Misure minime di sicurezza ICT per le pubbliche amministrazioni

Al fine di indicare alle pubbliche amministrazioni le misure minime per la sicurezza ICT che debbono essere adottate per contrastare le minacce più comuni e frequenti cui sono soggetti i loro sistemi informativi, ed in attuazione della Direttiva 1 agosto 2015 del Presidente del Consiglio dei Ministri che emana disposizioni finalizzate a consolidare lo stato della sicurezza informatica nazionale, AgID ha provveduto ad emanare l'elenco ufficiale delle "Misure minime per la sicurezza ICT delle pubbliche amministrazioni".

Per fornire tempestivamente alle PA un riferimento pratico, e consentire loro di intraprendere un percorso di progressivo adeguamento, il documento con le Misure minime era già stato reso disponibile da AgID e dal CERT-PA sui rispettivi siti Web istituzionali sin dal settembre 2016.

Con l'avvenuta pubblicazione in Gazzetta Ufficiale (Serie Generale n.103 del 5-5-2017) della Circolare 18 aprile 2017, n. 2/2017, recante «Misure minime di sicurezza ICT per le pubbliche amministrazioni. (Direttiva del Presidente del Consiglio dei ministri 1° agosto 2015)», le Misure minime sono ora divenute di obbligatoria adozione per  tutte le Amministrazioni.

Modalità di attuazione

L'adeguamento delle Pubbliche amministrazioni alle Misure minime dovrà avvenire entro il 31 dicembre 2017, a cura del responsabile della struttura per l'organizzazione, l'innovazione e le tecnologie di cui all'art.17 del C.A.D., ovvero, in sua assenza, del dirigente allo scopo designato.

Le Misure, che si articolano sull'attuazione di controlli di natura tecnologica, organizzativa e procedurale, prevedono tre livelli di attuazione. Il livello minimo è quello al quale ogni pubblica amministrazione, indipendentemente dalla sua natura e dimensione, deve necessariamente essere o rendersi conforme. I livelli successivi rappresentano situazioni evolutive in grado di fornire livelli di protezione più completi, e dovrebbero essere adottati fin da subito dalle organizzazioni maggiormente esposte a rischi (ad esempio per la criticità delle informazioni trattate o dei servizi erogati), ma anche visti come obiettivi di miglioramento da parte di tutte le altre organizzazioni.

Come parte del processo di adeguamento, il dirigente responsabile dell'attuazione deve inoltre compilare e firmare digitalmente il "Modulo di implementazione" allegato alla Circolare, il quale è reso disponibile in diversi formati editabili, da questa pagina.

Fra le misure minime è previsto anche che le pubbliche amministrazioni accedano sistematicamente a servizi di early warning che consentano loro di rimanere aggiornate sulle nuove vulnerabilità di sicurezza. A tal proposito il CERT-PA fornisce servizi proattivi ed informativi a tutte le amministrazioni accreditate.

AgID provvederà ad aggiornare le Misure minime tutte le volte che si renderà necessario, in funzione dell'evoluzione della minaccia cibernetica, al fine di mantenere la Pubblica Amministrazione ad un livello adeguato di protezione.

La Direttiva 1 agosto 2015 del Presidente del Consiglio dei Ministri

Le misure minime per la sicurezza ICT sono emesse in attuazione della Direttiva 1 agosto 2015 del Presidente del Consiglio dei Ministri, che emana disposizioni finalizzate a consolidare lo stato della sicurezza informatica nazionale, alla luce dei crescenti rischi cibernetici che minacciano anche il nostro Paese.

La direttiva assegna all'Agenzia per l'Italia Digitale il compito di sviluppare e rendere disponibili "indicatori degli standard di riferimento" che mettano le amministrazioni in grado di dotarsi degli standard minimi di prevenzione e reazione ad eventi cibernetici.

Gazzetta Ufficiale
Gazzezza Ufficiale (download PDF)

Download moduli di implementazione

Tag: CERT-PA


Informazioni generali sul sito

Torna alla navigazione interna