← Torna a CAD — Codice Amministrazione Digitale (D.Lgs. 82/2005)
Ultimo aggiornamento: 21 Maggio 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Casi pratici
  4. Domande frequenti
  5. Vedi anche
In sintesi
L’art. 51 CAD disciplina la sicurezza informatica e la disponibilità dei dati, dei sistemi e delle infrastrutture delle pubbliche amministrazioni, affidando ad AgID il compito di definire le soluzioni tecniche idonee tramite Linee guida e di coordinare la risposta agli incidenti informatici attraverso il CERT-PA (Computer Emergency Response Team Pubblica Amministrazione). La norma si inscrive nel Quadro strategico nazionale per la sicurezza dello spazio cibernetico e nel Piano nazionale per la sicurezza cibernetica, di cui AgID attua le previsioni per la parte di competenza. Gli obblighi a carico delle PA sono triplici: proteggere i documenti informatici riducendo al minimo i rischi di distruzione, perdita o accesso non autorizzato; aderire annualmente ai programmi di sicurezza preventiva coordinati da AgID; predisporre piani di continuità operativa (Business Continuity Plan) per garantire l’erogazione dei servizi essenziali anche in caso di incidenti. Il coordinamento con le analoghe strutture internazionali (ENISA, CERT europei) rafforza la dimensione sovranazionale della norma. Sul piano GDPR, gli obblighi di sicurezza tecnica e organizzativa previsti dall’art. 51 CAD si sovrappongono e si integrano con quelli dell’art. 32 GDPR, creando un sistema di tutela multilivello per i dati trattati dalle PA.

Testo dell'articoloVigente

Art. 51 D.Lgs. 82/2005 CAD — Sicurezza e disponibilità dei dati, dei sistemi e delle infrastrutture delle pubbliche amministrazioni

In vigore dal 01/01/2006

1. Con le ((Linee guida)) sono individuate le soluzioni tecniche idonee a garantire la protezione, la disponibilità, l'accessibilità, l'integrità e la riservatezza dei dati e la continuità operativa dei sistemi e delle infrastrutture.

1-bis. AgID attua, per quanto di competenza e in raccordo con le altre autorità competenti in materia, il Quadro strategico nazionale per la sicurezza dello spazio cibernetico e il Piano nazionale per la sicurezza cibernetica e la sicurezza informatica. AgID, in tale ambito: a) coordina, tramite il Computer Emergency Response Team Pubblica Amministrazione (CERT-PA) istituito nel suo ambito, le iniziative di prevenzione e gestione degli incidenti di sicurezza informatici; b) promuove intese con le analoghe strutture internazionali; c) segnala al Ministro per ((la semplificazione e la pubblica amministrazione)) il mancato rispetto delle regole tecniche di cui al comma 1 da parte delle pubbliche amministrazioni.

2. I documenti informatici delle pubbliche amministrazioni devono essere custoditi e controllati con modalità tali da ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato o non consentito o non conforme alle finalità della raccolta.

2-bis. COMMA ABROGATO DAL D.LGS. 26 AGOSTO 2016, N. 179 . ((

2-ter. I soggetti di cui all'articolo 2, comma 2, aderiscono ogni anno ai programmi di sicurezza preventiva coordinati e promossi da AgID secondo le procedure dettate dalla medesima AgID con le Linee guida.

2-quater. I soggetti di cui articolo 2, comma 2, predispongono, nel rispetto delle Linee guida adottate dall'AgID, piani di emergenza in grado di assicurare la continuità operativa delle operazioni indispensabili per i servizi erogati e il ritorno alla normale operatività. Onde garantire quanto previsto, è possibile il ricorso all' articolo 15 della legge 7 agosto 1990, n. 241 , per l'erogazione di servizi applicativi, infrastrutturali e di dati, con ristoro dei soli costi di funzionamento. Per le Amministrazioni dello Stato coinvolte si provvede mediante rimodulazione degli stanziamenti dei pertinenti capitoli di spesa o mediante riassegnazione alla spesa degli importi versati a tale titolo ad apposito capitolo di entrata del bilancio statale))

Commento

L’art. 51 CAD costituisce la norma-cardine della cybersecurity pubblica italiana. La sua struttura riflette un approccio a tre livelli: prevenzione (Linee guida AgID sui requisiti tecnici), risposta agli incidenti (CERT-PA come hub di coordinamento) e continuità operativa (piani di emergenza obbligatori). Questo schema anticipa le prescrizioni della Direttiva NIS2 (Dir. UE 2022/2555), oggi recepita in Italia con il D.Lgs. 138/2024, rendendo l’art. 51 un riferimento sistematico anche per le entità tenute agli obblighi NIS2.

Il CERT-PA svolge un ruolo operativo fondamentale: coordina le segnalazioni di incidenti informatici, diffonde alert e indicatori di compromissione, e promuove esercitazioni di sicurezza. Con l’istituzione dell’ACN (Agenzia per la Cybersicurezza Nazionale, D.L. 82/2021) alcune funzioni del CERT-PA sono migrate al CSIRT Italia, ma l’art. 51 rimane la base normativa primaria per gli obblighi delle PA nei confronti di AgID.

Sul piano GDPR, l’art. 51 CAD e l’art. 32 GDPR si integrano: entrambi richiedono misure tecniche e organizzative adeguate al rischio. Le PA devono quindi adottare un approccio «integrato» alla sicurezza, che tenga conto sia degli standard AgID sia delle prescrizioni del Garante, con una valutazione d’impatto (DPIA) quando i trattamenti presentano rischi elevati per i diritti degli interessati.

Casi pratici

Caso 1: Adozione del piano di continuità operativa in un ente locale

Caso 2: Incidente informatico e doppio obbligo di notifica (AgID e Garante)

Domande frequenti

Quali sono gli obblighi annuali delle PA in materia di sicurezza informatica?

L’art. 51, comma 2-ter CAD impone a tutti i soggetti di cui all’art. 2, comma 2 di aderire ogni anno ai programmi di sicurezza preventiva coordinati da AgID, secondo le procedure stabilite nelle Linee guida. Ciò include la partecipazione a esercitazioni, l’adozione di misure di hardening dei sistemi, l’aggiornamento dei piani di risposta agli incidenti e la rendicontazione delle attività svolte.

Che cosa deve contenere il piano di continuità operativa?

Il piano di emergenza previsto dall’art. 51, comma 2-quater deve assicurare la continuità operativa dei servizi indispensabili erogati dalla PA e il ritorno alla normale operatività dopo un incidente. In pratica comprende: identificazione dei servizi critici, soluzioni di backup e ridondanza, procedure di ripristino, designazione dei responsabili e test periodici. Le modalità sono specificate nelle Linee guida AgID, che rinviano agli standard internazionali ISO/IEC 22301 e NIST SP 800-34.

Come si coordina l’art. 51 CAD con il GDPR in materia di sicurezza dei dati personali?

L’art. 51 CAD e l’art. 32 GDPR si sovrappongono parzialmente: entrambi richiedono misure tecniche e organizzative adeguate al rischio per proteggere i dati. Le PA devono rispettare entrambe le discipline: le Linee guida AgID fissano il livello minimo di sicurezza informatica, mentre il GDPR richiede una valutazione del rischio per i dati personali e la notifica al Garante entro 72 ore in caso di data breach che costituisca un rischio per i diritti degli interessati.

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 31 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.