Dopo l’entrata in vigore della Circolare n. 1/2019, è disponibile sul sito AgID la procedura per la verifica dell’idoneità di una infrastruttura all’utilizzo da parte di Poli Strategici Nazionali
Prosegue il percorso di razionalizzazione dei data center e formazione dei poli strategici nazionali di AgID, con l’obiettivo finale d’innalzare il livello di sicurezza delle infrastrutture della PA per offrire servizi più moderni a cittadini e imprese. Dopo l’entrata in vigore della circolare AgID n. 1/2019 sul Censimento del patrimonio ICT delle PA e classificazione delle infrastrutture idonee all'uso da parte dei PSN, con la pubblicazione in Gazzetta ufficiale (Serie Generale n.152 del 01-07-2019), è disponibile sul sito la procedura per la verifica dell’idoneità di un’infrastruttura secondo le disposizioni dell’articolo n. 5 “Procedure di verifica” della circolare.
La “Procedura di valutazione dell’idoneità all’utilizzo da parte di PSN” è effettuata sulle infrastrutture risultate preliminarmente idonee a seguito delle fasi di censimento definite nella Circolare AgID n.1/2019. La procedura è effettuata da AgID attraverso la visita in loco dell’infrastruttura da parte di un gruppo di verifica preposto e sarà condotta secondo i principi della norma UNI EN ISO 19011:2018.
Nell'Allegato della procedura sono inoltre contenuti:
- i requisiti infrastrutturali complementari che saranno oggetto di verifica;
- i contenuti minimi per la conformità alle procedure, relativi alle certificazioni ISO 20000, ISO 22301, ISO 27001, che saranno verificati solo se, durante la visita in loco, l'infrastruttura non risultasse in possesso delle certificazioni ISO. Le certificazioni dovranno comunque essere ottenute dalla PA previa presentazione di piano di adeguamento.
Le fasi organizzative per la valutazione d’idoneità e la visita in loco
1. AgID, contestualmente alla comunicazione finale dell’esito del censimento, chiede all’Amministrazione di una infrastruttura ritenuta candidabile a essere utilizzata da PSN, la manifestazione della volontà di sottoporre alla verifica tale infrastruttura. In caso negativo, l’infrastruttura è classificata come Gruppo A.
2. AgID costituisce uno o più specifici Gruppi di Verifica (GdV), composti da diverse competenze specialistiche, che hanno il compito di attuare la procedura e verificare i requisiti dell’idoneità delle infrastrutture. Ai GdV potranno anche essere affidate funzioni di controllo del mantenimento delle caratteristiche abilitanti delle stesse infrastrutture.
3. AgID comunica alla PA referente, con un preavviso di 15 giorni, la data della verifica d’idoneità. La comunicazione contiene:
- la composizione del GdV;
- documenti e strutture da rendere disponibili a cura dell’Amministrazione per la verifica;
- data di inizio delle attività di verifica e modalità di svolgimento;
- stima del tempo e della durata delle attività.
4. La PA comunica ad AgID, entro 7 giorni dal ricevimento della comunicazione, il proprio referente per la verifica e i nominativi e le qualifiche del personale partecipante alla verifica. Se la PA non fornisce le informazioni necessarie entro i tempi previsti, la verifica d’idoneità è annullata e l’infrastruttura è classificata come Gruppo A.
5. La visita in loco per la verifica di idoneità è organizzata in tre fasi:
- verifica dell’effettiva conformità ai requisiti preliminari di cui all’allegato A della circolare 1/2019 di AgID;
- verifica dei riscontri documentali;
- verifica dei requisiti infrastrutturali complementari;
Cosa succede in caso di riscontro negativo
In caso di riscontro negativo, la verifica si interrompe e il gruppo di verifica comunica alla PA gli esiti negativi di non conformità. La PA ha 15 giorni di tempo per rimuovere le non conformità, informare AgID e richiedere una nuova verifica. Entro 7 giorni dalla richiesta di nuova verifica, AgID comunica la data di nuova visita per riprendere l’esame degli elementi non conformi.
Nel caso di esame con esito positivo, la visita prosegue secondo le fasi non ancora attuate del processo di verifica. Se persistono ulteriori riscontri negativi, la procedura si interrompe definitivamente e l’infrastruttura è classificata come Gruppo A oppure Gruppo B (questo ultimo caso, quando non vengano riscontrate nemmeno le caratteristiche del Gruppo A contenute nell’allegato A della Circolare 1/2019).
Cosa succede in caso di riscontro positivo
Al termine della verifica è redatto un verbale, firmato dal GdV e dalla PA, contenente le attività svolte e, puntualmente, l’esito dei riscontri effettuati. In caso di conclusione positiva di tutte le fasi della verifica, il GdV produce una relazione complessiva con la proposta di iscrizione dell’infrastruttura nell’elenco di quelle idonee a essere utilizzate da PSN.
Dopo essere stata valutata da AgID, se approvata, l’infrastruttura esaminata è iscritta dall’Agenzia nell’elenco delle infrastrutture idonee a essere utilizzate da PSN che verrà messo a disposizione della Presidenza del Consiglio dei Ministri.
Approfondimenti
Circolare n.1 del 14 giugno 2019 - Censimento del patrimonio ICT delle Pubbliche Amministrazioni e classificazione delle infrastrutture idonee all’uso da parte dei Poli Strategici Nazionali
Procedura per la verifica dell’idoneità di una infrastruttura all’utilizzo da parte di