Circolare AGID 2/2017 avente ad oggetto "misure minime di sicurezza ICT per la PA (Direttiva Presidente del Consiglio dei Ministri n. 1/2015)”. Comunicazione del D.P.O. resa ai sensi dell’art. 39 del GDPR.
L’Agenzia per l’Italia Digitale (di seguito, AGID) è l’agenzia tecnica della Presidenza del Consiglio che ha il compito di garantire la realizzazione degli obiettivi dell’Agenda digitale italiana e contribuire alla diffusione dell’utilizzo delle tecnologie dell’informazione e della comunicazione, favorendo l’innovazione e la crescita economica.
L’Agenda Digitale italiana è la strategia nazionale per raggiungere gli obiettivi indicati dall’Agenda Digitale Europea, varata nel 2010 e integrata negli obiettivi del framework Europa 2020, che fissa obiettivi per lo sviluppo dell’Unione europea (UE) da raggiungere entro il 2020.
Uno degli obiettivi dell’Agenda è quello di contrastare la diffusione della criminalità informatica e di prevenire il rischio di un calo della fiducia nelle reti, comprese quelle gestite dalla PA; individuando gli standard minimi di prevenzione e reazione agli eventi cibernetici.
L'articolo continua dopo la pubblicità
AGID ha individuato suddetti standard attraverso la Circolare AGID 2/2017, stabilendo che - a seconda della complessità del sistema informativo a cui si riferiscono e della realtà organizzativa dell’Amministrazione - le misure minime possono essere implementate in modo graduale seguendo tre livelli di attuazione.
Le misure consistono in controlli di natura tecnologica, organizzativa e procedurale e utili alle Amministrazioni per valutare il proprio livello di sicurezza informatica.
AGID ha chiesto a tutte le Pubbliche Amministrazioni di adottare almeno le “misure minime di sicurezza” entro il 31 dicembre 2017.
Le misure minime sono 45, quelle standard 44 e quelle avanzate 32 e sono divise nei seguenti macro-gruppi:
A decorrere dal 1° aprile 2019 le PA possono acquisire esclusivamente servizi cloud qualificati da AgID.
L’adeguamento alle misure minime è un obiettivo che dev’essere portato a termine (e/o mantenuto) dal responsabile della struttura per l’organizzazione, l’innovazione e le tecnologie, come indicato nel Codice dell’Amministrazione Digitale (CAD, art. 17) o, in sua assenza, dal dirigente designato.
Secondo la circolare, le misure minime di sicurezza devono essere adottate da parte di tutte le pubbliche Amministrazioni entro il 31 dicembre 2017.
La mancata adozione di suddette misure rappresenta una non conformità sia in relazione alla normativa CAD che a quella della protezione dei dati personali.