Al punto 17 dell'allegato B del decreto dice testualmente:

"Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento è almeno semestrale."

Per come la vedo io, anche se l'SO non è più oggetto di miglioramenti, l'aggiornamento di antivirus e firewall potrebbe essere sufficiente a soddisfare questo punto.

Tra le varie guide che ho trovato in rete, c'era questo:

"La vulnerabilità dei sistemi informativi è molto spesso
causata da difetti nei sistemi operativi, nelle applicazioni
e nei programmi in genere.
Nel caso in cui , di fronte a problematiche conosciute, gli
stessi produttori mettano a disposizione versioni
migliorative di sistemi operativi, applicazioni e programmi
attraverso patch, service-pack, nuove release, ecc.. che
consentano l'eliminazione di queste potenziali fonti di
rischio, si dovrà provvedere ad istallare gli aggiornamenti,
con una periodicità... ecc..."

Dice "nel caso in cui", ma questa è una interpretazione. E' anche vero che nel decreto non ho trovato nessun riferimento a sistemi non più supportati da, in questo caso, Microsoft.

Ciao.