Docs Italia beta

Documenti pubblici, digitali.

Linee guida sicurezza nel procurement ICT
Progetto: Documenti in consultazione
Amministrazione: AGID
Informazioni
Sorgente
Azioni

4. Indicazioni per le centrali di committenza

Si premette che le indicazioni elencate nei paragrafi precedenti si applicano, in generale, anche alle centrali di committenza. In particolare, le azioni AP2, AP3 e AP4 sono da ritenersi obbligatorie, per le centrali di committenza, quando queste svolgano iniziative di acquisizione ICT nell’interesse di Ministeri, Enti centrali, Regioni e città metropolitane.

In aggiunta, si ritiene che le centrali di committenza, per il ruolo che hanno nelle acquisizioni pubbliche di beni e servizi, possono fungere da enti attuatori di miglioramenti/evoluzioni per gli aspetti di sicurezza delle forniture ICT. Anche sulla base dei risultati della rilevazione citata al paragrafo precedente, si propone alle centrali di committenza di:

  • instaurare una collaborazione con il CVCN per il recepimento tempestivo, nelle gare curate dalle centrali di committenza, delle raccomandazioni in materia di sicurezza ICT;
  • inserire clausole di compliance alle indicazioni in materia di sicurezza sulle gare in corso che passi attraverso anche i comitati di governo (per le gare che li prevedono);
  • prevedere, per le gare che comprendono gestione di sistemi o fornitura di servizi di sicurezza, non solo flussi informativi sugli eventi critici verso l’amministrazione contraente, ma anche verso il CERT-PA e gli altri organismi a presidio della sicurezza cibernetica;
  • per le gare che prevedono centri servizi o servizi web, qualora si ritenga applicabile la misura, verificare la sicurezza tramite vulnerability assessment e penetration test. Il governo di queste verifiche potrebbe essere a cura di un organismo centrale (CVCN, CERT-PA, altri) in collaborazione col comitato di governo della fornitura;
  • sensibilizzare i fornitori al fine di anticipare le tendenze e le possibili problematiche di sicurezza che possono presentarsi (consultazioni di mercato mirate alla sicurezza);
  • costruire, in accordo con ANAC, un elevato livello di cultura e formazione delle Commissioni di valutazione delle gare in ambito sicurezza (vedi paragrafo 2.2.4);
  • svolgere un ruolo di omogeneizzatore/armonizzatore degli approcci di sicurezza e delle tecnologie di sicurezza erogati nell’ambito delle forniture della PA.