AgID emana le misure minime di sicurezza ICT per le PA

La circolare trasforma le misure minime di sicurezza pubblicate sul sito di AGID lo scorso anno in uno strumento di compliance: in pratica, ogni Pubblica Amministrazione rientrante nella definizione ex. art. 1 c.2 d.Lgs. 165/2001 dovrà attestare il livello di adozione delle misure minime di sicurezza e conservare tale attestazione da trasmettere al CERT-PA (l’acronimo di  Computer Emergency Response Team Pubblica Amministrazione) in caso di incidente informatico.

La responsabilità di attuazione delle misure minime è in capo al responsabile dei sistemi informativi (definito all’art. 10 del D.Lgs. 39/1993) o, in sua assenza, al dirigente allo scopo designato.

L’allegato 1 della circolare riporta le misure minime di sicurezza adottate da AgiD, mentre l’allegato 2 è il modulo di implementazione con cui il responsabile deve attestare il livello di adozione delle misure minime.

Il modulo deve essere compilato dal responsabile e dal responsabile legale della struttura, oltre che marcato temporalmente (NB si parla di marcatura temporale, non di riferimento temporale, per cui il numero di protocollo non è idoneo; la marcatura temporale viene apposta direttamente sul documento).

La scadenza di prima adozione di tale adempimento è il 31/12/2017; c’è da osservare che, essendo il sistema informatico soggetto a continue evoluzioni, la misura di adozione potrebbe essere aggiornata anche in data successiva a tale scadenza ( prime verifiche dal 10 Gennaio 2018 ). Sarà pertanto necessario implementare un processo opponibile a terzi di versioning di tale documento.

E’ interessante rilevare che le misure di sicurezza, analizzate nel nostro precedente articolo di settembre 2016, si sviluppano su 3 livelli:

“Minimo”, al di sotto il quale nessuna amministrazione può scendere;
“Standard”, che costituisce la base di riferimento nella maggior parte dei casi;
“Alto”, che potrebbe essere un obiettivo a cui tendere.

Il responsabile quindi dovrà adottare almeno le misure di livello minimo e tendere a rendere il sistema sicuro a seconda della propria situazione contingente: quello che nel codice della privacy (D. Lgs. 196/2003) si  definisce “misure idonee di sicurezza”.

Questo adempimento è propedeutico alla comunicazione, in caso di eventuale incidente informatico, a CERT-PA del documento sottoscritto allegato alla segnalazione dell’incidente stesso. E’ importante rilevare che, in caso di data breach (cioè di violazioni di sicurezza) di dati personali, è obbligatoria la segnalazione al garante della Privacy: quando il nuovo regolamento eurpeo di protezione dei dati personali verrà interamente applicato (la scadenza ultima è maggio 2018), il Garante svolgerà delle ispezioni presso l’ente che ha subito l’attacco – al fine di verificare le misure di sicurezza adottate – ed eventualmente comminare delle sanzioni, che possono essere molto salate.

L’obiettivo degli enti dovrebbe essere quello di non ripetere adempimenti simili, implementando un Sistema di Gestione della Sicurezza in grado di ottemperare in maniera efficiente a tutti gli obblighi di legge.

Fonte: circolare AgID 1/2017 pubblicata in Gazzetta Ufficiale