Linee Guida Agid sulla sicurezza informatica nel procurement ICT

di Giulia Campo -

Con Determinazione n. 220/2020 l’Agenzia per l’Italia Digitale ha adottato le linee guida in materia di sicurezza informatica nel procurement pubblico finalizzato all’acquisto di beni e servizi informatici.

Le linee guida, emanate ai sensi dell’art. 14-bis, comma 2 lett. a) del C.A.D., che attribuisce ad AgID le funzioni di emanazione di linee guida contenenti regole, standard e guide tecniche, nonché di indirizzo, vigilanza e controllo sull’attuazione e sul rispetto delle norme del CAD, anche attraverso l’adozione di atti amministrativi generali, in materia di agenda digitale, digitalizzazione della pubblica amministrazione, sicurezza informatica, interoperabilità e cooperazione applicativa tra sistemi informatici pubblici e quelli dell’Unione europea, ne costituiscono l’attuazione, secondo la procedura di adozione dettata dall’art. 71 del CAD.

Sebbene sia ancora aperta la questione sul carattere vincolante degli atti di soft law emanati dalle agenzie governative, le linee guida in materia di sicurezza informatica nel procurement pubblico, introducono una serie di indicazioni e di prescrizioni ai cui le pubbliche amministrazioni, secondo quanto si legge, hanno l’obbligo di conformarsi ove si tratti di acquisti classificati come “critici” (in base al valore, alla durata o al tipo di prestazione richiesta), e di  acquisti ICT operati dalle centrali di committenza, nell’interesse di Ministeri, Enti centrali, Regioni e città metropolitane.

L’obiettivo delle linee guida è di illustrare in maniera semplice e immediatamente fruibile la tematica della sicurezza nel procurement ICT, di formalizzare definizioni e concetti legati alla sicurezza, rendendoli coerenti con la norme e con il contesto della pubblica amministrazione e presentare buone prassi, soluzioni già in uso, oltre che misure semplici da adottare (strumenti operativi, esempi pratici, riferimenti puntuali), per verificare il livello di sicurezza degli attuali processi di acquisizione.

Le prescrizioni contenute nelle linee guida, riguardano l’intero procedimento di approvvigionamento di beni e servizi informatici, dalla pianificazione degli acquisti, alla redazione del bando e del disciplinare, fino alla fase di esecuzione del contratto.

In sede di pianificazione degli acquisti, viene infatti in rilievo la valutazione del fornitore, la definizione di una metodologia di audit interno, in materia di sicurezza informatica, nonchè l’analisi del fabbisogno dell’amministrazione.

Quanto alla fase del procurement vero e proprio, le linee guida aiutano l’amministrazione nella definizione dei contenuti della lex specialis e nella scelta dello strumento di procurement più idoneo per l’acquisto, considerando il livello di rischio della fornitura.

Ad esempio, l’amministrazione potrebbe effettuare acquisizioni di bassa criticità sul MEPA, o comunque verificando che il bando MEPA di riferimento contenga requisiti di sicurezza adeguati all’acquisizione da effettuare.

Al contrario, per acquisizioni classificate di alta criticità, l’amministrazione potrebbe, ad esempio, vagliare l’opportunità di servirsi di eventuali accordi quadro disponibili che prevedano requisiti di sicurezza adeguati per quel grado di criticità.

Infine, in fase di esecuzione, le linee guida forniscono indicazioni per mantenere alto il livello di sicurezza dei sistemi acquistati.

Determinazione AgID m. 220/2020 – Linee Guida Agid per la sicurezza nel procurement ICT

[https://trasparenza.agid.gov.it/archivio28_provvedimenti-amministrativi_0_122261_725_1.html]