D. P.C.M. 30/04/2025

IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI

Vista la legge 23 agosto 1988, n. 400, recante «Disciplina dell’attività di Governo e ordinamento della Presidenza del Consiglio dei ministri»;

Vista la legge 28 giugno 2024, n. 90, recante «Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici» e, in particolare, l’art. 14 che stabilisce che con decreto del Presidente del Consiglio dei ministri siano individuati per specifiche categorie tecnologiche di beni e servizi informatici, gli elementi essenziali di cybersicurezza che taluni specifici soggetti devono tenere in considerazione nelle attività di approvvigionamento di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici, nonché i casi in cui, per la tutela della sicurezza nazionale, devono essere previsti criteri di premialità per le proposte o per le offerte che contemplino l’uso di tecnologie di cybersicurezza italiane o di Paesi appartenenti all’Unione europea o di Paesi aderenti all’Alleanza atlantica (NATO) o di Paesi terzi individuati con il presente decreto tra quelli che sono parte di accordi di collaborazione con l’Unione europea o con la NATO in materia di cybersicurezza, protezione delle informazioni classificate, ricerca e innovazione;

Visto il decreto legislativo 7 marzo 2005, n. 82, r

1. Fatto salvo quanto previsto per la tutela delle informazioni classificate, il presente decreto, ai sensi dell'art. 14, comma 1, della legge 28 giugno 2024, n. 90, individua:

a) gli elementi essenziali di cybersicurezza che i soggetti di cui all'art. 2, comma 2, del codice dell'amministrazione di

1. Gli elementi essenziali di cybersicurezza, di cui all'art. 14, com

1. Le categorie di cui all'art. 1, comma 1, lettera b), sono contenute nell'elenco di cui all'allegato 2 del presente decreto, che ne costituisce parte

1. I casi di cui all'art. 1, comma 1, lettera c), sono quelli in cui le tecnologie di cybersicurezza sono destinate a essere impiegate dai soggetti di cui all'art. 1, comma 2-bis, del decreto-legge n. 105 del 2019, e riguardano le reti, i sistemi informativi e i servizi informatici di cui all'art. 1, comma 2, lettera b), del medesimo

1. L'elenco dei Paesi terzi di cui all'art. 1, comma 1, lettera d), individuati in fase di prima applicazione, è contenuto nell'allegato 3 del present

1. Il presente decreto è soggetto ad aggiornamento periodico, anche in funzione del mutamento del contesto di riferimento, della congiuntura internazi

(articolo 2)

Parte I. Requisiti relativi alle proprietà dei beni e dei servizi informatici

1) I beni e i servizi informatici sono progettati, sviluppati, prodotti e forniti in modo da garantire un livello adeguato di cybersicurezza in base ai rischi.

2) Sulla base della valutazione dei rischi di cybersicurezza, i beni e i servizi informatici:

a) sono forniti senza vulnerabilità sfruttabili note;

b) sono forniti con una configurazione sicura per impostazione predefinita, con la possibilità di ripristinare il bene o servizio informatico allo stato originale;

c) garantiscono che le vulnerabilità possano essere trattate mediante aggiornamenti di sicurezza, anche, se del caso, mediante aggiornamenti di sicurezza automatici installati entro e per un periodo di tempo adeguato, abilitato come impostazione predefinita, con un meccanismo di disattivazione chiaro e di facile utilizzo, attraverso la notifica agli utilizzatori degli aggiornamenti disponibili e la possibilità di rinviarli temporaneamente;

(articolo 3)

N2

(articolo 5)

1. Australia

2. Corea del Sud