Acquisti informatici, nel capitolato vanno inseriti i requisiti di sicurezza

di Maria Luisa Beccaria

25 Maggio 2020

Con le linee guida per l'approvvigionamento di beni e servizi informatici l'Agenzia per l'Italia digitale (Agid) si è rivolta alla pubblica amministrazione e agli operatori economici presentando buone prassi, strumenti operativi, esempi pratici, per verificare e implementare il livello di sicurezza dei processi di acquisizione.
Agid raccoglierà e divulgherà casi di studio ed esperienze delle amministrazioni e sarà moderatore di un Forum, cui le stazioni appaltanti potranno descrivere esperienze, criticità, soluzioni adottate. Approverà i contributi tutelando la privacy e la libera concorrenza, con rimozione dei nomi e dei marchi di prodotti, e metterà in contatto le Pa con esigenze e problematiche simili.
Per recepire le linee guida saranno utili i pareri di Agid sui contratti pubblici, in base all'articolo 14-bis comma 2 lettera f) del Dlgs 82/2005. I pareri prenderanno in considerazione non solo la valutazione di congruità tecnico-economica, e la coerenza con le indicazioni del piano triennale per l'informatica, ma analizzeranno anche la rispondenza ai criteri definiti nelle linee guida. Con apposita circolare saranno indicate le informazioni da inserire nella richiesta di parere.

Istruzioni
Agid ha sottolineato l'importanza della ricognizione di beni e servizi informatici, della classificazione degli stessi in termini di sicurezza, dell'utilità di un inventario aggiornato dei beni informatici, e anche dei servizi erogati dalla Pa al suo interno e agli utenti istituzionali (cittadini, imprese), e di una relazione tra i due inventari.
Deve essere scelto lo strumento di acquisto più adeguato. A seconda della criticità si potrà ricorrere ad accordi quadro, se l'acquisizione influisce su un servizio pubblico erogato dalla Pa ai cittadini, oppure su un bene e servizio richiesto da norme generali o speciali. Per gli acquisti di bassa criticità basta il Mepa.
Agid ha suggerito di inserire nel capitolato di gara requisiti di sicurezza, differenziando quelli obbligatori da quelli opzionali, che influiscono sul punteggio tecnico dell'offerta presentata.
Alcuni requisiti riguardano gli aspetti minimi di sicurezza del bene e/o servizio, le obbligazioni cui sono tenuti i fornitori (standard di riservatezza per la gestione delle informazioni/dati; standard sul trattamento di dati personali) e quelle per rendere efficace il monitoraggio della fornitura e l'attività di audit.
Inoltre ha elencato anche alcuni requisiti generali da inserire nei capitolati: tra gli altri il possesso della certificazione ISO/IEC 27001, oppure un sistema di gestione della sicurezza delle informazioni e/o la predisposizione di un piano di qualità secondo ISO 10005. Inoltre il fornitore deve disporre di una struttura per la prevenzione e gestione degli incidenti informatici, deve attrezzarsi con misure minime contro il rischio di attacchi informatici, provvedere alle eventuali bonifiche, garantire il rispetto della normativa sulla sicurezza cibernetica, anche in ordine al regolamento Ue 2016/679, dotare le reti di dispositivi di sicurezza perimetrale con funzioni di sicurezza (Firewall e sistemi di network detection ed event log monitoring, Siem), e deve impegnarsi a sottoscrivere una clausola di non divulgazione di dati e di informazioni dell'amministrazione.
Nel capitolato devono essere altresì identificate le misure di sicurezza organizzative e tecniche per i singoli trattamenti di dati personali, nonchè la suddivisione delle responsabilità tra amministrazione, titolare del trattamento, e fornitore, responsabile del trattamento.

Le line Guida di Agid per gli acquisti di software