Se si parla di digitalizzazione, la sicurezza è un tema importante. Non a caso, garantire integrità, riservatezza e disponibilità delle informazioni è uno degli obiettivi del Piano triennale per l’informatica nella pubblica amministrazione. Da questo punto di vista, due ruoli cruciali saranno svolti dal CERT-PA e dalle Regole tecniche per la sicurezza ICT delle PA.

CERT-PA

Il CERT-PA (Computer Emergency Readiness/Response Team) fa parte di AgID e ha lo scopo di supportare le pubbliche amministrazioni nella prevenzione e negli interventi da fare in caso di incidenti di sicurezza informatica. Semplificando, si tratta di un soggetto che deve garantire la continuità operativa nelle pubbliche amministrazioni.

Più nello specifico, il Piano triennale prevede che il CERT-PA debba realizzare/attuare:

• La Cyber security knowledge base, una sorta di database nel quale sono raccolte le informazioni fondamentali sulle infrastrutture e sui sistemi di sicurezza;
• Il National vulnerability database, che elenchi tutti gli effettivi o possibili punti di debolezza del sistema informatico;
• Un sistema che renda disponibili strumenti e informazioni per prevenire eventuali problemi e malfunzionamenti informatici.

In aggiunta a questi quattro grandi punti, il CERT-PA dovrà anche fornire supporto nell’implementazione di sistemi per rispondere efficacemente in caso d’incidenti, per approfondire l’attività di monitoraggio di uno spazio digitale, per gestire non solo i problemi ma anche la successiva fase di ripristino.

Regole tecniche

Sempre nell’ottica dell’obiettivo sicurezza stabilito dal Piano triennale per l’informatica nella pubblica amministrazione, dovranno anche essere emanate le Regole tecniche per la sicurezza ICT delle PA. In tale documento saranno presenti le misure che tutte le pubbliche amministrazioni dovranno adottare.

Tra le varie indicazioni, due riguardano le infrastrutture fisiche. Ogni pubblica amministrazione, infatti, dovrà:

• Implementare un Sistema di gestione per la sicurezza delle informazioni;
• Individuare practice e sistemi adeguati per garantire il necessario livello di sicurezza, che dovrà essere adeguato all’infrastruttura ICT adottata e conforme alle indicazioni date dal CERT-PA in tema di sicurezza informatica.