← Torna a CAD — Codice Amministrazione Digitale (D.Lgs. 82/2005)
Ultimo aggiornamento: 21 Maggio 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Casi pratici
  4. Domande frequenti
  5. Vedi anche
In sintesi
L'articolo 50-bis del Codice dell'Amministrazione Digitale è stato abrogato dal D.Lgs. 26 agosto 2016, n. 179, recante modifiche e integrazioni al CAD. La norma originaria disciplinava la continuità operativa e il disaster recovery delle pubbliche amministrazioni, imponendo a ciascuna PA di predisporre un piano di continuità operativa e un piano di disaster recovery per garantire la continuità dei processi critici in caso di eventi disastrosi o interruzioni dei sistemi informativi. Con la riforma del 2016, la materia è stata riorganizzata e i contenuti rilevanti sono confluiti nelle Linee guida AgID sulla continuità operativa e nel Piano Triennale per l'informatica nella PA, che ora costituiscono il quadro di riferimento tecnico e organizzativo per la gestione del rischio ICT nelle amministrazioni pubbliche italiane.

Testo dell'articoloVigente

Art. 50 bis D.Lgs. 82/2005 CAD — Articolo abrogato

In vigore dal 01/01/2006

ARTICOLO ABROGATO DAL D.LGS. 26 AGOSTO 2016, N. 179

Commento

L'abrogazione dell'art. 50-bis CAD, disposta dal D.Lgs. 179/2016, ha spostato la disciplina della continuità operativa e del disaster recovery dal piano della norma primaria a quello delle Linee guida AgID e degli atti di pianificazione tecnica. Questa scelta riflette la natura tecnica della materia: i requisiti specifici per i piani di continuità e di disaster recovery necessitano di aggiornamenti frequenti, che mal si conciliano con i tempi della legislazione primaria.

Il quadro attuale è definito dalle Linee guida AgID sulla continuità operativa (versione 2.0), che prescrivono alle PA l'adozione di un Business Continuity Plan (BCP) e di un Disaster Recovery Plan (DRP), la classificazione dei processi critici per livello di importanza e tolleranza all'interruzione (RTO — Recovery Time Objective, RPO — Recovery Point Objective), e la regolare effettuazione di esercitazioni di ripristino. Il Piano Triennale per l'informatica nella PA inserisce la continuità operativa tra i pilastri della sicurezza cibernetica delle PA.

Il coordinamento con il quadro europeo è rilevante sotto due profili. La Direttiva NIS 2 (Dir. UE 2022/2555), recepita in Italia con il D.Lgs. 138/2024, impone obblighi di gestione del rischio cyber e di notifica degli incidenti agli enti pubblici qualificati come soggetti essenziali o importanti. Il Regolamento DORA (Reg. UE 2022/2554), pur rivolto principalmente al settore finanziario, ha diffuso nell'ecosistema digitale europeo il modello di resilienza operativa digitale che le PA italiane sono chiamate ad adottare in via autonoma.

Casi pratici

Caso 1: Predisposizione del piano di continuità operativa in un'università pubblica

Caso 2: Notifica di incidente cyber sotto la Direttiva NIS 2

Domande frequenti

Perché l'articolo 50-bis CAD è stato abrogato?

Il D.Lgs. 179/2016 ha abrogato l'art. 50-bis nell'ambito di una revisione del CAD volta a semplificare la struttura normativa e a spostare le regole tecniche di dettaglio — come quelle sulla continuità operativa e il disaster recovery — al livello delle Linee guida AgID, più flessibili e aggiornabili rispetto alla norma primaria.

Le PA sono ancora obbligate a predisporre piani di continuità operativa?

Sì. Nonostante l'abrogazione dell'art. 50-bis, le PA sono tenute a predisporre piani di continuità operativa (BCP) e di disaster recovery (DRP) in base alle Linee guida AgID vigenti e alle indicazioni del Piano Triennale per l'informatica nella PA. Le PA qualificate come soggetti essenziali o importanti ai sensi della Direttiva NIS 2 (recepita con D.Lgs. 138/2024) hanno obblighi aggiuntivi di gestione del rischio cyber.

Cosa disciplinava l'art. 50-bis prima dell'abrogazione?

L'art. 50-bis originario obbligava le PA ad analizzare i propri processi critici e a predisporre soluzioni tecniche e organizzative per garantire la continuità operativa in caso di eventi disastrosi. Prevedeva inoltre l'obbligo di adottare un piano di disaster recovery e di comunicarlo ad AgID (allora DigitPA/CNIPA). Tali obblighi sono stati riassorbiti nelle Linee guida AgID post-abrogazione.

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 31 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.