Lo scorso mese di maggio sulla Gazzetta Ufficiale – serie generale n. 103 del 5 maggio 2017 è stata pubblicata la Circolare AGID 2/2017 avente ad oggetto Misure minime di sicurezza ICT per le P.A. (Direttiva Presidente del Consiglio dei Ministri n. 1/2015).
La direttiva è rivolta ai soggetti identificati dall’art. 2 comma 2 del Codice dell’Amministrazione Digitale (C.A.D.), ovvero le pubbliche amministrazioni di cui all’art. 1, comma 2 del decreto legislativo 165/2001 e alle Società in controllo pubblico, fatta eccezione tra queste per le Società quotate.
La Circolare comprende due allegati tecnici nei quali, oltre a brevi cenni sulla genesi del provvedimento poi emanato, vengono indicate le misure di sicurezza da adottare.
A sottolineare l’urgenza, viene dato alle Pubbliche Amministrazioni un termine ultimo al 31 dicembre 2017 per l’adozione obbligatoria delle misure minime: tale obbligo di adozione è posto come dovere d’ufficio in carico al dirigente IT in seno ad ogni PA, tuttavia al momento non sono stati indicati le modalità con cui verranno effettuati eventuali controlli sull’osservanza o meno di tale obbligo e le corrispondenti sanzioni per quelle Pubbliche Amministrazioni che non abbiano provveduto ad adeguarsi entro la data indicata.
Livelli di applicazione della Circolare AGID 2/2017
Sono indicati tre livelli di applicazione delle misure da adottare:
- il livello minimo è quello a cui ogni Pubblica Amministrazione deve necessariamente rendersi conforme, indipendentemente dalla sua natura o dalla sua dimensione
- il livello standard è quello auspicabile per la maggior parte delle P.A.
- infine il livello avanzato è raccomandato per le organizzazioni maggiormente esposte a rischi sia in ragione della criticità delle informazioni trattate che dei servizi erogati.
Non viene sottovalutato il problema dei costi per i necessari adeguamenti e ad ogni pubblica amministrazione viene consigliato di tenere comunque nella dovuta considerazione il rapporto fra questi ultimi e la complessità della struttura e delle informazioni da proteggere al fine di trovare una soluzione equilibrata.
I controlli da mettere in atto infine vengono divisi in gruppi: l’inventario dei dispositivi e dei software autorizzati o meno, la protezione delle configurazioni di hardware e software su tutti i dispositivi, la valutazione e la correzione continua delle vulnerabilità, l’uso appropriato dei privilegi di amministratore, le difese contro i malware, le copie di sicurezza e la protezione dei dati.