Sicurezza informatica appalti: requisiti AgID 2024

Sicurezza informatica negli appalti: i requisiti AgID che le PMI ICT devono conoscere 2026

Dal 2023, la sicurezza informatica appalti è diventata un tema impossibile da ignorare per chi opera nel mercato ICT pubblico. Non è più una questione di buone pratiche: è un requisito di gara, scritto nero su bianco nel codice appalti e nella normativa dedicata alla cybersicurezza.

Il D.Lgs. 36/2023 ha introdotto misure di sicurezza informatica nei criteri di aggiudicazione. La Legge 90/2024 ha reso la cybersicurezza un elemento costitutivo del bando. Le PA che acquistano software e servizi IT trasferiscono questi obblighi ai fornitori attraverso i capitolati tecnici.

Il risultato pratico: una PMI ICT che partecipa a gare pubbliche senza aver mappato le proprie certificazioni e la propria documentazione di sicurezza rischia l'esclusione in fase amministrativa, ancor prima che la commissione valuti l'offerta tecnica.

Questa guida spiega il quadro normativo vigente, cosa viene richiesto concretamente nei bandi, e come verificare se la tua azienda è in posizione per candidarsi.

Sicurezza informatica negli appalti pubblici

La sicurezza informatica negli appalti pubblici è l'insieme dei requisiti tecnici, documentali e certificativi che le stazioni appaltanti impongono ai fornitori di beni e servizi ICT per garantire protezione dei dati, continuità operativa e conformità normativa. Dal 2023, questi requisiti non sono più raccomandazioni: entrano nei bandi come condizioni di ammissione o criteri premianti, con esclusione automatica per chi non li soddisfa.

Non si tratta di una novità assoluta. Le Misure Minime di Sicurezza ICT AgID esistono dal 2017 (Circolare AgID n. 2/2017). Quello che è cambiato è la sistematizzazione normativa: oggi questi requisiti entrano nei bandi come condizioni di ammissione o criteri premianti, non come raccomandazioni.

Cybersicurezza come requisito di gara

La spinta normativa viene da più direzioni convergenti. A livello europeo, NIS2 ha allargato il perimetro dei soggetti obbligati alla gestione del rischio cyber. A livello nazionale, ACN (Agenzia per la Cybersicurezza Nazionale) ha rafforzato il proprio ruolo di indirizzo dopo la sua istituzione nel 2021.

Il punto di svolta pratico è il 2023-2024. L'art. 108 del D.Lgs. 36/2023 ha integrato le misure di sicurezza informatica nei criteri di aggiudicazione. La Legge 90/2024 ha reso la cybersicurezza un elemento che condiziona la struttura stessa del bando, non solo la valutazione delle offerte.

Per una PMI ICT questo significa una cosa sola: arrivare a una gara senza la documentazione di sicurezza richiesta equivale ad arrivare senza il DURC. L'esclusione è automatica.

La Direttiva NIS2 dell'Unione Europea, recepita in Italia con D.Lgs. 138/2024, ha esteso gli obblighi di gestione del rischio cyber a oltre 10 categorie di soggetti essenziali e importanti, includendo direttamente la supply chain dei fornitori ICT della Pubblica Amministrazione.

Stazioni appaltanti e operatori ICT coinvolti

Le stazioni appaltanti hanno l'obbligo di includere requisiti di sicurezza nei capitolati tecnici per i contratti che comportano trattamento di dati, accesso a sistemi pubblici o fornitura di infrastrutture digitali.

Gli operatori ICT coinvolti sono principalmente: software house, system integrator, fornitori di servizi cloud e SaaS, provider di connettività e gestori di data center. Ma anche società di consulenza IT e fornitori di vulnerability assessment o SOC rientrano nel perimetro.

Il Codice dei contratti pubblici (D.Lgs. 36/2023) e la Legge 90/2024 hanno trasformato la sicurezza informatica da requisito facoltativo a elemento strutturale di circa 4.500 gare ICT pubblicate annualmente in Italia secondo i dati ANAC.

Normativa vigente su sicurezza informatica appalti

La normativa sulla sicurezza informatica negli appalti si struttura su tre livelli principali: le Misure Minime AgID (Circolare n. 2/2017) come base obbligatoria, il D.Lgs. 36/2023 che integra la sicurezza nei criteri di aggiudicazione, e la Legge 90/2024 che la rende elemento costitutivo del bando. Conoscere quale livello si applica a quale tipo di gara determina direttamente la possibilità di partecipare.

Il quadro normativo è stratificato su tre livelli principali. Capirli separatamente evita confusioni su cosa è obbligatorio, cosa è premiante e dove si dichiara.

Art. 108 D.Lgs. 36/2023: criteri e sicurezza

L'art. 108 del Codice dei contratti pubblici ha introdotto una novità sostanziale: le misure di sicurezza informatica possono essere criteri di aggiudicazione degli appalti, non solo requisiti di capacità tecnica.

Cosa significa in pratica? Che la stazione appaltante può assegnare punti tecnici a un'offerta che dimostra un presidio di sicurezza superiore al minimo richiesto. ISO 27001 certificata vale più di una dichiarazione di conformità generica. Un piano di incident response documentato vale più di un riferimento generico alle politiche aziendali.

Il cambio di prospettiva è rilevante per le PMI ICT: non basta soddisfare i requisiti minimi di ammissione. La sicurezza informatica è diventata un fattore di differenziazione nelle offerte tecniche valutate con criteri OEPV. Puoi approfondire la struttura dei criteri OEPV nei bandi ICT per capire come pesano questi punteggi.

Legge 90/2024: sicurezza come elemento del bando

La Legge 90/2024 (Cybersicurezza nazionale) ha rafforzato il quadro in modo più pervasivo. La cybersicurezza non è più solo un criterio valutativo: è un elemento che la stazione appaltante deve considerare nella struttura del bando sin dalla fase di progettazione.

Per i fornitori ICT questo si traduce in requisiti sempre più specifici nei capitolati tecnici: certificazioni obbligatorie, procedure di notifica degli incidenti, obblighi di log e tracciabilità, conformità a standard internazionali.

Attenzione: errore comune Molte PMI ICT credono che i requisiti di sicurezza informatica riguardino solo le Pubbliche Amministrazioni. Non è così. Quando una PA acquista un servizio cloud, un software gestionale o un'applicazione web, il fornitore privato deve dimostrare di rispettare le stesse misure di sicurezza che la PA è tenuta ad adottare internamente. L'obbligo si trasferisce contrattualmente attraverso il capitolato tecnico.

Determina AgID 137/2023: tre classi di requisiti

La Determina AgID n. 137/2023 ha definito i requisiti tecnici per le piattaforme di e-procurement e i sistemi digitali utilizzati nelle gare pubbliche. Introduce tre classi di requisiti:

Classe 1 copre i requisiti di sicurezza base: conformità GDPR, disponibilità di un sistema di gestione della sicurezza delle informazioni (SGSI) allineato a ISO/IEC 27001, log degli accessi e tracciabilità delle operazioni.

Classe 2 aggiunge requisiti di sicurezza avanzata: cifratura dei dati, autenticazione multi-fattore, procedure di backup e recovery certificate, test di penetrazione periodici.

Classe 3 riguarda le piattaforme che gestiscono dati classificati o infrastrutture critiche: requisiti di sicurezza fisici, audit indipendenti, conformità a standard specifici ACN.

Per un fornitore SaaS che vuole qualificarsi per contratti con la PA, la Classe 1 è il punto di partenza obbligatorio. La qualificazione cloud AgID per i fornitori SaaS definisce nel dettaglio questo percorso.

La Determina AgID n. 137/2023 suddivide i fornitori di piattaforme digitali per la PA in 3 classi di sicurezza progressiva: un fornitore SaaS che non soddisfa i requisiti di Classe 1 — il livello base — non può accedere a nessun contratto pubblico digitale, indipendentemente dal valore dell'offerta tecnica.

Esempi pratici: sicurezza informatica appalti ICT

Nei bandi ICT reali, i requisiti di sicurezza informatica si manifestano in tre forme principali: dichiarazioni di conformità alle Misure Minime AgID nella busta amministrativa, ISO/IEC 27001 come requisito di ammissione o criterio OEPV, e documentazione tecnica specifica (DPIA, piano di incident response, procedure di backup). Conoscere in quale sezione del disciplinare cercarli determina se la tua azienda può candidarsi o verrà esclusa.

Requisiti tecnici nelle gare software e servizi IT

Una gara per la fornitura di un software gestionale a un ente locale include tipicamente:

• Dichiarazione di conformità alle Misure Minime AgID (Livello Minimo o Standard)
• DPIA (Data Protection Impact Assessment) per i trattamenti che comportano dati personali
• Piano di continuità operativa e disaster recovery
• Procedure di gestione degli incidenti di sicurezza con SLA di notifica
• Documentazione delle misure di sicurezza applicative (cifratura, autenticazione, access control)

Per una gara sopra soglia UE che coinvolge dati sanitari o fiscali, i requisiti salgono a Livello Alto delle Misure Minime e ISO 27001 può diventare requisito di ammissione, non criterio premiante.

Una gara per servizi di SOC o vulnerability assessment richiede invece che il fornitore dimostri presidio operativo su funzioni specifiche del Framework Nazionale Cybersecurity: in particolare Detect e Respond. Questo è cyber security appalti PA nella sua forma più concreta: non un checkbox formale, ma la dimostrazione di una capacità tecnica certificabile.

Il Framework Nazionale per la Cybersecurity e la Data Protection versione 2.0, pubblicato da ACN nel 2024, è già citato esplicitamente nei capitolati tecnici delle gare PNRR come riferimento obbligatorio per i fornitori di servizi SOC, SIEM e vulnerability management.

ISO/IEC 27001 e artt. 94-98: cosa preparare

Caso d'uso reale - Un operatore TLC con 10 gare/anno ha scoperto che il 60% dei bandi ICT nel proprio target richiedeva almeno una dichiarazione di conformità alle Misure Minime AgID nella busta amministrativa. L'analisi automatica dei requisiti tecnici tramite Avvista ha raddoppiato il win rate, eliminando le candidature su gare con requisiti ISO 27001 obbligatoria che l'azienda non aveva ancora conseguito.

ISO/IEC 27001 in un bando pubblico compare in due modi distinti. Come requisito di ammissione nei bandi sopra soglia UE per servizi gestiti, data center, fornitura di software per dati sensibili o infrastrutture critiche. In questo caso la sua assenza esclude automaticamente dalla gara: non conta il peso tecnico della tua offerta. Come criterio premiante OEPV nelle gare dove la stazione appaltante valuta la maturità del fornitore: vale punti aggiuntivi, ma non è condizione di partecipazione.

Come si distinguono i due scenari? Leggendo il disciplinare di gara con attenzione alla sezione "Requisiti di capacità tecnica e professionale" (esclusione) vs "Criteri di valutazione dell'offerta tecnica" (punteggio). Il disciplinare elenca i documenti richiesti per la busta amministrativa: se ISO 27001 compare qui, è obbligatoria. Se compare nella griglia di valutazione tecnica, è premiante.

Le certificazioni equivalenti accettate in alternativa a ISO 27001 includono SOC 2 Type II per i fornitori cloud di origine anglosassone, e ISO 27017/27018 per i servizi cloud con gestione di dati personali. Le PA le accettano quando il capitolato tecnico prevede esplicitamente equivalenze o quando la stazione appaltante ha adottato linee guida ACN che le riconoscono.

La dichiarazione di possesso delle certificazioni va inserita nel DGUE. Puoi trovare indicazioni operative su come compilare il DGUE su MePA nella nostra guida dedicata. L'assenza di questa documentazione nella busta amministrativa è motivo di esclusione: per non arrivare impreparato, verifica in anticipo la documentazione per la busta amministrativa.

Appalti strategici ICT: il DPCM 30 giugno 2026

Il DPCM 30 giugno 2026 ha definito le categorie di beni, sistemi e servizi ICT che possono essere impiegati in contesti strategici nazionali. Per i fornitori ICT che operano o vogliono operare in questi ambiti - telco, infrastrutture cloud critiche, sistemi di difesa civile - l'impatto è diretto.

Il DPCM introduce un regime di verifica preventiva per i fornitori: chi fornisce tecnologia a infrastrutture critiche deve dimostrare requisiti di sicurezza più stringenti, inclusa la tracciabilità della supply chain software e la verifica delle dipendenze da componenti di terze parti.

Per le PMI ICT questo apre un mercato ad alto valore ma con barriere d'ingresso più alte. La strategia corretta è capire in anticipo quali gare rientrano nel perimetro DPCM 2026 e quali no, per calibrare l'investimento in certificazioni in modo coerente con il proprio target di mercato.

Nota normativa Il Framework Nazionale per la Cybersecurity e la Data Protection (FNCS) è stato aggiornato nella versione 2.0 da ACN nel 2024. Introduce 6 funzioni core: Govern, Identify, Protect, Detect, Respond, Recover. Nei capitolati tecnici delle gare strategiche e di quelle finanziate PNRR, queste funzioni vengono sempre più spesso usate come base per i requisiti tecnici dei fornitori. Non è ancora sistematico in tutti i bandi, ma è un trend in accelerazione. Chi si qualifica su Detect e Respond oggi ha un vantaggio concreto nelle gare per servizi SOC, SIEM e vulnerability management. Scopri le categorie MePA per servizi ICT e sicurezza informatica dove questi requisiti compaiono con maggiore frequenza.

Come verificare se la tua azienda ICT soddisfa i requisiti di sicurezza prima di partecipare

Per verificare se la tua azienda ICT soddisfa i requisiti di sicurezza di una gara pubblica, il metodo più efficace è confrontare le certificazioni possedute (ISO 27001, Misure Minime AgID, qualificazione cloud ACN) con quanto richiesto nella sezione "Requisiti di capacità tecnica e professionale" del disciplinare, non nell'offerta tecnica. Un mismatch in questa sezione produce esclusione automatica, indipendentemente dalla qualità dell'offerta.

Il problema non è solo avere le certificazioni. È sapere in anticipo, per ogni gara specifica, se le certificazioni che hai sono quelle giuste e se la documentazione che puoi allegare è sufficiente per superare la fase amministrativa.

Il problema del monitoraggio manuale: portali dispersi e tempo perso

Un responsabile ICT che monitora manualmente le gare rilevanti deve presidiare ANAC BDNCP, MePA, la Gazzetta Ufficiale, Sintel (Lombardia), SATER (Emilia-Romagna), e spesso altri portali regionali o comunali. Per ogni bando potenzialmente interessante, deve scaricare il capitolato tecnico, leggere la sezione sui requisiti di sicurezza informatica appalti, e valutare se l'azienda è in posizione.

Questo processo richiede 15-20 ore per gara tra ricerca, lettura e analisi dei documenti. Per una PMI con 10-15 gare target all'anno, si tratta di un investimento in tempo che spesso non viene quantificato, ma che ha un costo reale, stimabile tra €750 e €2.000 per gara se si considera il costo orario del personale qualificato coinvolto.

Il risultato del monitoraggio manuale è spesso un gap di informazione: si scoprono bandi interessanti in ritardo, oppure si investe ore su gare che poi risultano incompatibili con il profilo certificativo dell'azienda.

Una PMI ICT che monitora manualmente portali come ANAC BDNCP, MePA e Sintel spende in media 15-20 ore per ogni gara analizzata, con un costo stimato tra €750 e €2.000 a candidatura considerando il costo orario del personale tecnico qualificato coinvolto nell'analisi dei requisiti di sicurezza.

Come Avvista legge i bandi ICT e segnala i requisiti di sicurezza informatica

Avvista monitora oltre 20.000 fonti tra ANAC BDNCP, MePA, Gazzetta Ufficiale, portali regionali e PVL ANAC. Quando viene pubblicato un bando ICT con parole chiave come "misure minime AgID", "ISO 27001", "sicurezza informatica" o "FNCS" nel capitolato, il sistema lo segnala in tempo reale al profilo aziendale corrispondente.

Non è un aggregatore passivo di bandi. Le 4 schede di analisi (Riepilogo, Rischi, Suggerimenti, Confronto Profilo) elaborano il contenuto del documento di gara e restituiscono informazioni strutturate su cosa viene richiesto, quali rischi presenta il bando e come si confronta con il profilo dell'azienda registrata.

Per una PMI ICT con 12 gare/anno, questo ha significato ridurre il tempo di preparazione da un'intera giornata lavorativa a 45 minuti per gara, mantenendo lo stesso livello di analisi sui requisiti tecnici e di sicurezza.

Gap-analysis sui requisiti: verde, giallo, rosso prima di investire ore sull'offerta

La funzione di gap-analysis automatica dei requisiti - disponibile nel piano Pro - è lo strumento specifico per questo problema. Confronta i requisiti del bando con il profilo dell'azienda registrata su Avvista e assegna un segnale verde, giallo o rosso a ogni requisito.

Verde: il requisito è soddisfatto sulla base del profilo registrato. Giallo: il requisito è parzialmente soddisfatto o richiede documentazione aggiuntiva. Rosso: il requisito non è soddisfatto - candidarsi senza intervenire significa quasi certamente esclusione in fase amministrativa.

Lo scoring A-E assegna poi un punteggio di rilevanza complessiva a ogni gara rispetto al profilo aziendale. Una PMI ICT senza ISO 27001 riceverà uno score basso su bandi che la richiedono come requisito di ammissione, evitando di investire ore su candidature destinate al fallimento. Una PMI con ISO 27001 certificata su bandi dove è criterio premiante riceverà invece uno score alto, segnalando l'opportunità di capitalizzare su una certificazione già acquisita.

Per i contratti SaaS con la Pubblica Amministrazione questo livello di analisi preventiva è particolarmente utile, dato che la qualificazione AgID e i requisiti di sicurezza informatica appalti sono spesso requisiti di ammissione non negoziabili.

Scopri come funziona la gap-analysis automatica → Prova 7 giorni gratis

Implicazioni pratiche per le PMI ICT: checklist pre-gara

Prima di investire tempo su un bando ICT con requisiti di sicurezza informatica, verifica questi punti.

Checklist pre-gara sicurezza informatica per PMI ICT:

1. Mappa le tue certificazioni attuali - ISO 27001, SOC 2, ISO 27017/27018, qualificazione cloud AgID. Sai quali hai e quali mancano.
2. Leggi il capitolato tecnico prima del disciplinare - i requisiti di sicurezza sono qui, non nel disciplinare. Identifica se ISO 27001 è in "Requisiti di ammissione" o "Criteri di valutazione".
3. Verifica le Misure Minime AgID richieste - livello Minimo, Standard o Alto. Hai policy di sicurezza informali che potrebbero già soddisfare il livello Minimo se documentate correttamente.
4. Prepara la documentazione come asset riutilizzabile - DPIA, piano di incident response, procedure di backup: costruiscili una volta, riutilizzali in ogni offerta tecnica.

Per come strutturare l'offerta tecnica con questi elementi, consulta la guida dedicata. 5. Controlla il DGUE - le certificazioni di sicurezza vanno dichiarate qui. Un errore o un'omissione è motivo di esclusione. 6. Valuta il bando rispetto al DPCM 30 giugno 2026 - se il bando riguarda infrastrutture critiche o sistemi strategici, i requisiti sono più stringenti e richiedono preparazione specifica. 7. Monitora le RDO su MePA - le RDO su MePA per servizi ICT includono spesso requisiti di sicurezza nel template di offerta tecnica. Leggerle in anticipo permette di prepararsi prima della scadenza.

Per un approfondimento completo sul posizionamento nel mercato delle gare IT, consulta la guida completa agli appalti informatici per PMI.

Puoi anche usare lo strumento online per verificare la tua posizione: Checklist partecipazione gara.

Prova Avvista 7 giorni: scopri subito le gare ICT con requisiti di sicurezza che puoi vincere

I prossimi bandi ICT con requisiti AgID e ISO 27001 sono già pubblicati. Sapere se fai per te prima di investire ore sull'offerta è la differenza tra una candidatura efficace e una persa in partenza.

Piani e prezzi: da €149/mese, senza carta di credito per il trial

Il trial dura 7 giorni, include il piano Pro completo, non richiede carta di credito. Accesso immediato a tutte le funzionalità: monitoraggio 20.000+ fonti, scoring A-E, 4 schede di analisi AI, e gap-analysis dei requisiti con segnale verde/giallo/rosso.

Cosa include ogni piano e dove finisce Avvista

Avvista copre SCOPRI → ANALIZZA → DECIDI. Discovery dei bandi, analisi dei requisiti tecnici, valutazione del profilo aziendale, benchmark ribassi storici, scoring di rilevanza.

La compilazione automatica dei documenti di gara - DGUE, dichiarazioni artt. 94-98, offerta tecnica - non è una funzionalità di Avvista. È il territorio di Cato (get-cato.com), il prodotto sales-led di Nesso Labs dedicato all'automazione documentale. Il handoff è netto: Avvista ti dice quali gare fare e se le puoi vincere, Cato prepara i documenti.

Non stai cercando un database di bandi. Stai cercando uno strumento che ti dica, per ogni gara ICT con requisiti di sicurezza informatica appalti, se la tua azienda è in posizione per candidarsi e cosa manca se non lo è.

Non sai se la tua azienda soddisfa i requisiti di sicurezza di una gara ICT? Avvista te lo dice in automatico.

Scopri Avvista e inizia il trial gratuito di 7 giorni - Nessuna carta di credito richiesta. Accesso immediato. 20.000+ fonti monitorate.

Aggiornato a giugno 2026.