Fornire alle PA un riferimento pratico per valutare e innalzare il proprio livello di sicurezza informatica. E’ questo l’obiettivo del documento Agid che contiene l’elenco ufficiale delle “Misure minime per la sicurezza Ict delle pubbliche amministrazioni”.
Le misure, che tutte le PA devono rispettare, prevedono tre livelli di attuazione. Il livello minimo stabilisce i criteri di base ai quali ogni pubblica amministrazione, indipendentemente dalla sua natura e dimensione, deve essere conforme, in termini tecnologici, organizzativi e procedurali. I livelli successivi rappresentano situazioni evolutive in grado di fornire livelli di protezione più completi, e dovrebbero essere adottati fin da subito dalle organizzazioni maggiormente esposte a rischi (ad esempio per la criticità delle informazioni trattate o dei servizi erogati) ma anche visti come obiettivi di miglioramento da parte di tutte le altre organizzazioni.
Fra le misure minime è previsto anche che le pubbliche amministrazioni accedano sistematicamente a servizi di early warning che consentano loro di rimanere aggiornate sulle nuove vulnerabilità di sicurezza. A tal proposito il Cert-PA fornisce servizi proattivi ed informativi a tutte le amministrazioni accreditate.
Le misure minime di sicurezza Ict – sono parte integrante del più ampio disegno delle Regole Tecniche per la sicurezza informatica della Pubblica Amministrazione di futura emanazione – vengono emanate in forma autonoma, anticipando la loro prossima pubblicazione in Gazzetta Ufficiale, mediante i siti web dell’Agenzia e del Cert-PA al fine di fornire tempestivamente alle PA un riferimento normativo e consentire loro di intraprendere un percorso di verifica ed adeguamento.
Le misure minime per la sicurezza sono state emesse in attuazione della direttiva 1 agosto 2015 del Presidente del Consiglio dei Ministri, che emana disposizioni finalizzate a consolidare lo stato della sicurezza informatica nazionale, alla luce dei crescenti rischi cibernetici che minacciano anche il nostro Paese.
La direttiva assegna all’Agenzia per l’Italia Digitale il compito di sviluppare e rendere disponibili “indicatori degli standard di riferimento” che mettano le amministrazioni in grado di dotarsi degli standard minimi di prevenzione e reazione ad eventi cibernetici.