Art. 14. Disciplina dei contratti pubblici di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici e disposizioni di raccordo con il decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133 1. Con decreto del Presidente del Consiglio dei ministri, da adottare entro centoventi giorni dalla data di entrata in vigore della presente legge, su proposta dell'Agenzia per la cybersicurezza nazionale, previo parere del Comitato interministeriale per la sicurezza della Repubblica, di cui all' articolo 5 della legge 3 agosto 2007, n. 124 , nella composizione di cui all' articolo 10, comma 1, del decreto-legge 14 giugno 2021, n. 82 , convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109 , sono individuati, per specifiche categorie tecnologiche di beni e servizi informatici, gli elementi essenziali di cybersicurezza che i soggetti di cui all' articolo 2, comma 2, del codice dell'amministrazione digitale , di cui al decreto legislativo 7 marzo 2005, n. 82 , tengono in considerazione nelle attivita' di approvvigionamento di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici nonche' i casi in cui, per la tutela della sicurezza nazionale, devono essere previsti criteri di premialita' per le proposte o per le offerte che contemplino l'uso di tecnologie di cybersicurezza italiane o di Paesi appartenenti all'Unione europea o di Paesi aderenti all'Alleanza atlantica (NATO) o di Paesi terzi individuati con il decreto di cui al presente comma tra quelli che sono parte di accordi di collaborazione con l'Unione europea o con la NATO in materia di cybersicurezza, protezione delle informazioni classificate, ricerca e innovazione. Ai fini del presente articolo, si intende per «elementi essenziali di cybersicurezza» l'insieme di criteri e regole tecniche la conformita' ai quali, da parte di beni e servizi informatici da acquisire, garantisce la confidenzialita', l'integrita' e la disponibilita' dei dati da trattare in misura corrispondente alle esigenze di tutela di cui al primo periodo.
2. Nei casi individuati ai sensi del comma 1, le stazioni appaltanti, comprese le centrali di committenza:
a) possono esercitare la facolta' di cui agli articoli 107, comma 2 , e 108, comma 10, del codice dei contratti pubblici , di cui al decreto legislativo 31 marzo 2023, n. 36 , se accertano che l'offerta non tiene in considerazione gli elementi essenziali di cybersicurezza individuati con il decreto di cui al comma 1;
b) tengono sempre in considerazione gli elementi essenziali di cybersicurezza di cui al comma 1 nella valutazione dell'elemento qualitativo, ai fini dell'individuazione del miglior rapporto qualita'/prezzo per l'aggiudicazione;
c) nel caso in cui sia utilizzato il criterio del minor prezzo, ai sensi dell'articolo 108, comma 3, del codice di cui al decreto legislativo n. 36 del 2023 , inseriscono gli elementi di cybersicurezza di cui al comma 1 del presente articolo tra i requisiti minimi dell'offerta;
d) nel caso in cui sia utilizzato il criterio dell'offerta economicamente piu' vantaggiosa, ai sensi dell'articolo 108, comma 4, del codice di cui al decreto legislativo n. 36 del 2023 , nella valutazione dell'elemento qualitativo ai fini dell'individuazione del migliore rapporto qualita'/prezzo, stabiliscono un tetto massimo per il punteggio economico entro il limite del 10 per cento;
e) prevedono criteri di premialita' per le proposte o per le offerte che contemplino l'uso di tecnologie di cybersicurezza italiane o di Paesi appartenenti all'Unione europea o di Paesi aderenti alla NATO o di Paesi terzi individuati con il decreto di cui al comma 1 tra quelli che sono parte di accordi di collaborazione con l'Unione europea o con la NATO in materia di cybersicurezza, protezione delle informazioni classificate, ricerca e innovazione, al fine di tutelare la sicurezza nazionale e di conseguire l'autonomia tecnologica e strategica nell'ambito della cybersicurezza.
3. Le disposizioni di cui al comma 1 si applicano anche ai soggetti privati non compresi tra quelli di cui all'articolo 2, comma 2, del codice di cui al decreto legislativo 7 marzo 2005, n. 82 , e inseriti nell'elencazione di cui all' articolo 1, comma 2-bis, del decreto-legge 21 settembre 2019, n. 105 , convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133 .
4. Resta fermo quanto stabilito dall'articolo 1 del citato decreto-legge n. 105 del 2019 per i casi ivi previsti di approvvigionamento di beni, sistemi e servizi di information and communication technology destinati ad essere impiegati nelle reti e nei sistemi informativi nonche' per l'espletamento dei servizi informatici di cui alla lettera b) del comma 2 del medesimo articolo 1.
Note all'art. 14:
- Per l'articolo 5 della citata legge 3 agosto 2007, n. 124 , si veda nelle note all'articolo 7.
- Si riporta l'articolo 10, comma 1, del citato decreto-legge 14 giugno 2021, n. 82 :
«Art. 10 (Gestione delle crisi che coinvolgono aspetti di cybersicurezza). - 1. Nelle situazioni di crisi che coinvolgono aspetti di cybersicurezza, nei casi in cui il Presidente del Consiglio dei ministri convochi il CISR in materia di gestione delle predette situazioni di crisi, alle sedute del Comitato sono chiamati a partecipare il Ministro delegato per l'innovazione tecnologica e la transizione digitale e il direttore generale dell'Agenzia.
2.- 5. (omissis).».
- Si riporta l'articolo 2, comma 2, del citato decreto legislativo 7 marzo 2005, n. 82 :
«Art. 2 (Finalita' e ambito di applicazione). - 1. (omissis).
2. Le disposizioni del presente Codice si applicano:
a) alle pubbliche amministrazioni di cui all' articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165 , nel rispetto del riparto di competenza di cui all' articolo 117 della Costituzione , ivi comprese le autorita' di sistema portuale, nonche' alle autorita' amministrative indipendenti di garanzia, vigilanza e regolazione;
b) ai gestori di servizi pubblici, ivi comprese le societa' quotate, in relazione ai servizi di pubblico interesse;
c) alle societa' a controllo pubblico, come definite nel decreto legislativo 19 agosto 2016, n. 175 , escluse le societa' quotate di cui all'articolo 2, comma 1, lettera p), del medesimo decreto che non rientrino nella categoria di cui alla lettera b).
2-bis. - 6-bis. (omissis).».
- Si riportano gli articoli 107, comma 2 , e 108, commi 3 , 4 e 10, del decreto legislativo 31 marzo 2023, n. 36 ( Codice dei contratti pubblici in attuazione dell' articolo 1 della legge 21 giugno 2022, n. 78 , recante delega al Governo in materia di contratti pubblici):
«Art. 107 (Principi generali in materia di selezione). - 1. (omissis).
2. La stazione appaltante puo' decidere di non aggiudicare l'appalto all'offerente che ha presentato l'offerta economicamente piu' vantaggiosa se ha accertato che l'offerta non soddisfa gli obblighi in materia ambientale, sociale e del lavoro stabiliti dalla normativa europea e nazionale, dai contratti collettivi o dalle disposizioni internazionali di diritto del lavoro indicate nell'allegato X alla direttiva 2014/24/UE del Parlamento europeo e del Consiglio del 26 febbraio 2014 .
3. (omissis).».
«Art. 108 (Criteri di aggiudicazione degli appalti di lavori, servizi e forniture). - 1. - 2. (omissis).
3. Puo' essere utilizzato il criterio del minor prezzo per i servizi e le forniture con caratteristiche standardizzate o le cui condizioni sono definite dal mercato, fatta eccezione per i servizi ad alta intensita' di manodopera di cui alla definizione dell'articolo 2, comma 1, lettera e), dell'allegato I.
4. I documenti di gara stabiliscono i criteri di aggiudicazione dell'offerta, pertinenti alla natura, all'oggetto e alle caratteristiche del contratto. In particolare, l'offerta economicamente piu' vantaggiosa, individuata sulla base del miglior rapporto qualita'/prezzo, e' valutata sulla base di criteri oggettivi, quali gli aspetti qualitativi, ambientali o sociali, connessi all'oggetto dell'appalto. La stazione appaltante, al fine di assicurare l'effettiva individuazione del miglior rapporto qualita'/prezzo, valorizza gli elementi qualitativi dell'offerta e individua criteri tali da garantire un confronto concorrenziale effettivo sui profili tecnici. Nelle attivita' di approvvigionamento di beni e servizi informatici, le stazioni appaltanti, incluse le centrali di committenza, nella valutazione dell'elemento qualitativo ai fini dell'individuazione del miglior rapporto qualita' prezzo per l'aggiudicazione, tengono sempre in considerazione gli elementi di cybersicurezza, attribuendovi specifico e peculiare rilievo nei casi in cui il contesto di impiego e' connesso alla tutela degli interessi nazionali strategici.
Nei casi di cui al quarto periodo, quando i beni e servizi informatici oggetto di appalto sono impiegati in un contesto connesso alla tutela degli interessi nazionali strategici, la stazione appaltante stabilisce un tetto massimo per il punteggio economico entro il limite del 10 per cento. Per i contratti ad alta intensita' di manodopera, la stazione appaltante stabilisce un tetto massimo per il punteggio economico entro il limite del 30 per cento.
5.- 9. (omissis).
10. Le stazioni appaltanti possono decidere di non procedere all'aggiudicazione se nessuna offerta risulti conveniente o idonea in relazione all'oggetto del contratto. Tale facolta' e' indicata espressamente nel bando di gara o invito nelle procedure senza bando e puo' essere esercitata non oltre il termine di trenta giorni dalla conclusione delle valutazioni delle offerte.
11. - 12. (omissis).».
- Per l'articolo 1 del citato decreto-legge 21settembre 2019, n.105 , si veda nelle note all'articolo 1.
2. Nei casi individuati ai sensi del comma 1, le stazioni appaltanti, comprese le centrali di committenza:
a) possono esercitare la facolta' di cui agli articoli 107, comma 2 , e 108, comma 10, del codice dei contratti pubblici , di cui al decreto legislativo 31 marzo 2023, n. 36 , se accertano che l'offerta non tiene in considerazione gli elementi essenziali di cybersicurezza individuati con il decreto di cui al comma 1;
b) tengono sempre in considerazione gli elementi essenziali di cybersicurezza di cui al comma 1 nella valutazione dell'elemento qualitativo, ai fini dell'individuazione del miglior rapporto qualita'/prezzo per l'aggiudicazione;
c) nel caso in cui sia utilizzato il criterio del minor prezzo, ai sensi dell'articolo 108, comma 3, del codice di cui al decreto legislativo n. 36 del 2023 , inseriscono gli elementi di cybersicurezza di cui al comma 1 del presente articolo tra i requisiti minimi dell'offerta;
d) nel caso in cui sia utilizzato il criterio dell'offerta economicamente piu' vantaggiosa, ai sensi dell'articolo 108, comma 4, del codice di cui al decreto legislativo n. 36 del 2023 , nella valutazione dell'elemento qualitativo ai fini dell'individuazione del migliore rapporto qualita'/prezzo, stabiliscono un tetto massimo per il punteggio economico entro il limite del 10 per cento;
e) prevedono criteri di premialita' per le proposte o per le offerte che contemplino l'uso di tecnologie di cybersicurezza italiane o di Paesi appartenenti all'Unione europea o di Paesi aderenti alla NATO o di Paesi terzi individuati con il decreto di cui al comma 1 tra quelli che sono parte di accordi di collaborazione con l'Unione europea o con la NATO in materia di cybersicurezza, protezione delle informazioni classificate, ricerca e innovazione, al fine di tutelare la sicurezza nazionale e di conseguire l'autonomia tecnologica e strategica nell'ambito della cybersicurezza.
3. Le disposizioni di cui al comma 1 si applicano anche ai soggetti privati non compresi tra quelli di cui all'articolo 2, comma 2, del codice di cui al decreto legislativo 7 marzo 2005, n. 82 , e inseriti nell'elencazione di cui all' articolo 1, comma 2-bis, del decreto-legge 21 settembre 2019, n. 105 , convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133 .
4. Resta fermo quanto stabilito dall'articolo 1 del citato decreto-legge n. 105 del 2019 per i casi ivi previsti di approvvigionamento di beni, sistemi e servizi di information and communication technology destinati ad essere impiegati nelle reti e nei sistemi informativi nonche' per l'espletamento dei servizi informatici di cui alla lettera b) del comma 2 del medesimo articolo 1.
Note all'art. 14:
- Per l'articolo 5 della citata legge 3 agosto 2007, n. 124 , si veda nelle note all'articolo 7.
- Si riporta l'articolo 10, comma 1, del citato decreto-legge 14 giugno 2021, n. 82 :
«Art. 10 (Gestione delle crisi che coinvolgono aspetti di cybersicurezza). - 1. Nelle situazioni di crisi che coinvolgono aspetti di cybersicurezza, nei casi in cui il Presidente del Consiglio dei ministri convochi il CISR in materia di gestione delle predette situazioni di crisi, alle sedute del Comitato sono chiamati a partecipare il Ministro delegato per l'innovazione tecnologica e la transizione digitale e il direttore generale dell'Agenzia.
2.- 5. (omissis).».
- Si riporta l'articolo 2, comma 2, del citato decreto legislativo 7 marzo 2005, n. 82 :
«Art. 2 (Finalita' e ambito di applicazione). - 1. (omissis).
2. Le disposizioni del presente Codice si applicano:
a) alle pubbliche amministrazioni di cui all' articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165 , nel rispetto del riparto di competenza di cui all' articolo 117 della Costituzione , ivi comprese le autorita' di sistema portuale, nonche' alle autorita' amministrative indipendenti di garanzia, vigilanza e regolazione;
b) ai gestori di servizi pubblici, ivi comprese le societa' quotate, in relazione ai servizi di pubblico interesse;
c) alle societa' a controllo pubblico, come definite nel decreto legislativo 19 agosto 2016, n. 175 , escluse le societa' quotate di cui all'articolo 2, comma 1, lettera p), del medesimo decreto che non rientrino nella categoria di cui alla lettera b).
2-bis. - 6-bis. (omissis).».
- Si riportano gli articoli 107, comma 2 , e 108, commi 3 , 4 e 10, del decreto legislativo 31 marzo 2023, n. 36 ( Codice dei contratti pubblici in attuazione dell' articolo 1 della legge 21 giugno 2022, n. 78 , recante delega al Governo in materia di contratti pubblici):
«Art. 107 (Principi generali in materia di selezione). - 1. (omissis).
2. La stazione appaltante puo' decidere di non aggiudicare l'appalto all'offerente che ha presentato l'offerta economicamente piu' vantaggiosa se ha accertato che l'offerta non soddisfa gli obblighi in materia ambientale, sociale e del lavoro stabiliti dalla normativa europea e nazionale, dai contratti collettivi o dalle disposizioni internazionali di diritto del lavoro indicate nell'allegato X alla direttiva 2014/24/UE del Parlamento europeo e del Consiglio del 26 febbraio 2014 .
3. (omissis).».
«Art. 108 (Criteri di aggiudicazione degli appalti di lavori, servizi e forniture). - 1. - 2. (omissis).
3. Puo' essere utilizzato il criterio del minor prezzo per i servizi e le forniture con caratteristiche standardizzate o le cui condizioni sono definite dal mercato, fatta eccezione per i servizi ad alta intensita' di manodopera di cui alla definizione dell'articolo 2, comma 1, lettera e), dell'allegato I.
4. I documenti di gara stabiliscono i criteri di aggiudicazione dell'offerta, pertinenti alla natura, all'oggetto e alle caratteristiche del contratto. In particolare, l'offerta economicamente piu' vantaggiosa, individuata sulla base del miglior rapporto qualita'/prezzo, e' valutata sulla base di criteri oggettivi, quali gli aspetti qualitativi, ambientali o sociali, connessi all'oggetto dell'appalto. La stazione appaltante, al fine di assicurare l'effettiva individuazione del miglior rapporto qualita'/prezzo, valorizza gli elementi qualitativi dell'offerta e individua criteri tali da garantire un confronto concorrenziale effettivo sui profili tecnici. Nelle attivita' di approvvigionamento di beni e servizi informatici, le stazioni appaltanti, incluse le centrali di committenza, nella valutazione dell'elemento qualitativo ai fini dell'individuazione del miglior rapporto qualita' prezzo per l'aggiudicazione, tengono sempre in considerazione gli elementi di cybersicurezza, attribuendovi specifico e peculiare rilievo nei casi in cui il contesto di impiego e' connesso alla tutela degli interessi nazionali strategici.
Nei casi di cui al quarto periodo, quando i beni e servizi informatici oggetto di appalto sono impiegati in un contesto connesso alla tutela degli interessi nazionali strategici, la stazione appaltante stabilisce un tetto massimo per il punteggio economico entro il limite del 10 per cento. Per i contratti ad alta intensita' di manodopera, la stazione appaltante stabilisce un tetto massimo per il punteggio economico entro il limite del 30 per cento.
5.- 9. (omissis).
10. Le stazioni appaltanti possono decidere di non procedere all'aggiudicazione se nessuna offerta risulti conveniente o idonea in relazione all'oggetto del contratto. Tale facolta' e' indicata espressamente nel bando di gara o invito nelle procedure senza bando e puo' essere esercitata non oltre il termine di trenta giorni dalla conclusione delle valutazioni delle offerte.
11. - 12. (omissis).».
- Per l'articolo 1 del citato decreto-legge 21settembre 2019, n.105 , si veda nelle note all'articolo 1.