Amministrazione Trasparente

Monitoraggio Contratti ICT

Guida per il cittadino
Applicabilità

In linea con l’ampliamento dell'insieme dei soggetti obbligati dettato dalla Direttiva NIS2, l’articolo 3 del D. Lgs. 138/2024 definisce l’ambito di applicazione del Decreto stesso, suddividendo gli enti in quattro categorie, meglio dettagliate nei relativi allegati. 

Nell'elenco dei soggetti obbligati così identificati, l’art. 6 del Decreto opera un’ulteriore distinzione tra soggetti essenziali (perché superano determinati criteri dimensionali o svolgono determinate attività rilevanti) e soggetti importanti (tutti i soggetti rientranti negli Allegati da I a IV, non considerati essenziali), al fine di graduare gli obblighi gravanti sulle due categorie, lasciando sempre all’ACN (Autorità nazionale competente NIS) la facoltà di identificare altri soggetti essenziali, indipendentemente dalle loro dimensioni.

L'A.p.s.p. C. Vannetti è identificato quale soggetto essenziale.

Riferimenti normativi
D. lgs 14 marzo 2013, n. 13 "Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni."
Circolare AGID 20 gennaio 2021, n. 1 "Monitoraggio sull'esecuzione dei contratti"
D. lgs 4 settembre 2024, n. 138 "Recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148."
Contenuto dell'obbligo

La Direttiva UE 2022/2555 (c.d. Direttiva NIS2) è entrata in vigore il 17 gennaio 2023 e rappresenta un passo importante nella definizione delle strategie dell'UE per la cybersecurity, con particolare riguardo all'adozione di linee di condotta utili alla prevenzione, individuazione e risposta rapida alle sempre più numerose minacce cyber, favorendo la cooperazione tra pubblico e privato, nonché tra gli stessi Stati membri grazie ad un quadro normativo più uniforme e coordinato.

I soggetti interessati dovranno adottare misure tecniche, organizzative e operative adeguate e proporzionate alla tipologia di attività svolta e idonee a ridurre il rischio di incidenti. Gli obblighi principali includono:

  • Analisi dei rischi e adozione di politiche di sicurezza
  • Notifica degli incidenti: Obbligo di segnalazione tempestiva (entro 24 ore) alle autorità competenti di qualsiasi incidente di sicurezza
  • uso di schemi di certificazione della cybersicurezza
  • comunicazione e l’aggiornamento delle informazioni sull’apposita piattaforma digitale
  • Governance e responsabilità: I membri degli organi di amministrazione e direzione sono direttamente responsabili della violazione delle misure di gestione del rischio

E' da sottolineare, inoltre, come la norma ponga in capo ai soggetti destinatari un obbligo di valutazione in termini di sicurezza della catena di approvigionamento, compresi gli aspetti legati ai rapporti tra ciascun soggetto ed i suoi diretti fornitori, spostando, di fatto, il raggio di applicazione della NIS2 anche ai soggetti non direttamente interessati (i quali dovranno attivarsi e adottare misure idonee a garantire ai loro clienti un livello di sicurezza adeguato).

Con il d. lgs 138/2024 (C.d. Decreto NIS) l’Italia ha recepito nell’ordinamento nazionale la Direttiva UE 2022/2555, relativa a misure per un livello comune elevato di sicurezza informatica nell'Unione abrogando la precedente direttiva. Il decreto conferma il ruolo dell’ACN come Autorità nazionale competente NIS e Punto di contatto unico.

Ultima modifica: Giovedì, 02 Luglio 2026