Agid: le misure sulla cyber sicurezza

Circolare AGID 2/2017 avente ad oggetto "misure minime di sicurezza ICT per la PA (Direttiva Presidente del Consiglio dei Ministri n. 1/2015)”. Comunicazione del D.P.O. resa ai sensi dell’art. 39 del GDPR.

L’Agenzia per l’Italia Digitale (di seguito, AGID) è l’agenzia tecnica della Presidenza del Consiglio che ha il compito di garantire la realizzazione degli obiettivi dell’Agenda digitale italiana e contribuire alla diffusione dell’utilizzo delle tecnologie dell’informazione e della comunicazione, favorendo l’innovazione e la crescita economica. 

L’Agenda Digitale italiana è la strategia nazionale per raggiungere gli obiettivi indicati dall’Agenda Digitale Europea, varata nel 2010 e integrata negli obiettivi del framework Europa 2020, che fissa obiettivi per lo sviluppo dell’Unione europea (UE) da raggiungere entro il 2020.

Uno degli obiettivi dell’Agenda è quello di contrastare la diffusione della criminalità informatica e di prevenire il rischio di un calo della fiducia nelle reti, comprese quelle gestite dalla PA; individuando gli standard minimi di prevenzione e reazione agli eventi cibernetici.

1) La Circolare AGID 2/2017: gli standard di prevenzione e reazione agli eventi cibernetici

AGID ha individuato suddetti standard attraverso la Circolare AGID 2/2017, stabilendo che - a seconda della complessità del sistema informativo a cui si riferiscono e della realtà organizzativa dell’Amministrazione - le misure minime possono essere implementate in modo graduale seguendo tre livelli di attuazione.

• Minimo: è quello al quale ogni Pubblica Amministrazione, indipendentemente dalla sua natura e dimensione, deve necessariamente essere o rendersi conforme.
• Standard: è il livello, superiore al livello minimo, che ogni amministrazione deve considerare come base di riferimento in termini di sicurezza e rappresenta la maggior parte delle realtà della PA italiana.
• Avanzato: deve essere adottato dalle organizzazioni maggiormente esposte a rischi (ad esempio per la criticità delle informazioni trattate o dei servizi erogati), ma anche visto come obiettivo di miglioramento da parte di tutte le altre organizzazioni.

Le misure consistono in controlli di natura tecnologica, organizzativa e procedurale e utili alle Amministrazioni per valutare il proprio livello di sicurezza informatica.

2) Agid: le misure minime per valutare la sicurezza informatica

AGID ha chiesto a tutte le Pubbliche Amministrazioni di adottare almeno le “misure minime di sicurezza” entro il 31 dicembre 2017.

Le misure minime sono 45, quelle standard 44 e quelle avanzate 32 e sono divise nei seguenti macro-gruppi:

1. INVENTARIO DEI DISPOSITIVI AUTORIZZATI E NON AUTORIZZATI
2. INVENTARIO DEI SOFTWARE AUTORIZZATI E NON AUTORIZZATI
3. PROTEGGERE LE CONFIGURAZIONI DI HARDWARE E SOFTWARE SUI DISPOSITIVI MOBILI, LAPTOP, WORKSTATION E SERVER
4. VALUTAZIONE E CORREZIONE CONTINUA DELLA VULNERABILITÀ
5. USO APPROPRIATO DEI PRIVILEGI DI AMMINISTRATORE
6. DIFESE CONTRO I MALWARE
7. COPIE DI SICUREZZA
8. PROTEZIONE DEI DATI

A decorrere dal 1° aprile 2019 le PA possono acquisire esclusivamente servizi cloud qualificati da AgID. 

L’adeguamento alle misure minime è un obiettivo che dev’essere portato a termine (e/o mantenuto) dal responsabile della struttura per l’organizzazione, l’innovazione e le tecnologie, come indicato nel Codice dell’Amministrazione Digitale (CAD, art. 17) o, in sua assenza, dal dirigente designato. 

Secondo la circolare, le misure minime di sicurezza devono essere adottate da parte di tutte le pubbliche Amministrazioni entro il 31 dicembre 2017. 

La mancata adozione di suddette misure rappresenta una non conformità sia in relazione alla normativa CAD che a quella della protezione dei dati personali.