Art. 14
Disciplina dei contratti pubblici di beni e servizi informatici
impiegati in un contesto connesso alla tutela degli interessi
nazionali strategici e disposizioni di raccordo con il
decreto-legge 21 settembre 2019, n. 105, convertito, con
modificazioni, dalla legge 18 novembre 2019, n. 133
1. Con decreto del Presidente del Consiglio dei ministri, da
adottare entro centoventi giorni dalla data di entrata in vigore
della presente legge, su proposta dell’Agenzia per la cybersicurezza
nazionale, previo parere del Comitato interministeriale per la
sicurezza della Repubblica, di cui all’articolo 5 della legge 3
agosto 2007, n. 124, nella composizione di cui all’articolo 10, comma
1, del decreto-legge 14 giugno 2021, n. 82, convertito, con
modificazioni, dalla legge 4 agosto 2021, n. 109, sono individuati,
per specifiche categorie tecnologiche di beni e servizi informatici,
gli elementi essenziali di cybersicurezza che i soggetti di cui
all’articolo 2, comma 2, del codice dell’amministrazione digitale, di
cui al decreto legislativo 7 marzo 2005, n. 82, tengono in
considerazione nelle attivita’ di approvvigionamento di beni e
servizi informatici impiegati in un contesto connesso alla tutela
degli interessi nazionali strategici nonche’ i casi in cui, per la
tutela della sicurezza nazionale, devono essere previsti criteri di
premialita’ per le proposte o per le offerte che contemplino l’uso di
tecnologie di cybersicurezza italiane o di Paesi appartenenti
all’Unione europea o di Paesi aderenti all’Alleanza atlantica (NATO)
o di Paesi terzi individuati con il decreto di cui al presente comma
tra quelli che sono parte di accordi di collaborazione con l’Unione
europea o con la NATO in materia di cybersicurezza, protezione delle
informazioni classificate, ricerca e innovazione. Ai fini del
presente articolo, si intende per «elementi essenziali di
cybersicurezza» l’insieme di criteri e regole tecniche la conformita’
ai quali, da parte di beni e servizi informatici da acquisire,
garantisce la confidenzialita’, l’integrita’ e la disponibilita’ dei
dati da trattare in misura corrispondente alle esigenze di tutela di
cui al primo periodo.
2. Nei casi individuati ai sensi del comma 1, le stazioni
appaltanti, comprese le centrali di committenza:
a) possono esercitare la facolta’ di cui agli articoli 107, comma
2, e 108, comma 10, [NON AGGIUDICARE] del codice dei contratti pubblici, di cui al
decreto legislativo 31 marzo 2023, n. 36, se accertano che l’offerta
non tiene in considerazione gli elementi essenziali di cybersicurezza
individuati con il decreto di cui al comma 1;
b) tengono sempre in considerazione gli elementi essenziali di
cybersicurezza di cui al comma 1 nella valutazione dell’elemento
qualitativo, ai fini dell’individuazione del miglior rapporto
qualita’/prezzo per l’aggiudicazione;
c) nel caso in cui sia utilizzato il criterio del minor prezzo,
ai sensi dell’articolo 108, comma 3, del codice di cui al decreto
legislativo n. 36 del 2023, inseriscono gli elementi di
cybersicurezza di cui al comma 1 del presente articolo tra i
requisiti minimi dell’offerta;
d) nel caso in cui sia utilizzato il criterio dell’offerta
economicamente piu’ vantaggiosa, ai sensi dell’articolo 108, comma 4,
del codice di cui al decreto legislativo n. 36 del 2023, nella
valutazione dell’elemento qualitativo ai fini dell’individuazione del
migliore rapporto qualita’/prezzo, stabiliscono un tetto massimo per
il punteggio economico entro il limite del 10 per cento;
e) prevedono criteri di premialita’ per le proposte o per le
offerte che contemplino l’uso di tecnologie di cybersicurezza
italiane o di Paesi appartenenti all’Unione europea o di Paesi
aderenti alla NATO o di Paesi terzi individuati con il decreto di cui
al comma 1 tra quelli che sono parte di accordi di collaborazione con
l’Unione europea o con la NATO in materia di cybersicurezza,
protezione delle informazioni classificate, ricerca e innovazione, al
fine di tutelare la sicurezza nazionale e di conseguire l’autonomia
tecnologica e strategica nell’ambito della cybersicurezza.
3. Le disposizioni di cui al comma 1 si applicano anche ai soggetti
privati non compresi tra quelli di cui all’articolo 2, comma 2, del
codice di cui al decreto legislativo 7 marzo 2005, n. 82, e inseriti
nell’elencazione di cui all’articolo 1, comma 2-bis, del
decreto-legge 21 settembre 2019, n. 105, convertito, con
modificazioni, dalla legge 18 novembre 2019, n. 133.
4. Resta fermo quanto stabilito dall’articolo 1 del citato
decreto-legge n. 105 del 2019 per i casi ivi previsti di
approvvigionamento di beni, sistemi e servizi di information and
communication technology destinati ad essere impiegati nelle reti e
nei sistemi informativi nonche’ per l’espletamento dei servizi
informatici di cui alla lettera b) del comma 2 del medesimo articolo
1.
Note all’art. 14:
– Per l’articolo 5 della citata legge 3 agosto 2007, n.
124, si veda nelle note all’articolo 7.
– Si riporta l’articolo 10, comma 1, del citato
decreto-legge 14 giugno 2021, n. 82:
«Art. 10 (Gestione delle crisi che coinvolgono
aspetti di cybersicurezza). – 1. Nelle situazioni di crisi
che coinvolgono aspetti di cybersicurezza, nei casi in cui
il Presidente del Consiglio dei ministri convochi il CISR
in materia di gestione delle predette situazioni di crisi,
alle sedute del Comitato sono chiamati a partecipare il
Ministro delegato per l’innovazione tecnologica e la
transizione digitale e il direttore generale dell’Agenzia.
2.- 5. (omissis).».
– Si riporta l’articolo 2, comma 2, del citato decreto
legislativo 7 marzo 2005, n. 82:
«Art. 2 (Finalita’ e ambito di applicazione). – 1.
(omissis).
2. Le disposizioni del presente Codice si applicano:
a) alle pubbliche amministrazioni di cui
all’articolo 1, comma 2, del decreto legislativo 30 marzo
2001, n. 165, nel rispetto del riparto di competenza di cui
all’articolo 117 della Costituzione, ivi comprese le
autorita’ di sistema portuale, nonche’ alle autorita’
amministrative indipendenti di garanzia, vigilanza e
regolazione;
b) ai gestori di servizi pubblici, ivi comprese le
societa’ quotate, in relazione ai servizi di pubblico
interesse;
c) alle societa’ a controllo pubblico, come
definite nel decreto legislativo 19 agosto 2016, n. 175,
escluse le societa’ quotate di cui all’articolo 2, comma 1,
lettera p), del medesimo decreto che non rientrino nella
categoria di cui alla lettera b).
2-bis. – 6-bis. (omissis).».
– Si riportano gli articoli 107, comma 2, e 108, commi
3, 4 e 10, del decreto legislativo 31 marzo 2023, n. 36
(Codice dei contratti pubblici in attuazione dell’articolo
1 della legge 21 giugno 2022, n. 78, recante delega al
Governo in materia di contratti pubblici):
«Art. 107 (Principi generali in materia di
selezione). – 1. (omissis).
2. La stazione appaltante puo’ decidere di non
aggiudicare l’appalto all’offerente che ha presentato
l’offerta economicamente piu’ vantaggiosa se ha accertato
che l’offerta non soddisfa gli obblighi in materia
ambientale, sociale e del lavoro stabiliti dalla normativa
europea e nazionale, dai contratti collettivi o dalle
disposizioni internazionali di diritto del lavoro indicate
nell’allegato X alla direttiva 2014/24/UE del Parlamento
europeo e del Consiglio del 26 febbraio 2014.
3. (omissis).».
«Art. 108 (Criteri di aggiudicazione degli appalti di
lavori, servizi e forniture). – 1. – 2. (omissis).
3. Puo’ essere utilizzato il criterio del minor
prezzo per i servizi e le forniture con caratteristiche
standardizzate o le cui condizioni sono definite dal
mercato, fatta eccezione per i servizi ad alta intensita’
di manodopera di cui alla definizione dell’articolo 2,
comma 1, lettera e), dell’allegato I.
4. I documenti di gara stabiliscono i criteri di
aggiudicazione dell’offerta, pertinenti alla natura,
all’oggetto e alle caratteristiche del contratto. In
particolare, l’offerta economicamente piu’ vantaggiosa,
individuata sulla base del miglior rapporto
qualita’/prezzo, e’ valutata sulla base di criteri
oggettivi, quali gli aspetti qualitativi, ambientali o
sociali, connessi all’oggetto dell’appalto. La stazione
appaltante, al fine di assicurare l’effettiva
individuazione del miglior rapporto qualita’/prezzo,
valorizza gli elementi qualitativi dell’offerta e individua
criteri tali da garantire un confronto concorrenziale
effettivo sui profili tecnici. Nelle attivita’ di
approvvigionamento di beni e servizi informatici, le
stazioni appaltanti, incluse le centrali di committenza,
nella valutazione dell’elemento qualitativo ai fini
dell’individuazione del miglior rapporto qualita’ prezzo
per l’aggiudicazione, tengono sempre in considerazione gli
elementi di cybersicurezza, attribuendovi specifico e
peculiare rilievo nei casi in cui il contesto di impiego e’
connesso alla tutela degli interessi nazionali strategici.
Nei casi di cui al quarto periodo, quando i beni e servizi
informatici oggetto di appalto sono impiegati in un
contesto connesso alla tutela degli interessi nazionali
strategici, la stazione appaltante stabilisce un tetto
massimo per il punteggio economico entro il limite del 10
per cento. Per i contratti ad alta intensita’ di
manodopera, la stazione appaltante stabilisce un tetto
massimo per il punteggio economico entro il limite del 30
per cento.
5.- 9. (omissis).
10. Le stazioni appaltanti possono decidere di non
procedere all’aggiudicazione se nessuna offerta risulti
conveniente o idonea in relazione all’oggetto del
contratto. Tale facolta’ e’ indicata espressamente nel
bando di gara o invito nelle procedure senza bando e puo’
essere esercitata non oltre il termine di trenta giorni
dalla conclusione delle valutazioni delle offerte.
11. – 12. (omissis).».
– Per l’articolo 1 del citato decreto-legge 21settembre
2019, n.105, si veda nelle note all’articolo 1.
