AgID ha pubblicato le “Linee Guida per la sicurezza nel procurement ICT” atte a fornire indicazioni alle PA e ai fornitori per garantire che beni e servizi informatici acquistati dalle PA nell’ambito di gare d’appalto o contratti quadro rispondano ad adeguati livelli di sicurezza.
Il documento è stato elaborato da un tavolo di lavoro promosso dal Nucleo per la Sicurezza Cibernetica (NSC) del Dipartimento Informazioni per la Sicurezza presso la Presidenza del Consiglio dei Ministri, di cui ha fatto parte anche AgID insieme ad altre amministrazioni centrali.
Obiettivi delle Linee Guida
Il documento ha la finalità di:
– illustrare in modo semplice la problematica della sicurezza nel procurement ICT;
– formalizzare definizioni e concetti legati alla sicurezza nel procurement ICT, rendendoli coerenti con la norma e con il contesto della pubblica amministrazione;
– presentare buone prassi, soluzioni già in uso, misure semplici da adottare (strumenti operativi, esempi pratici, riferimenti puntuali), per verificare il livello di sicurezza degli attuali processi di acquisizione ed eventualmente per migliorarne la qualità.
I destinatari delle Linee Guida
Le Linee Guida si rivolgono alle pubbliche amministrazioni e agli operatori di mercato. Sono destinate in primo luogo ai dirigenti e ai funzionari delle pubbliche amministrazioni, con particolare riferimento a tutti coloro che all’interno delle PA si occupano a vario titolo di acquisizione di strumenti informatici: dirigenti, funzionari, RUP delle gare pubbliche, responsabili della transizione al digitale, responsabili dell’organizzazione, pianificazione e sicurezza.
Inoltre, il documento offre indicazioni utili anche agli operatori di mercato e ai fornitori che offrono soluzioni Ict alle PA. Per questi ultimi è opportuno, infatti, essere a conoscenza delle problematiche legate alla sicurezza nel procurement ICT delle pubbliche amministrazioni, in modo che siano pronti a recepire le richieste dei committenti senza impatti rilevanti sulle negoziazioni, e anzi con spirito di collaborazione. Si ritiene infatti che stabilire un lessico comune e condividere gli obiettivi di sicurezza possa rappresentare un vantaggio per i clienti ma anche per i fornitori, rendendo più efficienti le clausole dei contratti e aprendo nuovi spazi di mercato.
I contenuti del documento vanno intesi in termini di suggerimenti, buone pratiche e procedure cui allinearsi, anche sulla base della rilevanza e dei profili di criticità delle varie acquisizioni ICT da condurre.