Misure minime di sicurezza ICT per le PA: scadenze e sanzioni

Facebook
Twitter
LinkedIn
sicurezza

Lo scorso 31 dicembre era la data di scadenza per la sottoscrizione, da parte degli enti pubblici, del documento relativo allo stato di adozione delle misure minime di sicurezza ICT per le PA indicate da AgID. Cosa ci si deve aspettare ora?

E’ importante chiarire che la circolare 2/2017 impone degli obblighi di legge, ma l’AgID, ente che l’ha emanata, essendo un’Agenzia e non un’Autorità non può comminare sanzioni in caso di mancato rispetto di tali obblighi. E’ però necessario essere lungimiranti e mirare a soddisfare il più possibile quanto richiesto (non solo le misure MINIME), principalmente per adottare delle best practices in tema di sicurezza che possono ridurre in maniera rilevante la vulnerabilità dei propri sistemi.

Questo non vuol dire che il rischio di sanzioni sia nullo. Anzi, è elevato: si deve avere una visione di insieme sull’applicazione delle misure di sicurezza e tutto ciò che la mancata adozione potrebbe comportare. L’elemento ulteriore da tenere in conto è il Regolamento UE 2016/679 in tema di protezione dei dati personali, denominato GDPR. Tale regolamento è entrato in vigore nel mese di maggio 2016 e i titolari del trattamento hanno 2 anni di tempo per garantirne la piena attuazione. A partire da maggio 2018, quindi, i titolari del trattamento dovranno assicurare che i propri sistemi rispettino le indicazioni del regolamento e adottare delle misure ritenute adeguate per la messa in sicurezza dei propri sistemi.

E’ un processo detto accountability, che in italiano si può tradurre con i termini di responsabilizzazione e/o rendicontazione. In questo contesto, è bene ricordare che, in caso di data breach (accesso illecito ai dati dell’ente), questo va segnalato all’Autorità Garante della Privacy la quale si attiva per valutare le misure di sicurezza adottate e il livello di attuazione. In questo frangente, l’Autorità verificherà anche il rispetto delle misure minime indicate dalla Circolare AgID e, in caso di inadempienza, potrà comminare sanzioni proporzionali al livello di mancata adozione. Pertanto è fondamentale concludere il processo di adozione delle misure minime entro maggio 2018, data in cui indirettamente si porranno le basi per un’attività di carattere sanzionatorio.

Resta inteso che, anche prima di tale data, il rischio di interruzione di pubblico servizio a causa di incidenti informatici è comunque un evento da contrastare in tutti i modi, al di là dei formalismi e degli obblighi di legge. E’ importante chiarire che le misure minime di AgID sono la formalizzazione di best practices che dovrebbero mitigare i rischi informatici e migliorare la gestione dei sistemi informatici.

Facciamo un esempio pratico: è di pochi giorni fa la notizia di una grave vulnerabilità che potrebbe comportare l’accesso a informazioni sensibili da parte di malintenzionati. Vulnerabilità che può essere risolta tramite installazione di aggiornamenti su applicativi e sistemi operativi. La cosa rilevante è che tali aggiornamenti sono molto consistenti in termini di dimensioni (si arriva a qualche GB per i sistemi operativi), quindi, se si lanciano gli aggiornamenti contemporaneamente su più postazioni, la LAN aziendale è destinata a bloccarsi, e con essa alcuni programmi fondamentali per le attività quotidiane (come per esempio il software di firma digitale) che prima di attivarsi generalmente cercano in rete nuovi aggiornamenti. Però, se si adottassero dei sistemi centralizzati di distribuzione delle patch di sicurezza, come indicato nei controlli di AgID, si mitigherebbe molto l’impatto della distribuzione degli aggiornamenti in rete.

Questo è solo uno dei tanti episodi che testimoniano come il tema della sicurezza informatica sia un aspetto rilevante di efficienza prima ancora di essere un obbligo normativo.

Il tema trattato in questo articolo verrà approfondito anche nel corso dei prossimi Seminari gratuiti sulla sicurezza e protezione dei dati alla luce del GDPR che SI.net organizza nelle città di Milano, Chivasso, Chieti, Roma e Salerno.

______________________________________________________

Visita la pagina del nostro sito dedicata alla Protezione dei dati e sicurezza informatica e contattaci, senza impegno, per ogni tua esigenza in merito: scrivi a comunicazione@blog.sinetinformatica.it o telefona allo 0331.576848.

Per ricevere aggiornamenti sulle tematiche relative all’innovazione e all’ICT iscriviti alla nostra newsletter.

Segui SI.net anche su Twitter e su Facebook, YouTube e LinkedIn

 

 

Salva

Salva

Salva

Salva

Salva

Salva