il documento

Nuove linee guida per la sicurezza negli acquisti ICT della PA

di |

Dal tavolo di lavoro promosso dal Nucleo per la sicurezza cibernetica (Nsc), presso la Presidenza del Consiglio dei ministri, annunciate le nuove Linee guida per rafforzare la sicurezza nel procurement ICT delle amministrazioni pubbliche. Le indicazioni contenute sono rivolte alla PA e i fornitori di beni e servizi informatici.

Le gare per gli acquisti di beni e servizi legati all’ICT (Information and communication technologies) da parte della Pubblica Amministrazione dovranno rispondere a più elevati standard di sicurezza in futuro, adeguati alla crescente minaccia delle attività criminali o di spionaggio nel cyber spazio.

A tal proposito, il tavolo di lavoro promosso dal Nucleo per la sicurezza cibernetica (NSC), del Dipartimento Informazioni per la Sicurezza presso la Presidenza del Consiglio dei Ministri, ha pubblicato le “Linee Guida per la sicurezza nel procurement ICT”.

Procurement ICT, gli obiettivi

Tre gli obiettivi principali sintetizzati nel documento:

  • illustrare in modo semplice la problematica della sicurezza nel procurement ICT;
  • formalizzare definizioni e concetti legati alla sicurezza nel procurement ICT, rendendoli coerenti con la norma e con il contesto della pubblica amministrazione;
  • presentare buone prassi, soluzioni già in uso, misure semplici da adottare (strumenti operativi, esempi pratici, riferimenti puntuali), per verificare il livello di sicurezza degli attuali processi di acquisizione ed eventualmente per migliorarne la qualità.

All’interno delle amministrazioni pubbliche, le linee guida si rivolgono a dirigenti, funzionari, responsabili delle gare pubbliche, responsabili della transizione al digitale, responsabili dell’organizzazione, pianificazione e sicurezza.

Le nuove indicazioni, però, si rivolgono anche agli operatori di mercato, i fornitori di beni e servizi, con l’obiettivo di “fornire indicazioni per garantire che beni e servizi informatici acquistati dalle PA nell’ambito di gare d’appalto o specifici accordi quadro rispondano ad adeguati livelli di sicurezza”.

Bisogna infatti ricordare che i fornitori, in relazione alla natura dei servizi offerti, possono anche accedere al patrimonio informativo delle pubbliche amministrazioni committenti, introducendo potenziali rischi informatici, con impatto in particolare su riservatezza, integrità, disponibilità, autenticità e non ripudio dei dati pubblici.

Sicurezza prima, durante e dopo

La sicurezza è un parametro che va preso in considerazione ancora prima di arrivare alla fase di procurement vera e propria.

In fase preliminare c’è bisogno di promuovere competenze e consapevolezza, di raccogliere bone prassi ed esperienze, di stabilire ruoli e responsabilità all’interno della struttura pubblica, di disporre di un inventario aggiornato dei propri beni informatici.

In fase di acquisto, sempre tenendo conto del parametro sicurezza, è fondamentale saper scegliere lo strumento di procurement più adeguato, tenere bene a mente quali sono i requisiti di sicurezza standard, assicurarsi che nella commissione giudicatrice ci sia almeno un commissario con comprovate competenze in tema di sicurezza”.

Segue il capitolo “Azioni da svolgere dopo la stipula del contratto”, che generalmente impica la verifica del soddisfacimento dei requisiti definiti in fase di acquisizione e presenti nel capitolato di gara, oppure di dichiarazioni presenti nell’offerta tecnica del fornitore.