Docs Italia beta

Documenti pubblici, digitali.

Linee guida sicurezza nel procurement ICT
Progetto: Documenti in consultazione
Amministrazione: AGID
Informazioni
Sorgente
Azioni

3. Indicazioni per AGID

Il tavolo di lavoro ha identificato, anche sulla base dei risultati di una rilevazione condotta nell’ambito delle organizzazioni coinvolte nei lavori (vedi paragrafo 1.1), quali, tra le esigenze delle amministrazioni pubbliche sul tema della sicurezza nel procurement ICT, potrebbero essere soddisfatte da una struttura centrale di indirizzo, supporto e mediazione quale l’AGID.

Nei paragrafi che seguono vengono elencati i compiti che l’Agenzia potrebbe svolgere in modo istituzionale, eventualmente formalizzandoli in una futura edizione del Piano Triennale.

3.1. Presidiare la tematica “sicurezza nel procurement ICT”

Il presente documento, come detto, si configura come una delle linee guida AGID ai sensi dell’art. 71 del CAD, ed ha pertanto la valenza giuridica prevista dal Codice stesso.

L’Agenzia è responsabile della manutenzione e dell’aggiornamento di questo documento, con modalità e tempistica da definirsi, comunque in coerenza con le prescrizioni dell’art. 71 del CAD.

Almeno per i primi 6 mesi dalla pubblicazione di questo documento, l’AGID ne promuove la diffusione e il recepimento. Ciò avverrà tramite seminari, presentazioni ed eventi per illustrarne il contenuto alle amministrazioni. Sarà fornito anche un supporto a richiesta, ad esempio tramite una casella di posta elettronica, presidiata da AGID, per spiegazioni e chiarimenti sui contenuti del documento.

Al termine del primo periodo, le domande/risposte raccolte formeranno una FAQ o la base per altri strumenti automatici di supporto per le amministrazioni, che saranno messi a disposizione su una pagina specifica del sito web di AGID, dedicata appunto al tema della sicurezza nel procurement ICT. Inoltre i riscontri ottenuti nel primo periodo saranno utilizzati per una revisione del documento (in particolare, per estendere e modificare l’appendice A, che al momento contiene solo alcuni esempi, e che dovrebbe invece diventare una sorta di “massimario”per i requisiti di sicurezza nei capitolati).

AGID monitorerà l’applicazione delle linee guida con un questionario annuale indirizzato – a campione – alle amministrazioni, ove verranno richieste informazioni sugli strumenti adottati e sui risultati conseguiti.

3.2. Veicolare best practice tra le PA

Come anticipato al paragrafo 2.1.2, AGID fungerà da punto di raccolta e diffusione di casi di studio - tratti dalle esperienze positive e negative delle amministrazioni - sul tema della sicurezza nel procurement ICT.

Sarà creato un Forum, moderato da AGID, cui le amministrazioni si potranno iscrivere e postare la loro esperienza, le criticità che hanno riscontrato, le soluzioni che hanno adottato, le scelte cui sono pervenute. AGID supervisionerà il Forum, approverà i contributi delle amministrazioni, eventualmente effettuando opportune azioni a tutela della privacy e della libera concorrenza (es. rimozione di nomi e marchi di prodotti), deriverà statistiche e trend.

AGID metterà in contatto amministrazioni con esigenze e problematiche simili (ove l’Agenzia ne venga a conoscenza e le suddette amministrazioni offrano disponibilità) eventualmente partecipando agli incontri tra le amministrazioni interessate o mediando in posizione di terzietà.

Il Forum, come le FAQ, un archivio di modelli contrattuali, e altri strumenti di collaboration, saranno resi disponibili per l’accesso sul sito istituzionale dell’Agenzia, in una pagina dedicata alla sicurezza nel procurement ICT.

3.3. Introdurre la tematica nei pareri

I pareri resi da AGID sui contratti pubblici ai sensi dell’art. 14bis comma 2 lettera f) del CAD diverranno anche uno strumento di verifica e ausilio alle amministrazioni per il recepimento delle indicazioni delle Linee Guida sulla sicurezza nel procurement ICT.

A oggi i pareri, oltre alla tradizionale valutazione di congruità tecnico-economica, contengono anche uno specifico paragrafo dedicato alla coerenza tra le caratteristiche dell’iniziativa in esame e le indicazioni del Piano Triennale (es. uso delle piattaforme immateriali, sviluppo applicativo anche sotto forma di API, riuso e apertura delle basi dati, …). Allo stesso modo, sarà introdotto nei pareri un paragrafo «Sicurezza nel procurement». In tale paragrafo, l’iniziativa in esame verrà analizzata e classificata in base alla rispondenza ai criteri metodologici e procedurali definiti nelle Linee Guida; in caso di non rispondenza o di rispondenza parziale a detti criteri, il parere suggerirà opportune modifiche all’iniziativa in esame per garantire un livello minimo di sicurezza non solo all’iniziativa stessa, ma più in generale alla linea progettuale e ai servizi istituzionali dell’amministrazione cui l’iniziativa afferisce.

Questa innovazione nei pareri sarà presentata tramite una specifica circolare AGID, ove verranno schematizzate le informazioni sul tema della sicurezza che l’amministrazione dovrà inserire nella richiesta di parere, ad esempio una check-list che elenchi come vengono applicate nell’iniziativa in esame le indicazioni delle Linee Guida.

3.4. Introdurre la tematica nel monitoraggio

In termini complementari al punto precedente, la tematica sicurezza sarà introdotta anche nelle attività di monitoraggio dei contratti ai sensi dell’art. 14bis comma 2 lettera h) del CAD. Com’è noto, il monitoraggio rappresenta un’attività strumentale al governo dei progetti pubblici, e si raccorda con i pareri costituendone una sorta di prosecuzione temporale (i pareri intervengono in fase ex-ante, mentre il monitoraggio avviene in itinere ed ex-post alle iniziative delle amministrazioni).

Il monitoraggio, peraltro, ha una visibilità sui progetti delle PA che può essere superiore a quella dei pareri: le circolari AGID sul monitoraggio indirizzano infatti le seguenti amministrazioni:

  • amministrazioni centrali dello Stato;
  • regioni e provincie autonome e gli enti a loro collegati, ovvero enti pubblici vigilati ai sensi degli art. 22, c. 1, lettera a); art. 22, c. 2, 3 del D.Lgs. 33/2013);
  • ASL, Aziende Ospedaliere e ospedali universitari;
  • città metropolitane.

La normativa prevede inoltre che siano sottoposti a monitoraggio le iniziative che, indipendentemente dalle dimensioni economiche:

  • si riferiscano a servizi che interessino la sicurezza dello Stato, la difesa nazionale, l’ordine e la sicurezza pubblica, lo svolgimento di consultazioni elettorali nazionali ed europee;
  • abbiano un rilevante impatto sotto il profilo organizzativo o dei benefici che si prefiggono di conseguire;
  • che l’Agenzia ritenga necessario sottoporre a monitoraggio.

Sulla base di quanto sopra, si ritiene che il monitoraggio costituisca uno strumento efficace per la verifica della sicurezza nel procurement ICT. Si propone di inserire, tra l’elenco degli indicatori di monitoraggio, uno o più indicatori specifici sul tema sicurezza nel procurement, e di aggiornare di conseguenza gli schemi di RAC (rapporto di avanzamento, di chiusura, relazione ex post).

3.5. Adeguare la tempistica delle gare Consip a esigenze di sicurezza

Presidiare la tematica della sicurezza significa anche verificare che siano costantemente disponibili, per le amministrazioni, adeguati (e sicuri) strumenti di acquisizione di prodotti e servizi ICT.

A tale scopo, AGID propone di tener conto anche di questo obiettivo nel pianificare, di concerto con la Consip, la tempistica delle gare che interessano sistemi e progetti critici sotto l’aspetto della sicurezza, evitando ad esempio situazioni in cui convenzioni e/o accordi quadro siano esauriti e i successivi non siano ancora disponibili perché le relative gare sono ancora da aggiudicare.