Linee guida per infrastrutture e sicurezza nella pubblica amministrazione

byDomenico De Rosa
Diagramma di sicurezza informatica e infrastruttura cloud

1. Introduzione

La trasformazione digitale della Pubblica Amministrazione italiana rappresenta un pilastro strategico per l’efficienza, la trasparenza e la sicurezza dei servizi pubblici. In questo contesto, l’adozione di infrastrutture sicure e resilienti, unitamente a rigorose politiche di sicurezza informatica, è diventata un’esigenza inderogabile. A tal proposito, l’Agenzia per l’Italia Digitale (AgID), insieme all’Agenzia per la Cybersicurezza Nazionale (ACN), ha elaborato Linee Guida vincolanti per indirizzare le PA verso standard di sicurezza e architetture infrastrutturali moderne, conformi al quadro normativo europeo e nazionale.

Diagramma di sicurezza informatica e infrastruttura cloud

2. Riferimenti Normativi

Le linee guida trovano fondamento in una serie di disposizioni legislative, tra cui:

  • Codice dell’Amministrazione Digitale (CAD) – D.Lgs. 82/2005 e s.m.i.
  • Regolamento (UE) 2016/679 (GDPR) e D.Lgs. 101/2018
  • Decreto Legge 76/2020 (Decreto Semplificazioni)
  • Decreto Legislativo 65/2018 – Recepimento Direttiva NIS (Network and Information Security)
  • Piano Triennale per l’Informatica nella PA – documento strategico AgID
  • Regolamento ACN e provvedimenti tecnici dell’Agenzia per la Cybersicurezza Nazionale

3. Infrastrutture Digitali: Linee Guida e Obiettivi

Le infrastrutture IT delle PA devono garantire:

  • Alta disponibilità, continuità operativa e resilienza
  • Scalabilità per gestire l’incremento del carico informatico
  • Sostenibilità ambientale ed efficienza energetica
  • Conformità a standard internazionali (ISO/IEC 27001, ISO 22301, ISO 20000)

3.1 Migrazione al Cloud

Secondo il Piano Triennale 2024-2026, le PA devono migrare i propri servizi su:

  • Cloud qualificati (Polo Strategico Nazionale – PSN) o
  • Cloud pubblici qualificati da ACN

L’obiettivo è garantire sovranità digitale e protezione dei dati critici e strategici, promuovendo l’adozione del modello cloud-first.

3.2 Interoperabilità e Architettura a Microservizi

Le nuove infrastrutture devono rispettare i principi di:

  • Interoperabilità fra sistemi, come previsto dalle Linee Guida AgID sull’interoperabilità tecnica
  • Modularità e architettura a microservizi, per favorire manutenibilità e aggiornabilità dei sistemi

4. Sicurezza Informatica: Approccio e Misure Obbligatorie

Le Linee Guida di sicurezza per la PA si basano sul principio del “security by design & by default”. Ogni amministrazione deve adottare misure che includano:

4.1 Valutazione del Rischio (Risk Assessment)

Ogni ente deve redigere un Documento di Analisi del Rischio, identificando:

  • Vulnerabilità
  • Minacce
  • Impatti potenziali
  • Contromisure da adottare

4.2 Nomina del Responsabile della Sicurezza ICT (CISO)

È raccomandata la presenza di un Chief Information Security Officer (CISO) o, in alternativa, la definizione di un gruppo di lavoro sulla sicurezza, in collaborazione con ACN.

4.3 Adozione di Policy di Sicurezza

Le PA devono adottare almeno i seguenti documenti:

  • Piano di Sicurezza ICT
  • Disciplinare per l’uso sicuro delle risorse informatiche
  • Piano di Continuità Operativa e Disaster Recovery
  • Politiche di backup e di cifratura dei dati

4.4 Monitoraggio e Incident Response

Le PA devono attivare sistemi di:

  • Log Management
  • Monitoraggio proattivo
  • Piani di gestione degli incidenti (Incident Response Plan)
  • Notifica obbligatoria delle violazioni (data breach) secondo il GDPR (entro 72h)

5. Ruolo dell’ACN (Agenzia per la Cybersicurezza Nazionale)

Dal 2022, l’ACN ha assunto un ruolo centrale nella definizione delle misure minime di sicurezza e nella qualificazione dei servizi cloud.

Ogni amministrazione deve attenersi alle “Misure minime di sicurezza ICT per le PA” aggiornate al 2023, suddivise in tre livelli di maturità: base, intermedio, avanzato.

L’ACN ha poteri ispettivi e sanzionatori in caso di inosservanza.

6. Verifiche, Audit e Responsabilità

Le PA sono soggette a:

  • Verifiche da parte della Corte dei Conti in caso di danno erariale causato da negligenze nella sicurezza ICT
  • Controlli del Garante per la Privacy
  • Ispezioni ACN o AgID

L’inadempienza può configurare:

  • Responsabilità dirigenziale (art. 21 D.Lgs. 165/2001)
  • Responsabilità contabile
  • Violazione della normativa privacy (sanzioni da GDPR fino a 20 milioni di euro o 4% del fatturato)

7. Conclusioni e Raccomandazioni Operative

Le linee guida per infrastrutture e sicurezza nella PA non rappresentano solo un adempimento normativo, ma un passaggio culturale fondamentale per proteggere i servizi pubblici, i dati personali dei cittadini e la sovranità digitale nazionale.

Raccomandazioni principali:

  • Effettuare un audit completo delle infrastrutture IT
  • Pianificare la migrazione al cloud qualificato
  • Rafforzare la governance della sicurezza informatica
  • Formare costantemente il personale su cyber hygiene e phishing awareness
  • Implementare una strategia di lungo termine per la resilienza digitale

Possono interessarti

I pidocchi: Ecco cosa sono!

I pidocchi sono dei piccoli insetti parassiti che si nutrono di sangue. Possono essere classificati in pidocchi del capo, pidocchi…