Le "Misure minime di sicurezza informatica per la PA" sono state pubblicate in questi giorni in Gazzetta Ufficiale come parte integrante del più ampio disegno delle Regole Tecniche per la sicurezza informatica della Pubblica Amministrazione, emesso come previsto dalla Direttiva 1 agosto 2015 del Presidente del Consiglio dei Ministri.

La direttiva sollecitava tutte le Amministrazioni e gli Organi chiamati ad intervenire nell'ambito degli assetti nazionali di reazione a eventi cibernetici a dotarsi, secondo una tempistica definita e comunque nel più breve tempo possibile, di standard minimi di prevenzione e reazione a eventi cibernetici e assegnava all'Agenzia per l'Italia Digitale il compito di sviluppare gli standard di riferimento per le amministrazioni.

L'obiettivo del documento pubblicato in questi giorni è dunque fornire alle pubbliche amministrazioni un riferimento normativo e pratico per valutare e migliorare il proprio livello di sicurezza informatica, al fine di contrastare le minacce più comuni e frequenti a cui sono soggette. 

Nelle "Misure minime di sicurezza informatica per la PA" sono previsti tre diversi livelli di attuazione.  Il livello minimo stabilisce i criteri di base ai quali ogni pubblica amministrazione, indipendentemente dalla sua natura e dimensione, deve essere conforme, in termini tecnologici, organizzativi e procedurali. Mentre i livelli successivi prevedono strumenti di protezione più completi e dovrebbero essere adottati fin da subito dalle organizzazioni maggiormente esposte a rischi, ma deviono essere visti come obiettivi di miglioramento da parte di tutte le altre organizzazioni. Il documento, infatti, consente alle PA di intraprendere un percorso di progressivo adeguamento anche se tutte le prescrizioni dovranno essere adottate entro il 31 dicembre 2017. 

In considerazione dell'inasprirsi del quadro generale, la Direttiva del 2015 tendeva a consolidare un sistema di reazione efficiente in grado di assicurare la resilienza dell'infrastruttura informatica nazionale, a fronte di eventi quali incidenti o azioni ostili che possono compromettere il funzionamento dei sistemi e degli assetti fisici controllati dagli stessi. Al fine di agevolare tale processo, l'Agenzia per l'Italia Digitale ha avuto il compito di identificare gli indicatori degli standard di riferimento, in linea con quelli posseduti dai maggiori partner del nostro Paese e dalle organizzazioni internazionali di cui l'Italia è parte.

Sin da aprile 2016 il contenuto del documento era disponibile, anticipandone la pubblicazione in Gazzetta Ufficiale, mediante i siti di AGID e del CERT-PA al fine di fornire tempestivamente alle PA un riferimento normativo e consentire loro di intraprendere un percorso di verifica ed adeguamento.

Scarica Misure minime di sicurezza informatica per la PA

Valenzano, 12 aprile 2017