L’emendamento è un punto elenco.

Inserito dal Commissione Economia ed Energia nel §58 Absatz 2 Satz 2 del Regolamento tedesco sugli appalti pubblici (VgV) come nuova Nummer 4, il punto recita per intero: «Aspekte der digitalen Souveränität.» È questa la modifica.

La motivazione della commissione corre più lunga. Nella Bundestag-Drucksache 21/5525 del 22 aprile 2026, la commissione enumera ciò che la «sovranità digitale» copre come criterio di aggiudicazione: sistemi IT o software interoperabili e aperti, la tracciabilità e il controllo del trattamento dei dati, requisiti speciali per il personale che gestisce i dati, misure di sicurezza, la localizzazione dei dati e «immunità giuridica, organizzativa e tecnica contro accessi non desiderati o restrizioni di disponibilità». I Berichterstatter — Dr. Andreas Lenz (CSU) e Georg Schroeter (AfD) — hanno firmato la relazione il giorno prima della votazione in aula.

Il Bundestag l’ha adottata il pomeriggio successivo. L’assenso del Bundesrat è seguito l'8 maggio. La legge entra in vigore il 1 luglio 2026. All’interno di una legge di semplificazione amministrativa, la legge tedesca sugli appalti aveva silenziosamente acquisito il suo primo criterio esplicito di sovranità.

Come i criteri sono arrivati al regolamento

Il percorso è nel record pubblico. Il disegno di legge del governo, Drucksache 21/1934, inquadrava il progetto come semplificazione degli appalti. I criteri di sovranità non erano nel testo del gabinetto. La Commissione Economia ed Energia ha tenuto un’audizione pubblica di esperti nella sua 16ª seduta il 10 novembre 2025; le presentazioni scritte degli esperti sono registrate come Ausschussdrucksachen 21(9)106, 21(9)107 e da 21(9)115 a 21(9)120 nel registro della commissione.

Ciò che è emerso dal processo di commissione è stata la modifica testuale al §58 VgV più una chiarificazione parallela: che gli appalti che coinvolgono cybersicurezza o sovranità digitale ricadono entro i «wesentliche Sicherheitsinteressen» dell’Articolo 346(1) TFUE. L’Articolo 346 è la disposizione del Trattato UE che esenta gli appalti a tutela degli interessi essenziali di sicurezza dalle regole complete di concorrenza UE. Leggendo le due modifiche insieme: la sovranità è diventata un criterio di aggiudicazione esplicito nelle gare ordinarie, e la sovranità è diventata un motivo di sicurezza riconosciuto che può estrarre specifici appalti dalla concorrenza UE-wide interamente.

Entrambe le modifiche sono sopravvissute alla votazione d’aula.

Cosa i criteri permettono a un committente di fare

La nuova Nummer 4 si colloca accanto a tre categorie preesistenti di criteri di qualità nel §58 — aspetti ambientali e sociali, caratteristiche relative al prodotto e disponibilità del servizio clienti. Un committente pubblico che progetta una gara può ora citare direttamente il punto sulla sovranità. Le sei categorie elencate nella motivazione della commissione non sono di per sé testo statutario — sono l’allegato esplicativo — ma una Vergabekammer che adjudica una futura contestazione leggerà lo statuto attraverso quella spiegazione.

Concretamente: un committente può richiedere sistemi IT interoperabili e aperti e rifiutare un’offerta a stack chiuso su tale base. Il committente può richiedere che la catena di trattamento dei dati sia tecnicamente tracciabile, e rifiutare offerte managed cloud opache su tale base. Il committente può richiedere la localizzazione dei dati. Il committente può richiedere che il sistema offerto sia immune da «accessi non desiderati» — linguaggio che, sotto la motivazione della commissione, raggiunge la questione del CLOUD Act anche se il regolamento non lo nomina.

Questo è il cambiamento pratico. Nessuno di questi criteri era proibito prima; erano non enumerati, e un contestatore di una gara poteva sostenere che fossero discriminatori. Dopo il 1 luglio, il contestatore deve argomentare contro lo statuto, non solo contro la gara.

Come questo si collega alla modifica EVB-IT

Il 20 marzo, il ministero digitale federale BMDS e l’associazione dell’industria digitale Bitkom hanno pubblicato modelli contrattuali rivisti per gli appalti IT sotto il quadro federale EVB-IT. Le revisioni hanno reso giuridicamente esplicito nel linguaggio contrattuale standardizzato l’adempimento conforme all’open source.

I due strumenti si incastrano in modo pulito. La Vergabebeschleunigungsgesetz dice che la sovranità è un criterio di aggiudicazione ammissibile. I modelli EVB-IT dicono come si presenta per iscritto un adempimento conforme alla sovranità. Un committente può ora scrivere una gara dicendo «questo contratto utilizza EVB-IT nella forma open source, e i criteri di aggiudicazione includono la sovranità digitale ai sensi del §58 Absatz 2 Satz 2 Nummer 4 VgV» — ed entrambe le metà di quella frase sono pre-redatte a livello federale.

Cosa non fa

I criteri sono permissivi. Non sono obbligatori. Un committente pubblico che vuole aggiudicare a Microsoft può ancora farlo, a condizione che il processo di approvvigionamento in sé sia proceduralmente pulito. La legge rimuove un’arma legale dai contestatori; non richiede ai committenti di usare i nuovi criteri.

Questo è per progettazione. La legge tedesca sugli appalti è generalmente permissiva piuttosto che prescrittiva — lo statuto definisce cosa è permesso, il committente decide cosa è richiesto.

L’effetto pratico dipende pertanto dal fatto che i committenti pubblici esercitino effettivamente la nuova discrezione. I ministeri federali lo faranno, perché sono sotto la sorveglianza del BMDS dopo il quadro di veto di Wildberger. Le autorità federali in settori regolamentati lo faranno, perché i loro revisori se lo aspettano. La variabile sono le migliaia di dipartimenti IT comunali che acquistano autonomamente e hanno ragioni istituzionali per ricadere su «ciò che conosciamo, che è Microsoft». Se le gare comunali adottano i criteri, lo statuto ha denti; se non lo fanno, rimane testo.

C’è un’obiezione più silenziosa da fuori della Germania. I criteri sono scritti in modi che i fornitori cloud tedeschi trovano più facili da soddisfare rispetto ai concorrenti europei. «Localizzazione dei dati» per default si traduce in «hosting tedesco» nella pratica. «Tracciabilità e controllo del trattamento dei dati» favorisce gli stack open source in cui l’ecosistema tedesco ha investito più pesantemente rispetto a quelli francese od olandese. Un contestatore francese o olandese di una gara comunale tedesca ora si trova di fronte a un set di criteri che sottilmente favorisce le offerte tedesche. Lo statuto è europeo nella cornice. È tedesco nell’operatività.

Cosa non è questo articolo

Non è un’affermazione secondo cui la legge sia vuota. La modifica testuale è piccola e la conseguenza giuridica è reale.

Non è un’affermazione secondo cui la legge sia sufficiente. Uno statuto federale non guida, da solo, le decisioni di approvvigionamento comunale, e il volume comunale è dove si svolge la maggior parte degli approvvigionamenti.

Non è un’affermazione secondo cui i criteri siano intenzionalmente protezionisti. Le leggi che proteggono l’industria nazionale mentre conseguono obiettivi politici sono una caratteristica normale del funzionamento della legge sugli appalti. Se i criteri tedeschi si leggano come «neutralmente europei» o «neutralmente tedeschi» è questione di a quale pubblico l’autore si stia rivolgendo.

La prova Vergabekammer all’orizzonte

La storia sarà definita da un tipo specifico di evento: una gara comunale che cita esplicitamente il §58 Absatz 2 Satz 2 Nummer 4 VgV per rifiutare un’offerta Microsoft o AWS, e che sopravvive a una contestazione presso la Vergabekammer.

Se accade entro dodici mesi, gli specialisti di legge degli appalti citeranno il caso in ogni memo successivo. I criteri passano da testo a strumento. Se non accade, la nuova Nummer 4 resta dov’è — nello statuto, disponibile all’uso, usata da nessuno. Il Bundestag ha fatto ciò che il Bundestag può fare. Le comunità sono le prossime.

Fonti

Panoramica del tema: Sovranità Digitale in Europa Articoli correlati: La Germania impone i formati aperti, Wildberger traccia una linea