Circolare AgID sulle misure minime di sicurezza per le PA

Nella giornata di ieri, 4 aprile 2017, è stata pubblicata in Gazzetta Ufficiale la circolare AgID 1/2017 sulle misure minime di  sicurezza ICT per le Pubbliche Amministrazioni.

 

La circolare trasforma le misure minime di sicurezza pubblicate sul sito di AGID lo scorso anno in uno strumento di compliance: in pratica, ogni Pubblica Amministrazione rientrante nella definizione ex. art. 1 c.2 d.Lgs. 165/2001 dovrà attestare il livello di adozione delle misure minime di sicurezza e conservare tale attestazione da trasmettere al CERT-PA (l’acronimo di  Computer Emergency Response Team Pubblica Amministrazione) in caso di incidente informatico.

La responsabilità di attuazione delle misure minime è in capo al responsabile dei sistemi informativi (definito all’art. 10 del D.Lgs. 39/1993) o, in sua assenza, al dirigente allo scopo designato.

L’allegato 1 della circolare riporta le misure minime di sicurezza adottate da AgiD, mentre l’allegato 2 è il modulo di implementazione con cui il responsabile deve attestare il livello di adozione delle misure minime.

Il modulo deve essere compilato dal responsabile e dal responsabile legale della struttura, oltre che marcato temporalmente (NB si parla di marcatura temporale, non di riferimento temporale, per cui il numero di protocollo non è idoneo; la marcatura temporale viene apposta direttamente sul documento).

La scadenza di prima adozione di tale adempimento è il 31/12/2017; c’è da osservare che, essendo il sistema informatico soggetto a continue evoluzioni, la misura di adozione potrebbe essere aggiornata anche in data successiva a tale scadenza. Sarà pertanto necessario implementare un processo opponibile a terzi di versioning di tale documento.

E’ interessante rilevare che le misure di sicurezza, analizzate nel nostro precedente articolo di settembre 2016, si sviluppano su 3 livelli:

“Minimo”, al di sotto il quale nessuna amministrazione può scendere;
“Standard”, che costituisce la base di riferimento nella maggior parte dei casi;
“Alto”, che potrebbe essere un obiettivo a cui tendere.

Il responsabile quindi dovrà adottare almeno le misure di livello minimo e tendere a rendere il sistema sicuro a seconda della propria situazione contingente: quello che nel codice della privacy (D. Lgs. 196/2003) si  definisce “misure idonee di sicurezza”.

Questo adempimento è propedeutico alla comunicazione, in caso di eventuale incidente informatico, a CERT-PA del documento sottoscritto allegato alla segnalazione dell’incidente stesso. E’ importante rilevare che, in caso di data breach (cioè di violazioni di sicurezza) di dati personali, è obbligatoria la segnalazione al garante della Privacy: quando il nuovo regolamento eurpeo di protezione dei dati personali verrà interamente applicato (la scadenza ultima è maggio 2018), il Garante svolgerà delle ispezioni presso l’ente che ha subito l’attacco – al fine di verificare le misure di sicurezza adottate – ed eventualmente comminare delle sanzioni, che possono essere molto salate.

L’obiettivo degli enti dovrebbe essere quello di non ripetere adempimenti simili, implementando un Sistema di Gestione della Sicurezza in grado di ottemperare in maniera efficiente a tutti gli obblighi di legge.

Fonte: circolare AgID 1/2017 pubblicata in Gazzetta Ufficiale

SI.net, con la sua pluriennale esperienza nel campo della sicurezza informatica e della normativa ICT, può affiancare qualsiasi tipo di ente nel percorso di messa in sicurezza dei propri sistemi informativi.

_______________________________________________________

Per informazioni sui servizi di information technology offerti da SI.net per accompagnarti nelle continue sfide legate all’innovazione tecnologica, scrivi a comunicazione@sinetinformatica.it o telefona allo 0331.576848.

Per ricevere aggiornamenti sulle tematiche relative all’innovazione e all’ICT iscriviti alla nostra newsletter.

Segui SI.net anche su Twitter e su Facebook e YouTube

 

 

 

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Nessun commento ancora

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

*

Eventi e Scadenze

EVENTO - seminario a Milano sul Regolamento Europeo in tema di protezione dei dati personali 26 ottobre 2017
SCADENZA PA: UFF. PROTOCOLLO - termine preparazione piano di fascicolazione per l'anno successivo 30 novembre 2017
SCADENZA PA: adesione delle PA al circuito SPID 31 dicembre 2017
SCADENZA PA - Redazione attestazione misure di sicurezza adottate 31 dicembre 2017
SCADENZA PA: UFF. PROTOCOLLO - redazione elenco dei fascicoli da trasferire nell'archivio di deposito 10 gennaio 2018
SCADENZA PA: UFF. PROTOCOLLO - riversamento registrazioni Protocollo Informatico 28 febbraio 2018
SCADENZA PA: Obiettivi di accessibilità 31 marzo 2018

Tweet recenti