Misure minime di sicurezza informatica per le PA: nuova circolare dell’AGID

L’AgID ha emanato la circolare n. 2/2017, in sostituzione della precedente circolare n. 1 del 17 marzo sulle misure minime di sicurezza ICT per le pubbliche amministrazioni.

Con la circolare n. 2/2017 (pubblicata nella Gazzetta Ufficiale n. 103 del 5 maggio) l’Agenzia per l’Italia digitale indica alle PA quali sono le misure minime per la sicurezza ICT che debbono essere adottate al fine di contrastare le minacce più comuni e frequenti cui sono soggetti i loro sistemi informativi. Tali misure minime sono contenute nell’allegato 1 alla circolare.

L’art. 14 -bis del decreto legislativo 7 marzo 2005, n. 82, di seguito C.A.D., al comma 2, lettera a) , tra le funzioni attribuite all’AgID, prevede, tra l’altro, l’emanazione di regole, standard e guide tecniche, nonché di vigilanza e controllo sul rispetto delle norme di cui al medesimo C.A.D., anche attraverso l’adozione di atti amministrativi generali, in materia di sicurezza informatica. La direttiva del 1° agosto 2015 del Presidente del Consiglio dei ministri impone l’adozione di standard minimi di prevenzione e reazione ad eventi cibernetici. Al fi ne di agevolare tale processo, individua nell’Agenzia per l’Italia digitale l’organismo che dovrà rendere prontamente disponibili gli indicatori degli standard di riferimento, in linea con quelli posseduti dai maggiori partner del nostro Paese e dalle organizzazioni internazionali di cui l’Italia è parte.

La presente circolare sostituisce la circolare AgID n. 1/2017 del 17 marzo 2017 (pubblicata nella Gazzetta Ufficiale n. 79 del 4 aprile 2017). Obiettivo della presente circolare è indicare alle pubbliche amministrazioni le misure minime per la sicurezza ICT che debbono essere adottate al fi ne di contrastare le minacce più comuni e frequenti cui sono soggetti i loro sistemi informativi. Le misure minime di cui al comma precedente sono contenute nell’allegato 1, che costituisce parte integrante della presente circolare.

Destinatari della presente circolare sono i soggetti di cui all’art. 2, comma 2 del C.A.D. Il responsabile della struttura per l’organizzazione, l’innovazione e le tecnologie di cui all’art.17 del C.A.D., ovvero, in sua assenza, il dirigente allo scopo designato, ha la responsabilità della attuazione delle misure minime.

Modulo di implementazione delle MMS-PA Le modalità con cui ciascuna misura è implementata presso l’amministrazione debbono essere sinteticamente riportate nel modulo di implementazione di cui all’allegato 2, anch’esso parte integrante della presente circolare. Il modulo di implementazione dovrà essere fi rmato digitalmente con marcatura temporale dal soggetto di cui all’art. 3 e dal responsabile legale della struttura. Dopo la sottoscrizione esso deve essere conservato e, in caso di incidente informatico, trasmesso al CERT-PA insieme con la segnalazione dell’incidente stesso.

In allegato il testo della Circolare.