AGENZIA PER LA CYBERSICUREZZA NAZIONALE

CIRCOLARE 14 novembre 2025 

Attuazione dell’articolo 29, comma 3, del decreto-legge 21 marzo 2022, n. 21. Diversificazione di prodotti e servizi tecnologici di sicurezza informatica. (25A06260) (GU Serie Generale n.272 del 22-11-2025

E’ stata pubblicata sulla GU Serie Generale n.272 del 22-11-2025 la circolare ACN del 14 novembre 2025, che aggiorna le regole attuative dell’art. 29 del DL 21/2022. Per i Comuni introduce indicazioni operative per eliminare l’uso di prodotti legati a società russe nel campo della sicurezza informatica e per gestire in modo controllato la migrazione verso soluzioni alternative.

Alle amministrazioni pubbliche di cui all’art. 1, comma 2, del decreto legislativo n. 165 del 2001 e alle centrali di committenza di cui all’art. 1, comma 1, lettera i), dell’allegato I.1, del decreto legislativo n. 36 del 2023 – Loro sedi

Oggetto: «Attuazione dell’art. 29, comma 3, del decreto-legge 21 marzo 2022, 21. Diversificazione  di  prodotti  e  servizi  tecnologici di sicurezza informatica». Aggiornamento della circolare del  21  aprile 2022, n. 4336, pubblicata nella  Gazzetta  Ufficiale  n.  96  del  26 aprile 2022.

1. A) Premesse.

Il  decreto-legge  21  marzo   2022,   n.   21,   convertito,   con modificazioni, dalla legge 20 maggio 2022,  n.  51,  all’art.  29  ha stabilito per tutte le amministrazioni pubbliche di cui  all’art.  1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, l’obbligo  di procedere, tempestivamente, alla diversificazione dei prodotti e  dei servizi tecnologici di sicurezza informatica prodotti  o  forniti  da aziende legate alla Federazione Russa, appartenenti  alle  categorie individuate   da   un’apposita   circolare   dell’Agenzia   per    la cybersicurezza nazionale, anche sulla  base  degli  elementi  forniti nell’ambito del Nucleo per la cybersicurezza,  tra  quelle  volte  ad assicurare le  seguenti  funzioni  di  sicurezza:  a)  sicurezza  dei

dispositivi (endpoint security), ivi compresi applicativi  antivirus, antimalware ed «endpoint  detection  and  response»  (EDR);  b)  «web

application firewall» (WAF).

Il  predetto  art.  29  prevede,  altresi’,  che  le  centrali   di committenza  «consentono  l’aggiornamento  delle   offerte   mediante

l’inserimento di ulteriori prodotti idonei alle finalita’ di  cui  al presente articolo [e  cioe’  l’art.  29],  di  cui  sia  valutata  la

sostenibilita’ e che contribuiscano al  conseguimento  dell’autonomia tecnologica nazionale ed europea».

In relazione al predetto quadro normativo e in considerazione della perdurante esigenza di prevenire, nell’attuale contesto  geopolitico,

ai  sensi  dell’art.  29,  possibili  pregiudizi  per  la   sicurezza nazionale nello spazio cibernetico,  si  rende  necessario  procedere

all’aggiornamento della circolare del 21 aprile 2022.

1. B) Individuazione dei prodotti e servizi tecnologici  di  sicurezza informatica ai sensi dell’art. 29.

Ai sensi dell’art. 29, comma 3, del decreto-legge n. 21  del  2022, sono  individuate  le  seguenti  categorie  di  prodotti  e   servizi

tecnologici di sicurezza informatica, ivi incluse le relative aziende produttrici o fornitrici legate alla Federazione Russa:

1) prodotti e servizi di cui all’art. 29, comma  3,  lettera  a), del decreto-legge n. 21 del 2022, della societa’  «Kaspersky  Lab»  e

della societa’ «Group-IB», anche commercializzati tramite  canali  di rivendita indiretta o veicolati tramite accordi  quadro  o  contratti

quadro in modalita’ «on-premise» o «da remoto»;

2) prodotti e servizi di cui all’art. 29, comma  3,  lettera  b), del decreto-legge n. 21 del 2022, della  societa’  «Security  Gen»  –

gia’ «Positive Technologies», oltre ai  prodotti  e  ai  servizi  che siano stati o che ancora  siano  prodotti  da  quest’ultima  –  anche

commercializzati tramite canali  di  rivendita  indiretta  e/o  anche veicolati tramite accordi quadro  o  contratti  quadro  in  modalita’

«on-premise» o «da remoto».

1. C) Raccomandazioni procedurali.

Si raccomanda alle amministrazioni e alle centrali di  committenza, al fine di provvedere agli adempimenti prescritti dal citato art. 29,

di richiedere agli operatori economici la lista:

1) dei componenti software inclusi nel  prodotto  (c.d.  software bill of materials-SBOM);

2)  delle  infrastrutture  tecnologiche  per   l’erogazione   del servizio (a titolo esemplificativo, componente  IaaS  o  PaaS  di  un

servizio cloud o security operation center-SOC);

3) dei componenti applicativi del  servizio,  laddove  esistenti, erogati in modalita’ SaaS.

Le amministrazioni e le centrali di committenza possono richiedere, alternativamente  alle  liste   di   cui   al   periodo   precedente,

un’autodichiarazione circa l’assenza dei prodotti e  dei  servizi  di cui al paragrafo B) all’interno:

1) dei componenti software inclusi nel  prodotto  (c.d.  software bill of materials-SBOM);

2)  delle  infrastrutture  tecnologiche  per   l’erogazione   del servizio (a titolo esemplificativo, componente  IaaS  o  PaaS  di  un

servizio cloud o security operation center-SOC);

3) dei componenti applicativi del  servizio,  laddove  esistenti, erogati in modalita’ SaaS.

Restano ferme le responsabilita’ penali,  civili  e  amministrative previste dalla legge in caso di presentazione di dichiarazioni  false

o mendaci.

Si raccomanda, altresi’, alle  amministrazioni  destinatarie  della presente circolare – responsabili nella conduzione  delle  operazioni

di configurazione dei nuovi servizi e  prodotti  acquisiti  ai  sensi dell’art. 29 del decreto-legge n. 21 del  2022,  anche  in  relazione

alla precisa conoscenza dei propri asset (reti, sistemi informativi e servizi informatici) e degli impatti degli stessi  sulla  continuita’

dei servizi e della protezione dei dati – di adottare tutte le misure e le buone prassi di gestione di servizi informatici  e  del  rischio

cyber e, in particolare, di  tenere  conto  di  quanto  definito  dal Framework nazionale  per  la  cybersecurity  e  la  data  protection,

edizione 2025 (v.2.1), realizzato dal  Centro  di  ricerca  di  cyber intelligence and information security (CIS) dell’Universita’ Sapienza

di  Roma   e   dal   Cybersecurity   national   lab   del   Consorzio interuniversitario  nazionale  per  l’informatica  (CINI),   con   il

supporto dell’Agenzia per la cybersicurezza nazionale.

In particolare, si raccomanda di:

1) censire dettagliatamente i servizi e  i  prodotti  di  cui  al paragrafo B) della presente circolare, analizzando gli impatti  degli

aggiornamenti  degli  stessi  sull’operativita’,  quali  i  tempi  di manutenzione necessari;

2)  identificare  e  valutare  i  nuovi   servizi   e   prodotti, validandone  la  compatibilita’  con  i  propri  asset,  nonche’   la

complessita’ di gestione operativa delle  strutture  di  supporto  in essere;

3) definire, condividere e comunicare i piani di  migrazione  con tutti i soggetti interessati a  titolo  diretto  o  indiretto,  quali

organizzazioni interne alle amministrazioni e soggetti terzi;

4) validare le modalita’ di esecuzione del piano di migrazione su asset di  test  significativi,  assicurandosi  di  procedere  con  la

migrazione dei servizi e prodotti sugli asset piu’  critici  soltanto dopo la validazione di alcune migrazioni e con l’ausilio di piani  di

ripristino a  breve  termine  al  fine  di  garantire  la  necessaria continuita’ operativa. Il piano di migrazione dovra’ garantire che in

nessun momento venga interrotta la funzione di  protezione  garantita dagli strumenti oggetto della diversificazione;

5) analizzare e validare  le  funzionalita’  e  integrazioni  dei nuovi servizi e prodotti,  assicurando  l’applicazione  di  regole  e

configurazioni  di  sicurezza  proporzionate  a  scenari  di  rischio elevati (quali, ad esempio, autenticazione  multi-fattore  per  tutti

gli accessi privilegiati, attivazione dei  soli  servizi  e  funzioni strettamente necessari, adozione di principi di «zero-trust»);

6) assicurare adeguato monitoraggio e audit dei nuovi prodotti  e servizi,  prevedendo  adeguato  supporto  per  l’aggiornamento  e  la

revisione delle configurazioni in linea.

Nella predisposizione, migrazione e gestione dei nuovi  prodotti  e servizi,  si  raccomanda  l’adozione  di  principi   trasversali   di

indirizzo, quali a titolo esemplificativo quello della «gestione  del rischio», in termini di identificazione,  valutazione  e  mitigazione

dei rischi di  diversa  fattispecie  che  concorrono  nell’attuazione della diversificazione dei servizi.

Infine,  si  raccomanda   alle   amministrazioni   di   controllare costantemente il canale istituzionale di  comunicazione  dell’Agenzia

per   la   cybersicurezza   nazionale   (https://www.acn.gov.it/    e https://www.acn.gov.it/portale/csirt-italia/).

La presente circolare sostituisce la precedente del 21 aprile 2022, 4336, ed e’ efficace  dalla  sua  pubblicazione  nella  Gazzetta

Ufficiale della Repubblica  italiana.  La  presente  circolare  sara’ disponibile,   dopo    la    pubblicazione,    anche    all’indirizzo

https://www.acn.gov.it/

Roma, 14 novembre 2025

Il direttore generale: Frattasi