L’Agenzia per l’Italia Digitale con le “Linee Guida sulla sicurezza nel procurement ICT” ha scelto di disciplinare la materia dell’approvvigionamento pubblico in modo differenziato in base agli esiti della valutazione dei rischi. Una decisione che appare indubbiamente condivisibile.
Il merito maggiore sta nell’aver messo in evidenza il possibile impatto della gestione ICT dell’appalto sulla riservatezza, integrità, disponibilità ed autenticità dei dati relativi alla procedura e, più in generale, sul patrimonio informativo delle amministrazioni. Affinché l’obbiettivo di sicurezza possa essere centrato sarà dunque necessario implementare adeguate misure di sicurezza, non solo preventive, ma anche reattive.
Il contesto
Da sottolineare che l’applicazione delle nuove tecnologie sta rivoluzionando l’intero processo di produzione e scambio di beni e servizi. Il vento fecondo dell’innovazione digitale spira su tutti i settori del libero mercato, giungendo fino all’ambito della contrattualistica pubblica in cui, oggi più mai, si percepisce l’importanza del Procurement 4.0. Con questa espressione si indica l’utilizzo degli strumenti informatici e telematici nelle diverse fasi del procedimento: non soltanto in quello dell’approvvigionamento in senso stretto, successivo all’aggiudicazione della gara, ma anche nella fase di scelta del contraente e nelle procedure ausiliarie e collaterali. I vantaggi dell’eprocurement in termini di semplificazione amministrativa, trasparenza e accessibilità alle gare appaiono piuttosto evidenti, come dimostrato dall’ampia diffusione di piattaforme a ciò dedicate nella maggior parte degli Stati tecnologicamente avanzati.
Non potrebbe tuttavia tacersi l’esistenza di ineliminabili costi di gestione, dovuti alla necessità di garantire, in ogni fase della procedura, la protezione dei dati e delle informazioni. La cyber security è ormai divenuta un leitmotiv nell’azione del legislatore che sempre più spesso si affida a strumenti normativi flessibili e a strategie di compliance per il raggiungimento dell’obiettivo sicurezza. In questa direzione si muovono le linee guida Agid.
Genesi e oggetto delle linee guida
Frutto dell’iniziativa del Nucleo per la Sicurezza Cibernetica del Dipartimento Informazioni per la Sicurezza e del contributo di alcune pubbliche amministrazioni centrali, le Linee guida nascono con l’obiettivo di fornire uno standard tecnico-gestionale di sicurezza per le procedure di approvvigionamento di beni e servizi informatici delle PA.
Il documento non può certo definirsi come un “manuale tecnico”, ma piuttosto come un consolidamento delle best practices, a cui le amministrazioni, da un lato, e i fornitori, dall’altro, sono tenuti ad allinearsi. Esso risponde a tre distinte finalità, che potremmo così definire:
- illustrare in maniera semplice e immediatamente fruibile la problematica della sicurezza nel procurement ICT;
- enucleare i concetti fondamentali e le definizioni dell’information security nel predetto ambito, rendendoli coerenti con le norme che regolano l’agere pubblico;
- individuare le misure di assessment/management per la sicurezza degli attuali processi di acquisizione.
Le linee guida si pongono come strumento ausiliario in un panorama già caratterizzato dall’esistenza di norme internazionali (e.g. ISO/IEC 27001:2014) e da un disciplinare tecnico di base (“Misure minime di sicurezza” di cui alla Circolare AgID n. 2/2017), offrendo una utile bussola per la corretta gestione delle attività che le amministrazioni e i fornitori dovranno svolgere.
Oggetto e destinatari
Le linee guida, rivolte principalmente ai dirigenti e ai funzionari delle stazioni appaltanti, sono ordinate secondo un criterio temporale, in base alle procedure da svolgere prima della fase di scelta del contraente, dopo l’espletamento della gara, ovvero in quella successiva alla stipula del contratto. Le indicazioni fornite saranno obbligatorie per le forniture ritenute critiche dall’amministrazione committente, mentre soltanto facoltative per quelle non critiche.
Tra le azioni che le amministrazioni sono tenute ad eseguire prima della fase di procurement, vi sono quelle proiettate alla predisposizione di risorse competenti nel settore della sicurezza, nonché alla formazione e sensibilizzazione del personale sui rischi derivanti dalla gestione informatizzata della procedura. Le stazioni appaltanti devono provvedere a redigere un inventario degli asset informatici in possesso della stessa e definire, ruoli e responsabilità connesse con la sicurezza del procurement ICT, identificando profili idonei e assegnando incarichi formali, e classificando, poi, i beni e servizi in termini di criticità mediante attività di Risk Assessment e Business Impact Analisys. Le azioni richiamate hanno perlopiù carattere generale e strategico-organizzativo.
I livelli di criticità dell’acquisizione
Nel corso del procedimento di acquisizione, che comprende anche la stesura della documentazione di gara, l’amministrazione è chiamata a determinare i livelli di criticità dell’acquisizione, verificando anzitutto i beni e servizi su cui avrà impatto. All’esito di tale valutazione, la stazione appaltante dovrà scegliere lo strumento di l’acquisizione (piattaforma MEPA, accordi quadro, gara), tenendo conto dei livelli di criticità e dell’esistenza o meno di requisiti di sicurezza adeguati. Così, ad esempio, qualora gli accordi quadro prevedano requisiti di sicurezza inadeguati per quel grado di criticità, si dovrebbe avviare la gara esplicitando gli opportuni requisiti di sicurezza.
In quest’ultimo caso, l’amministrazione dovrà inserire nel capitolato i suddetti requisiti, differenziando quelli che l’offerta del fornitore deve obbligatoriamente prevedere da quelli meramente opzionali, nominando almeno un commissario che abbia competenze in materia di sicurezza delle informazioni. A differenza delle azioni precedenti, che sono generali e di tipo strategico-organizzativo, queste sono operative, e dipendono dalle caratteristiche della singola acquisizione. Infine, le azioni da svolgere dopo la stipula del contratto (in esecuzione e/o a posteriori) dipendono dalla tipologia di fornitura e si traducono in verifiche del soddisfacimento di requisiti definiti in fase di acquisizione e presenti nel capitolato di gara, oppure di dichiarazioni presenti nell’offerta tecnica del fornitore.
Conclusioni
“Security is not a product, but a process”. Se potessimo distillare l’essenza delle linee guida attualmente in consultazione, potremmo notare in vitro un approccio alla sicurezza informatica basato sull’adeguamento dei processi gestionali. Il raggiungimento dell’obiettivo sicurezza dipende in prima battura dal fattore umano, e solo secondariamente dall’utilizzo di prodotti IT certificati come sicuri.
In tal senso le best practises di settore sono un tassello da collocare nell’ambito di una sovrastruttura normativa complessa, che se da un lato tende verso la standardizzazione delle procedure e la settorializzazione delle competenze tecniche, dall’altro non può prescindere dalla predisposizione di strumenti in grado di diffondere la consapevolezza di un costante aggiornamento sui rischi connessi all’utilizzo delle nuove tecnologie.
