Cybersicurezza, nuove regole dell’ACN: PA obbligate a sostituire software a rischio

L’Agenzia per la Cybersicurezza Nazionale ha pubblicato una nuova circolare che aggiorna e sostituisce quella del 21 aprile 2022, imponendo alle amministrazioni pubbliche un rafforzamento delle misure di sicurezza informatica previste dall’articolo 29 del decreto-legge 21 marzo 2022. L’obiettivo è accelerare la diversificazione dei prodotti e dei servizi tecnologici impiegati nella protezione dei sistemi, con particolare attenzione a endpoint, antivirus, soluzioni EDR e web application firewall.

La circolare individua specifiche categorie di prodotti e servizi che dovranno essere sostituiti, anche se forniti tramite rivenditori, accordi quadro o contratti in modalità on-premise o da remoto.

Le amministrazioni e le centrali di committenza dovranno richiedere ai fornitori la lista dettagliata dei componenti software e delle infrastrutture utilizzate, oppure una autodichiarazione che attesti l’assenza di elementi ricadenti nelle categorie indicate. Restano valide le responsabilità penali e amministrative in caso di dichiarazioni false.

Il documento dedica ampio spazio alle procedure di migrazione: censimento dei prodotti da sostituire, valutazione dei nuovi strumenti, condivisione dei piani con tutti i soggetti coinvolti e test preliminari prima del passaggio sui sistemi più critici, garantendo comunque continuità nella protezione. Tra le raccomandazioni figurano l’utilizzo di configurazioni di sicurezza avanzate, principi di zero-trust, autenticazione multifattore per gli accessi privilegiati e un monitoraggio costante delle soluzioni adottate.

La circolare richiama inoltre il Framework nazionale per la cybersecurity e la data protection 2025 e sottolinea la necessità di adottare buone pratiche di gestione del rischio, dalla valutazione alla mitigazione.

Il provvedimento è efficace dalla pubblicazione in Gazzetta Ufficiale ed è disponibile sul sito dell’Agenzia per la Cybersicurezza Nazionale