'art. 29, comma 3, lettera b), del decreto-legge n. 21 del 2022, della societa' «Security Gen» - gia' «Positive Technologies», oltre ai prodotti e ai servizi che siano stati o che ancora siano prodotti da quest'ultima - anche commercializzati tramite canali di rivendita indiretta e/o anche veicolati tramite accordi quadro o contratti quadro in modalita' «on-premise» o «da remoto». C) Raccomandazioni procedurali.
Si raccomanda alle amministrazioni e alle centrali di committenza, al fine di provvedere agli adempimenti prescritti dal citato art. 29, di richiedere agli operatori economici la lista:
1) dei componenti software inclusi nel prodotto (c.d. software bill of materials-SBOM);
2) delle infrastrutture tecnologiche per l'erogazione del servizio (a titolo esemplificativo, componente IaaS o PaaS di un servizio cloud o security operation center-SOC);
3) dei componenti applicativi del servizio, laddove esistenti, erogati in modalita' SaaS.
Le amministrazioni e le centrali di committenza possono richiedere, alternativamente alle liste di cui al periodo precedente, un'autodichiarazione circa l'assenza dei prodotti e dei servizi di cui al paragrafo B) all'interno:
1) dei componenti software inclusi nel prodotto (c.d. software bill of materials-SBOM);
2) delle infrastrutture tecnologiche per l'erogazione del servizio (a titolo esemplificativo, componente IaaS o PaaS di un servizio cloud o security operation center-SOC);
3) dei componenti applicativi del servizio, laddove esistenti, erogati in modalita' SaaS.
Restano ferme le responsabilita' penali, civili e amministrative previste dalla legge in caso di presentazione di dichiarazioni false o mendaci.
Si raccomanda, altresi', alle amministrazioni destinatarie della presente circolare - responsabili nella conduzione delle operazioni di configurazione dei nuovi servizi e prodotti acquisiti ai sensi dell'art. 29 del decreto-legge n. 21 del 2022, anche in relazione alla precisa conoscenza dei propri asset (reti, sistemi informativi e servizi informatici) e degli impatti degli stessi sulla continuita' dei servizi e della protezione dei dati - di adottare tutte le misure e le buone prassi di gestione di servizi informatici e del rischio cyber e, in particolare, di tenere conto di quanto definito dal Framework nazionale per la cybersecurity e la data protection, edizione 2025 (v.2.1), realizzato dal Centro di ricerca di cyber intelligence and information security (CIS) dell'Universita' Sapienza di Roma e dal Cybersecurity national lab del Consorzio interuniversitario nazionale per l'informatica (CINI), con il supporto dell'Agenzia per la cybersicurezza nazionale.
In particolare, si raccomanda di:
1) censire dettagliatamente i servizi e i prodotti di cui al paragrafo B) della presente circolare, analizzando gli impatti degli aggiornamenti degli stessi sull'operativita', quali i tempi di manutenzione necessari;
2) identificare e valutare i nuovi servizi e prodotti, validandone la compatibilita' con i propri asset, nonche' la complessita' di gestione operativa delle strutture di supporto in essere;
3) definire, condividere e comunicare i piani di migrazione con tutti i soggetti interessati a titolo diretto o indiretto, quali organizzazioni interne alle amministrazioni e soggetti terzi;
4) validare le modalita' di esecuzione del piano di migrazione su asset di test significativi, assicurandosi di procedere con la migrazione dei servizi e prodotti sugli asset piu' critici soltanto dopo la validazione di alcune migrazioni e con l'ausilio di piani di ripristino a breve termine al fine di garantire la necessaria continuita' operativa. Il piano di migrazione dovra' garantire che in nessun momento venga interrotta la funzione di protezione garantita dagli strumenti oggetto della diversificazione;
5) analizzare e validare le funzionalita' e integrazioni dei nuovi servizi e prodotti, assicurando l'applicazione di regole e configurazioni di sicurezza proporzionate a scenari di rischio elevati (quali, ad esempio, autenticazione multi-fattore per tutti gli accessi privilegiati, attivazione dei soli servizi e funzioni strettamente necessari, adozione di principi di «zero-trust»);
6) assicurare adeguato monitoraggio e audit dei nuovi prodotti e servizi, prevedendo adeguato supporto per l'aggiornamento e la revisione delle configurazioni in linea.
Nella predisposizione, migrazione e gestione dei nuovi prodotti e servizi, si raccomanda l'adozione di principi trasversali di indirizzo, quali a titolo esemplificativo quello della «gestione del rischio», in termini di identificazione, valutazione e mitigazione dei rischi di diversa fattispecie che concorrono nell'attuazione della diversificazione dei servizi.
Infine, si raccomanda alle amministrazioni di controllare costantemente il canale istituzionale di comunicazione dell'Agenzia per la cybersicurezza nazionale (https://www.acn.gov.it/ e https://www.acn.gov.it/portale/csirt-italia/).
La presente circolare sostituisce la precedente del 21 aprile 2022, n. 4336, ed e' efficace dalla sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana. La presente circolare sara' disponibile, dopo la pubblicazione, anche all'indirizzo https://www.acn.gov.it/
Roma, 14 novembre 2025
Il direttore generale: Frattasi
|
| |
|
|