Salta ai contenuti. | Salta alla navigazione

Strumenti personali

Associazione Nazionale Professionale Segretari Comunali e Provinciali
Tu sei qui: Home / Archivio News / Anno 2020 / Giugno / 12/06/2020 - On line le Linee Guida sulla sicurezza nel Procurement ICT

12/06/2020 - On line le Linee Guida sulla sicurezza nel Procurement ICT

tratto da quotidianopa.leggiditalia.it
12/06/2020 - On line le Linee Guida sulla sicurezza nel Procurement ICT
On line le Linee Guida sulla sicurezza nel Procurement ICT
di Michele Iaselli - Funzionario Ministero della Difesa, docente di informatica giuridica all'Università di Cassino, LUISS - Roma e Federico II - Napoli
 
Le Linee Guida si rivolgono alle pubbliche amministrazioni e agli operatori di mercato e forniscono indicazioni per garantire che beni e servizi informatici acquistati dalle PA nell'ambito di gare d'appalto o specifici accordi quadro rispondano ad adeguati livelli di sicurezza.
Il documento è stato elaborato da un tavolo di lavoro promosso dal Nucleo per la Sicurezza Cibernetica (NSC) del Dipartimento Informazioni per la Sicurezza presso la Presidenza del Consiglio dei Ministri, di cui ha fatto parte anche AgID insieme ad altre amministrazioni centrali.
Al tavolo di lavoro, che ha operato dal novembre 2018 al febbraio 2019, hanno partecipato le seguenti pubbliche amministrazioni centrali:
- Dipartimento Informazioni per la Sicurezza della PCM;
- Dipartimento della Protezione Civile della PCM;
- Ministero degli Affari Esteri;
- Ministero dell'Interno;
- Ministero della Giustizia;
- Ministero della Difesa;
- Ministero dell'Economia e delle Finanze;
- Ministero dello Sviluppo Economico;
- Agenzia per l'Italia Digitale;
oltre alla società Consip, in veste di centrale di committenza delle pubbliche amministrazioni.
Obiettivo del tavolo di lavoro era definire indicazioni tecnico-amministrative per garantire, all'interno delle procedure per l'approvvigionamento di beni e servizi informatici delle pubbliche amministrazioni, la rispondenza di questi ad adeguati livelli di sicurezza.
Si ritiene infatti che - durante i processi di acquisizione - i fornitori, in relazione alla natura dei servizi offerti, possano accedere al patrimonio informativo delle pubbliche amministrazioni committenti, introducendo potenziali rischi informatici, con impatto in particolare su riservatezza, integrità, disponibilità, autenticità e non ripudio dei dati pubblici. Processi di acquisizione condotti senza attenzione agli aspetti di sicurezza possono vanificare, o comunque rendere meno efficaci, le misure prese dalle amministrazioni per tutelare il proprio patrimonio informativo. Di contro, la necessità di formalizzare e strutturare il rapporto con i fornitori può rappresentare, per le amministrazioni, un'opportunità per aggiornare o rivedere le proprie politiche di sicurezza, anche contando sulle competenze del fornitore stesso, che può contribuire in modo positivo a elevare le misure di protezione dell'amministrazione, come si vedrà nei paragrafi che seguono.
Per quanto sopra, il documento, che riguarda certamente il tema generale della sicurezza informatica, ha un ambito circoscritto, e si concentra sulla sicurezza nell'approvvigionamento di beni e servizi informatici, attività indicata nel seguito del testo con “procurement ICT”.
È utile, a tal proposito, ricordare che la maggioranza dei contratti pubblici che riguardano l'ICT:
- derivano da una gara o rappresentano appalti specifici di accordi quadro;
- sono pluriennali (per cui un certo grado di avvicendamento del personale del fornitore è inevitabile);
- comprendono più di un'iniziativa progettuale, in genere numerosi progetti distinti, che vengono condotti in parte sequenzialmente, in parte in parallelo, non necessariamente dallo stesso gruppo di lavoro del fornitore;
Ai fini del documento, i contratti ICT si possono classificare come segue:
a) contratti di sviluppo, realizzazione e manutenzione evolutiva di applicazioni informatiche;
b) contratti di acquisizione di prodotti (hardware o software);
c) contratti per attività di operation e conduzione;
d) contratti per servizi diversi da a) e c) (es. supporto, consulenza, formazione, help desk, ...);
e) contratti per forniture miste, combinazioni delle precedenti tipologie.
Le Linee Guida sono rivolte in primo luogo ai dirigenti e ai funzionari delle pubbliche amministrazioni, con particolare riferimento alle strutture che si occupano di acquisizioni informatiche, ai RUP delle gare pubbliche, ai responsabili della transizione al digitale (definiti dal CAD), ai responsabili dell'organizzazione, pianificazione e sicurezza. A questi soggetti sono rivolte le indicazioni pratiche, gli esempi e gli strumenti operativi contenuti nei paragrafi che seguono.
I contenuti del documento vanno intesi in termini di suggerimenti, buone pratiche e procedure cui allinearsi, anche sulla base della rilevanza e dei profili di criticità delle varie acquisizioni ICT da condurre, come illustrato nel dettaglio, per le varie indicazioni, nel capitolo 2.
Il documento è rivolto anche, con un diverso percorso di lettura, agli operatori di mercato e in particolare ai fornitori della pubblica amministrazione. Per questi ultimi è opportuno, tra l'altro, essere a conoscenza delle problematiche legate alla sicurezza nel procurement ICT delle pubbliche amministrazioni, in modo che siano pronti a recepire le richieste dei committenti senza impatti rilevanti sulle negoziazioni, e anzi con spirito di collaborazione. Si ritiene infatti che stabilire un lessico comune e condividere gli obiettivi di sicurezza possa rappresentare un vantaggio per i clienti ma anche per i fornitori, rendendo più efficienti le clausole dei contratti e aprendo nuovi spazi di mercato.
Le Linee Guida non costituiscono un manuale tecnico, un compendio o uno studio accademico sulla tematica della sicurezza. Al contrario, nel testo si rimanda, per gli eventuali approfondimenti specialistici sulla materia, alla letteratura tecnica: riferimenti puntuali a studi, articoli e standard sono presenti nei paragrafi che seguono.
Allo stesso modo, non è scopo del presente documento fornire al lettore interpretazioni giuridiche, disamine o estensioni di norme e procedure vigenti in tema di appalti pubblici.
Le finalità del documento sono invece:
- illustrare in maniera semplice e immediatamente fruibile la problematica della sicurezza nel procurement ICT;
- mettere a sistema (tramite opportuni glossari e classificazioni), formalizzare definizioni e concetti legati alla sicurezza nel procurement ICT, rendendoli coerenti con la norma e con il contesto della pubblica amministrazione;
- presentare buone prassi, soluzioni già in uso, misure semplici da adottare (strumenti operativi, esempi pratici, riferimenti puntuali), per verificare il livello di sicurezza degli attuali processi di acquisizione ed eventualmente per alzare tale livello senza per questo aumentare in modo eccessivo la complessità dei processi e l'impegno necessario a condurli.
« gennaio 2025 »
gennaio
lumamegivesado
12345
6789101112
13141516171819
20212223242526
2728293031
Una frase per noi

Vi hanno detto che è bene vincere le battaglie? | Io vi assicuro che è anche bene soccombere, che le battaglie sono perdute nello stesso spirito in cui vengono vinte. || Io batto i tamburi per i morti, | per loro imbocco le trombe, suono la marcia più sonora e più gaia. || Gloria a quelli che sono caduti! | A quelli che persero in mare le navi di guerra! | A quelli che scomparvero in mare! A tutti i generali che persero battaglie, e a tutti gli eroi che furono vinti! | A gli infiniti eroi ignoti, eguali ai più sublimi eroi famosi.

Walt Whitman