-3- Il PRIMO APPROFONDIMENTO sul PTI PA 2024
Un pochetto di storia sulla sicurezza informatica nella PA.
prima delle modifiche apportate al CAD dal D.lgs 179/2016 esisteva nel nostro ordinamento una norma che imponeva il piano DR-CO (Disaster Recovery- CONTINUITA’ OPERATIVA), la riporto
Art. 50-bis
(( (Continuità operativa) ))
((
1. In relazione ai nuovi scenari di rischio, alla crescente complessità dell’attività istituzionale caratterizzata da un intenso utilizzo della tecnologia dell’informazione, le pubbliche amministrazioni predispongono i piani di emergenza in grado di assicurare la continuità delle operazioni indispensabili per il servizio e il ritorno alla normale operatività.
2. Il Ministro per la pubblica amministrazione e l’innovazione assicura l’omogeneità delle soluzioni di continuità operativa definite dalle diverse Amministrazioni e ne informa con cadenza almeno annuale il Parlamento.
3. A tali fini, le pubbliche amministrazioni definiscono :
a) il piano di continuità operativa, che fissa gli obiettivi e i principi da perseguire, descrive le procedure per la gestione della continuità operativa, anche affidate a soggetti esterni. Il piano tiene conto delle potenziali criticità relative a risorse umane, strutturali, tecnologiche e contiene idonee misure preventive. Le amministrazioni pubbliche verificano la funzionalità del piano di continuità operativa con cadenza biennale;
b) il piano di disaster recovery, che costituisce parte integrante di quello di continuità operativa di cui alla lettera a) e stabilisce le misure tecniche e organizzative per garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione.
DigitPA, sentito il Garante per la protezione dei dati personali, definisce le linee guida per le soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni informatiche, verifica annualmente il costante aggiornamento dei piani di disaster recovery delle amministrazioni interessate e ne informa annualmente il Ministro per la pubblica amministrazione e l’innovazione.4. I piani di cui al comma 3 sono adottati da ciascuna amministrazione sulla base di appositi e dettagliati studi di fattibilità tecnica; su tali studi è obbligatoriamente acquisito il parere di DigitPA.))
vi rimetto anche una vecchi procedura per il 2012…quanto tempo
Con l’entrata in VIGORE del D.Lgs 179/2016 le PPAA hanno dimenticato che questa norma doveva essere un’opportunità e non un adempimento quindi…..lasciamo stare.
Un altro momento di “riflessione” invece lo troviamo nelle MMS
In pratica ancora vigenti ma non attuabili visti i nuovi PARADIGMA CLOUD per le PP.AA.
Poco DOPO troviamo la CORTE DEI CONTI ed il suo interesse alla sicurezza informatica, il motivo è semplice….
Per quest’anno invece ….. vediamo il CAPITOLO 7 del PT 20204.
Capitolo 7 – Sicurezza informatica
Sicurezza informatica
Scenario
L’evoluzione delle moderne tecnologie e la conseguente possibilità di ottimizzare lo svolgimento dei procedimenti amministrativi con l’obiettivo di rendere efficace, efficiente e più economica l’azione amministrativa, ha reso sempre più necessaria la “migrazione” verso il digitale che, però, al contempo, sta portando alla luce nuovi rischi, esponendo imprese e servizi pubblici a possibili attacchi cyber. In quest’ottica, la sicurezza e la resilienza delle reti e dei sistemi, su cui tali tecnologie poggiano, sono il baluardo necessario a garantire, nell’immediato, la sicurezza del Paese e, in prospettiva, lo sviluppo e il benessere dello Stato e dei cittadini.
La recente riforma dell’architettura nazionale cyber, attuata attraverso l’adozione del decreto-legge 14 giugno 2021, n. 82 che ha istituito l’Agenzia per la Cybersicurezza Nazionale (ACN), ha come obiettivo, tra gli altri, quello di sviluppare e rafforzare le capacità cyber nazionali, garantendo l’unicità istituzionale di indirizzo e azione, anche mediante la redazione e l’implementazione della Strategia nazionale di cybersicurezza, che considera cruciale, per il corretto “funzionamento” del sistema Paese, la sicurezza dell’ecosistema digitale alla base dei servizi erogati dalla Pubblica Amministrazione, con specifica attenzione ai beni ICT. Tali beni supportano le funzioni e i servizi essenziali dello Stato e, purtroppo, come dimostrano gli ultimi rapporti di settore, sono tra i bersagli preferiti degli attacchi cyber.
Per questo CAP sono indicate le scadenze ravvicinate dei RA legati a ben due LA, le riporto :
Linee di azione per le PA
RA7.1.1
Da settembre 2024 – Le singole PA definiscono il modello unitario, assicurando un coordinamento centralizzato a livello dell’istituzione, di governance della cybersicurezza – CAP7.PA.01
Da dicembre 2024 – Le PA adottano un modello di governance della cybersicurezza – CAP7.PA.02
Da dicembre 2024 – Le PA nominano i Responsabili della cybersicurezza e delle loro strutture organizzative di supporto – CAP7.PA.03
RA7.1.2
- Da dicembre 2024 – Le PA formalizzano i processi e le procedure inerenti alla gestione della cybersicurezza – CAP7.PA.0
Quindi….. uno prossimi obiettivi da raggiungere (RA) saranno i modelli di CYBERSICUREZZA da scrivere dietro indicazioni delle LG che arriveranno a GIUGNO da parte dell’ACN.
RA7.1.1
Giugno 2024 – L’Agenzia fornisce le Linee guida per l’identificazione di ruoli, competenze e organizzazione per la definizione di un modello di governance della cybersicurezza nella PA, comprensive delle linee di implementazione da parte delle PA – (ACN) – CAP7.01
Ci vediamo e facciamo tutto insieme….se volete.
VINCENZO DE PRISCO
Professore a Contratto Università PARTHENOPE di NAPOLI in AGENDA DIGITALE PA
Docente MASTER UNIVERSITA’ della BASILICATA in Contratti PUBBLICI.
Docente MASTER Università PARTHENOPE di NAPOLI in
PROJECT MANAGER DELLA PUBBLICA AMMINISTRAZIONE.
Membro dell’AI PACT dell’UNIONE EUROPEA
PER WORKSHOP, ASSISTENZA,
FORMAZIONE e SUPPORTO
dott.ssa Carotenuto Elisa
elisa@ca-campania.com
cell. 3382797858