Al fine di indicare alle Pubbliche Amministrazioni le misure minime per la sicurezza ICT che debbono essere adottate per contrastare le minacce più comuni e frequenti cui sono soggetti i loro sistemi informativi, l’AgID ha provveduto ad emanare l’elenco ufficiale delle “Misure minime per la sicurezza ICT delle pubbliche amministrazioni” che, a seguito della pubblicazione in Gazzetta Ufficiale (Serie Generale n.103 del 5-5-2017) della Circolare 18 aprile 2017, n. 2/2017, sono divenute di obbligatoria adozione per  tutte le Amministrazioni entro il 31 dicembre 2017.
Le Misure, che si articolano sull’attuazione di controlli di natura tecnologica, organizzativa e procedurale, prevedono tre livelli di attuazione. Il livello minimo è quello al quale ogni Pubblica Amministrazione, indipendentemente dalla sua natura e dimensione, deve necessariamente essere o rendersi conforme. I livelli successivi rappresentano situazioni evolutive in grado di fornire livelli di protezione più completi, e dovrebbero essere adottati fin da subito dalle organizzazioni maggiormente esposte a rischi (ad esempio per la criticità delle informazioni trattate o dei servizi erogati), ma anche visti come obiettivi di miglioramento da parte di tutte le altre organizzazioni.
L’adeguamento delle Pubbliche Amministrazioni alle misure minime di sicurezza deve avvenire dunque in tempi ormai molto stretti, ovvero entro il 31/12/2017.
Come parte del processo di adeguamento, il dirigente responsabile dell’attuazione deve compilare e firmare digitalmente il “Modulo di implementazione” allegato n.2 alla Circolare 18 aprile 2017, n. 2/2017.
L’anzidetto modulo va conservato e, in caso di incidente informatico, trasmesso al CERT-PA insieme alla segnalazione dell’incidente.
In caso di incidente informatico o di data breach (violazioni di sicurezza) di dati personali, è altresì obbligatoria la segnalazione al Garante della Privacy. Il Garante in questo caso svolgerà delle ispezioni presso l’Ente che ha subito l’attacco – al fine di verificare le misure di sicurezza adottate – ed eventualmente comminare delle sanzioni, che possono essere molto salate.
Alla luce del  nuovo Regolamento Europeo (2016/679) le sanzioni amministrative pecuniarie saranno inflitte in funzione delle circostanze di ogni singolo caso, tenendo dunque conto della natura, della gravità e della durata della violazione, di eventuali precedenti violazioni e di eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso.

Avv. Federica Spuri Nisi