Recentemente è stata pubblicata sulla Gazzetta Ufficiale  (Serie Generale n.79 del 4 aprile 2017) la Circolare AgID 17 marzo 2017, n. 1/2017, recante le attese “Misure minime di sicurezza ICT per le pubbliche amministrazioni”.

Emesse dall’Agenzia per l’Italia Digitale nei suoi poteri di dettare indirizzi, regole tecniche e linee  guida  in  materia  di sicurezza informatica, anche in ottemperanza alla direttiva del 1° agosto 2015 del Presidente del Consiglio dei ministri che impone  l’adozione di  standard minimi di prevenzione e reazione a eventi cibernetici, le Misure minime erano già state anticipate sui siti Web di AgID e del CERT-PA nel settembre 2016, dopo essere state approvate dopo una lunga consultazione con le Pubbliche Amministrazioni e il Nucleo di Sicurezza Cibernetica.

Ora, con la pubblicazione in Gazzetta, la loro adozione diviene formalmente obbligatoria per tutte le Pubbliche Amministrazioni che hanno tempo fino al 31 dicembre per adottarne le prescrizioni.

Le misure prevedono tre livelli di attuazione: quello minimo rappresenta la linea di base cui ogni amministrazione, indipendentemente dalla sua natura e dimensione, deve necessariamente essere conforme; quello intermedio o standard rappresenta la situazione di riferimento per la maggior parte della amministrazioni; quello superiore rappresenta un optimum che dovrebbe essere adottato da tutte le amministrazioni maggiormente esposte a rischi (per esempio per la criticità delle informazioni trattate o dei servizi erogati) ma anche visto come obiettivo di miglioramento da parte di tutte le altre amministrazioni. Da ricordare il GDPR, il nuovo regolamento europeo per la protezione dei dati personali:  trattandosi di un regolamento e non di una direttiva, non richiede una legge nazionale per essere recepito, ed è quindi già in vigore in tutta l’UE sin dal momento della sua pubblicazione sulla Gazzetta Ufficiale dell’Unione.

Sono tuttavia previsti due anni di tempo per consentire a tutti gli Stati membri di adottarne le prescrizioni. L’Italia già possiede una normativa nazionale particolarmente stringente e concettualmente assai vicina all’impianto del GDPR, quindi il passaggio alle nuove disposizioni non dovrebbe essere troppo oneroso per tutte le organizzazioni “virtuose” che già gestiscono la privacy a regola d’arte. Da sottolineare, in quanto misura completamente nuova, l’obbligo, a carico di chiunque gestisca dati personali altrui, di notificare alle competenti autorità ogni violazione degli stessi.