Con la direttiva del 1° agosto 2015 del Presidente del Consiglio dei Ministri, si impone l'adozione di standard minimi di prevenzione e reazione ad eventi cibernetici. Al fine di agevolare tale processo, individua nell'Agenzia per l'Italia digitale (AgID) l'organismo che dovrà  rendere prontamente disponibili gli indicatori degli standard di riferimento, in linea con quelli posseduti dai maggiori partner del nostro Paese e dalle organizzazioni internazionali di cui l'Italia è parte.

Con l'avvenuta pubblicazione in Gazzetta Ufficiale (Serie Generale n.103 del 5-5-2017) della Circolare 18 aprile 2017, n. 2/2017, recante «Misure minime di sicurezza ICT per le pubbliche amministrazioni. (Direttiva del Presidente del Consiglio dei ministri 1° agosto 2015)», le Misure minime sono ora divenute di obbligatoria adozione per tutte le Amministrazioni.

L'adeguamento delle Pubbliche amministrazioni alle Misure minime dovrà  avvenire, obbligatoriamente, entro il 31 dicembre 2017, a cura del responsabile della struttura per l'organizzazione, l'innovazione e le tecnologie di cui all'art.17 del C.A.D., ovvero, in sua assenza, del dirigente allo scopo designato.

Le Misure, che si articolano sull'attuazione di controlli di natura tecnologica, organizzativa e procedurale, prevedono tre livelli di attuazione:

- "Minimo", al di sotto il quale nessuna amministrazione può scendere;

- "Standard", che costituisce la base di riferimento nella maggior parte dei casi;

- "Alto", che potrebbe essere un obiettivo a cui tendere.

Come parte del processo di adeguamento, il dirigente responsabile dell'attuazione deve inoltre compilare, il "Modulo di implementazione" allegato alla Circolare firmarlo digitalmente con marcatura temporale e conservarlo, salvo inviarlo al CERT-PA in caso di incidenti.

E' importante rilevare che, in caso di data breach (cioè di violazioni di sicurezza) di dati personali, è obbligatoria la segnalazione al garante della Privacy, il quale svolgerà  delle ispezioni presso l'Ente che ha subito l'attacco al fine di verificare le misure di sicurezza adottate ed eventualmente comminare delle sanzioni, così come previsto dal nuovo regolamento europeo di protezione dei dati personali (GDPR)che entrerà  in vigore il 25 maggio 2018, data ultima per mettersi in regola con le nuove direttive.

La D.S.S. srl mette a disposizione degli Enti un servizio di consulenza informatica per coadiuvare il personale preposto alla compilazione del documento sulle "Misure minime di sicurezza ICT per le Pubbliche Amministrazioni".

Pagina AgID dedicata