Resoconto sulla presentazione, da parte del Comitato
tecnico nazionale per la sicurezza informatica e delle telecomunicazioni
nelle pubbliche amministrazioni, presso la sede del CNIPA
(Centro Nazionale per l’Informatica nella P.A.), del documento dal titolo
“Proposte concernenti le strategie
in materia di sicurezza informatica e delle telecomunicazioni per la P.A.”
di Giancarlo Barbon www.lidis.it
Come e’ noto, nell’ultimo decennio, in molti Paesi europei ed extraeuropei,
il tema della sicurezza informatica e’ stato al centro dell’interesse dei
vari Governi in carica, anche in virtù della pressione delle iniziative
assunte in sede
internazionale e sopranazionale, determinando la creazione di enti ed
organizzazioni che, all’interno dei diversi Paesi, hanno assunto,
soprattutto
nel settore pubblico, una sorta di leadership in tema di studi, direttive e
coordinamento delle iniziative in materia di sicurezza. Nel nostro Paese, le
iniziative più importanti ed organiche sono state quelle del Ministro per
l’Innovazione e le Tecnologie che, già nel documento dal titolo “Linee guida
del governo per lo sviluppo della Società dell’informazione”, al pr.1/21
aveva annunciato la redazione del Piano nazionale per la sicurezza e la
privacy, annuncio seguito dall’emanazione, di concerto con il Ministro
delle Comunicazioni, della fondamentale Direttiva 16 gennaio 2002, relativa
alla sicurezza informatica e delle telecomunicazioni nelle P.A.
L’azione e’ stata poi completata, nella sua prima fase, con la creazione,
mediante il Decreto interministeriale del 24 luglio 2002, del Comitato
nazionale sulla sicurezza informatica e delle telecomunicazioni nelle P.A.
I compiti affidati al Comitato tecnico nazionale per la sicurezza
informatica e delle telecomunicazioni
nelle P.A. sono indicati nell’art.2 del citato Decreto interministeriale e
riguardano la formulazione delle proposte concernenti le strategie in
materia di sicurezza informatica e delle telecomunicazioni per
la P.A. In particolare tali compiti sono venivano attribuiti ai fini :
a) della redazione del Piano nazionale della sicurezza delle tecnologie dell
’informazione e
comunicazione della P.A., di cui il Comitato verifica annualmente lo stato
di
avanzamento, identificando le eventuali misure correttive;
b) della predisposizione del modello organizzativo nazionale di sicurezza
ICT per la P.A., del quale il Comitato verifica la relativa attivazione e
applicazione.
Al Comitato sono poi attribuiti altri compiti in tema di regolamentazione
della
certificazione e valutazione della sicurezza, nonchè di formazione dei
dipendenti
pubblici in tema di sicurezza ICT.
Nella prima fase della sua attività il Comitato ha proposto la creazione di
un CERT per la P.A. e l’attuazione di un piano di sensibilizzazione e di
formazione dei pubblici dipendenti ai fini di garantire la sicurezza del
patrimonio
informativo della P.A., proposte accolte dal Comitato dei Ministri per la
Societa’ dell’informazione e finanziate con la somma di 2 milioni e mezzo di
euro ciascuna.
Nella seconda fase della sua attività il Comitato ha elaborato un nuovo
documento dal titolo “Proposte concernenti le strategie in tema di sicurezza
informatica e delle telecomunicazioni per le P.A.”, documento che e’ stato
presentato il 7 aprile di quest’anno presso la sede del CNIPA in una
riunione ristretta dedicata ai rappresentanti dei vari ministeri e di
alcuni enti territoriali.
Il documento in questione contiene le indicazioni atte a permettere la
redazione del Piano nazionale di sicurezza e la predisposizione del modello
organizzativo nazionale di sicurezza ICT per le P.A.
La presentazione del documento sopracitato e’ stata fatta dal Presidente del
Comitato, l’ing. Manganelli. Alcuni commenti sul documento sono stati fatti
dai membri
presenti del Comitato, l’ing. Guida ed il dott. Tonelli, e dal Magistrato
Sarzana di
S.Ippolito, esperto giuridico in forza al Comitato, il quale ha brevemente
illustrato alcuni punti del rapporto, soffermandosi in particolare sulle
problematiche relative ai riflessi giuridici dell’uso della posta
elettronica e dell’outsourcing nel settore pubblico.
Per quanto riguarda il primo argomento, Sarzana, riferendosi anche alle
iniziative in materia del ministro Stanca, sfociate nella Direttiva del
27.11.2003 avente come titolo “Impiego della posta elettronica nelle
pubbliche amministrazioni”, si e’ soffermato sui problemi relativi al
controllo dell’uso delle e-mail e della navigazione in internet da parte
dei dirigenti delle PA e sulle conseguenze giuridiche dell’uso per scopi
privati
delle nuove tecnologie da parte dei dipendenti, auspicando una riforma
normativa per sottrarre alla giustizia penale i comportamenti di per sè
stessi non
riprovevoli e sanzionabili in via amministrativa o disciplinare.
Per quanto riguarda il secondo argomento – e cioè il ricorso da parte delle
amministrazioni all’outsourcing in tema di sicurezza informatica – Sarzana
ha
commentato la posizione sostanzialmente contraria del Comitato rispetto a
tale soluzione, trattandosi di affidare delicatissimi compiti ad
organizzazioni estranee alla P.A., spesso senza curare che la “cabina di
regia” rimanesse saldamente nelle mani dell’amministrazione.
I partecipanti, con vari interventi, hanno manifestato plauso ed attenzione
alle iniziative del Comitato, sostanzialmente condividendo i motivi che
hanno spinto i ministri Stanca e Gasparri ad adottare iniziative in tema di
sicurezza informatica in ambito pubblico.
Il Presidente del Comitato ha richiesto ai rappresentanti delle varie
amministrazioni di far pervenire i loro commenti al documento, riservandosi
di aprire un apposito tavolo di dialogo con le stesse amministrazioni sull’
argomento.
Avv.Giancarlo Barbon
www.lidis.it