Stampa documento Stampa Invia una e-mail al CNI bancadati@cni-online.it
Rif. DV12558
Documento 08/08/2017 CIRCOLARE - XIX SESSIONE
Fonte CNI
Tipo Documento CIRCOLARE
Numero 102
Data 08/08/2017
Riferimento PROT. CNI N. 5898
Note
Allegati

DV12559

LG12560

LG12561

Titolo LINEE GUIDA PER LA SICUREZZA ICT DELLE PUBBLICHE AMMINISTRAZIONI – AGENZIA PER L’ITALIA DIGITALE (AGID) – MISURE MINIME DI SICUREZZA ICT PER LA PA – OBBLIGO NORMATIVO DI ADEGUAMENTO ENTRO IL 31 DICEMBRE 2017 - INDICAZIONI OPERATIVE PER GLI ORDINI TERRITORIALI IN FUNZIONE DI AUSILIO – SEMINARIO TECNICO IN VIA DI ORGANIZZAZIONE DA PARTE DEL CONSIGLIO NAZIONALE – PRIMA INFORMATIVA
Testo Con la presente si intende informare tutti gli Enti in indirizzo circa la necessità di ottemperare tempestivamente e adeguatamente alle prescrizioni di carattere tecnico ed informatico imposte a tutte le Pubbliche Amministrazioni dall’Agenzia per l’Italia Digitale, ovvero l’organismo posto sotto la vigilanza della Presidenza del Consiglio dei Ministri (1) per curare e sovraintendere agli adempimenti e agli standard minimi in materia di sicurezza informatica, imposti dallo sviluppo tecnologico.

Allo scopo di dotare gli Uffici pubblici dei più moderni e aggiornati strumenti di difesa contro le sempre più ricorrenti e insidiose minacce di carattere cibernetico, sono stati di recente approvati una serie di atti amministrativi generali - aventi la forma della circolare – contenenti misure che obbligatoriamente devono essere realizzate, sotto il profilo informatico, da parte di tutti gli Enti Pubblici e le Pubbliche Amministrazioni in generale.

In attuazione della direttiva 1 agosto 2015 del Presidente del Consiglio dei Ministri, l’Agenzia per l’Italia Digitale (Agid) ha approntato dapprima la circolare n.1/2017 e successivamente la circolare 18 aprile 2017 n.2/2017 (“Sostituzione della circolare n.1/2017 del 17 marzo 2017, recante ‘Misure minime di sicurezza ICT per le pubbliche amministrazioni’ (Direttiva del Presidente del Consiglio dei Ministri 1 agosto 2015)” (2) , qui allegata.

Nell’ambito del processo di digitalizzazione in corso su scala nazionale, è importante che tutti gli attori del settore pubblico siano posti ragionevolmente al riparo da attacchi di tipo informatico. Di qui la necessità di implementare e rafforzare – anche con strumenti di tipo vincolante e con precise scadenze temporali – l’adeguamento informatico degli Uffici pubblici e, in tale ambito, per quanto ci riguarda, dei Consigli degli Ordini territoriali e del CNI.

L’Agenzia per l’Italia Digitale-AgID ha, infatti, – tra i suoi scopi – il fine di perseguire il massimo livello di utilizzo delle tecnologie digitali nell’organizzazione della Pubblica Amministrazione e nel rapporto tra questa, i cittadini e le imprese, quello di realizzare gli obiettivi dell’Agenda digitale italiana e l’ottimizzazione della spesa in materia informatica delle Pubbliche Amministrazioni (3).

Allo scopo di indicare alle Pubbliche Amministrazioni le misure minime di sicurezza nell’ambito dell’Information and Communications Technology (ICT) che debbono obbligatoriamente essere realizzate per contrastare le minacce più comuni e frequenti cui sono soggetti i loro sistemi informativi, AgID ha provveduto ad emanare l’elenco ufficiale delle “Misure minime per la sicurezza ICT delle pubbliche amministrazioni”, oggetto della presente circolare informativa.

Con l’avvenuta pubblicazione in Gazzetta Ufficiale – n.103 del 5 maggio 2017 – della Circolare AGID 18 aprile 2017 n.2/2017, le misure minime di sicurezza sono ora divenute di obbligatoria adozione per tutte le Amministrazioni.

***

Come detto, l’adeguamento delle Pubbliche Amministrazioni alle allegate Misure minime dovrà obbligatoriamente avvenire entro il 31 dicembre 2017, a cura del responsabile della struttura per l’organizzazione, l’innovazione e le tecnologie di cui all’art.17 del Codice dell’amministrazione digitale (cd C.A.D.), ovvero, in sua assenza, del dirigente allo scopo designato.

E’ bene sapere (e qui mettere in luce, per la sua rilevanza organizzativa), infatti, che ai sensi dell’art.17 del d.lgs. 7/03/2005 n.82 (il citato Codice dell’amministrazione digitale), come di recente novellato dall’art.25 del d.lgs. 26/08/2016 n.179, le Pubbliche Amministrazioni sono tenute ad individuare, nel proprio organico, un responsabile per il digitale e “un difensore civico per il digitale, in possesso di adeguati requisiti di terzietà, autonomia e imparzialità”, a cui chiunque può inviare segnalazioni e reclami relativi ad ogni presunta violazione del Codice dell’amministrazione digitale “e di ogni altra norma in materia di digitalizzazione ed innovazione della pubblica amministrazione”.

Nel caso degli Enti non statali e di minori dimensioni, quali gli Ordini provinciali, la stessa disposizione consente di assegnare l’incarico di responsabile per il digitale – qualora l’ente sia privo di Uffici di livello dirigenziale – ad un funzionario individuato “tra le proprie posizioni apicali” (v., in ogni caso, più nel dettaglio, l’art.17 C.A.D., allegato).

***

Il quadro generale che ha motivato l’emanazione di “linee guida tecniche di applicazione” molto dettagliate, prima volta nel panorama ICT italiano della Pubblica Amministrazione Locale e Centrale, è dovuto alla situazione geopolitica in cui oggi il mondo si trova. Si stima, sulla base di indicazioni dirette ed indirette, che il volume e la pericolosità di tali attacchi informatici sarà sempre maggiore. Per tale ragione il Governo Italiano, tramite l’AgID, ha emanato indicazioni tecniche precise, che dovranno essere asseverate tramite un vademecum dettagliato e puntuale, grazie al quale sarà possibile anche stimare il grado di protezione e attenzione voluto e ottenuto dal singolo Ente.

Le fonti utilizzate sono state quelle citate nell’Allegato 1 della circolare n.2/2017, di cui raccomandiamo approfondita lettura; in modo particolare quella relativa al SANS Institute (www.sans.org) e certamente quella relativa alle indicazioni del Garante Privacy che in ogni caso restano in essere, essendo più legate alla natura e finalità del trattamento piuttosto che alle metodologie della difesa del dato dal punto di vista tecnico. Si ritiene, altresì, importante effettuare un utilizzo combinato dei due approcci, proprio per rendere completo lo scenario del contesto ICT degli Enti. In estrema sintesi, il sistema SANS contempla un elenco di venti controlli e verifiche, ordinati sulla base dell'impatto sulla sicurezza dei sistemi, in cui ciascun controllo precede tutti quelli la cui implementazione innalza il livello di sicurezza in misura inferiore alla sua.

Si precisa, come si evince dal testo della circolare n.2/2017 dell’AgID, che la mancata applicazione comporterà una responsabilità penale ed amministrativa del “referente” ICT dell’Ente che - nel caso non sia stato nominato - resterà in capo al “titolare” dell’Ente. Inoltre, si vuol in questa sede sottolineare, che le specifiche tecniche allegate non sono “indicazioni”, bensì “elementi/concetti/azioni/operazioni” da applicare secondo una modalità che dovrà essere a sua volta esplicitata.

Il Consiglio Nazionale, sentiti i propri referenti e consulenti informatici, che da tempo seguono la materia, suggerisce di adottare il seguente modus operandi, al fine di poter applicare al meglio le indicazioni dell’AgID:

1) identificazione degli stakeholders
2) definizione dei ruoli e delle responsabilità
3) emanazione di un piano di lavoro sulla base dell’architettura de facto
4) verifica e controllo del piano di lavoro
5) stesura della documentazione di progetto
6) implementazione progetto
7) analisi dell’architettura ottenuta
8) piano di manutenzione e gestione evolutiva

Naturalmente l’Ordine territoriale, a valle della definizione dell’architettura de facto, ossia attuale, potrà decidere quale livello di sicurezza vorrà assicurare e che potrà sempre implementare. Il CNI consiglia di perseguire almeno il criterio medio.

***

Ovviamente lo scrivente Consiglio si rende conto delle difficoltà operative ed organizzative che tali adempimenti – qui solo sommariamente descritti e per i quali si rinvia ai documenti allegati – comporteranno per l’attività quotidiana degli Ordini territoriali e del carattere estremamente tecnico delle misure da realizzare, ragione per cui – oltre al suggerimento di consultare e servirsi di professionisti del settore – ha in animo di organizzare al più presto, verso la fine di settembre 2017 in Roma, un apposito seminario di carattere tecnico, rivolto ai Consiglieri e al personale degli Ordini provinciali, in cui gli esperti informatici del CNI si faranno carico di spiegare e mappare gli adempimenti informatici e le misure minime di sicurezza che tutte le Pubbliche Amministrazioni dovranno predisporre in vista della scadenza perentoria fissata per il 31 dicembre 2017.

Di tale evento sarà data apposita e più dettagliata informativa tramite successiva circolare.

Nel raccomandare una puntuale lettura ed il pieno ed integrale rispetto delle indicazioni provenienti dall’Agenzia per l’Italia Digitale, qui allegate, si resta a disposizione per ogni chiarimento eventualmente necessario e si inviano cordiali saluti.



ALLEGATI :

1) Circolare AgID 18 aprile 2017 n.2/2017;
2) Art.19 del decreto-legge 22/06/2012 n.83, come convertito dalla legge n.134/2012;
3) Art.17 decreto legislativo 7/03/2005 n.82 (C.A.D.).


------------------------------------------------------------------------------------
NOTE

(1) Più precisamente, l’Agenzia è sottoposta ai poteri di indirizzo e vigilanza del Presidente del Consiglio dei Ministri o del Ministro da lui delegato, ai sensi dell’art.19 del decreto-legge 22/06/2012 n.83, come convertito dalla legge n.134/2012.

(2) La circolare AGID 18 aprile 2017 n.2/2017 è pubblicata nella Gazzetta Ufficiale, S.G., n.103 del 5/05/2017.

(3) Ai sensi dell’art.2 del suo Statuto, approvato con decreto del Presidente del Consiglio dei Ministri 8 gennaio 2014, pubblicato sulla G.U., S.G., n.37 del 14/02/2014.

------------------------------------------------------------------------------------
Stampa documento Stampa Invia una e-mail al CNI bancadati@cni-online.it