Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

GUIDA ALLA NORMATIVA

Continuità operativa e disaster recovery nelle PA: nuove regole per creare un piano operativo

I piani di continuità operativa e disaster recovery sono fondamentali, in ogni realtà, per mitigare il rischio di crash down. Ecco come le PA possono rispettare l’obbligo di adottarli alla luce dell’abrogazione dell’art. 50-bis CAD e all’interno del panorama normativo attuale

04 Ott 2019
C

Claudio Colacicco

Trainee Lawyer - Cybersecurity & IT


Primo fra i pericoli legati all’utilizzo delle tecnologie ICT è il rischio di crash down (blocco dei sistemi informatici), il quale potrebbe pregiudicare la continuità operativa dei sistemi e delle attività della Pubblica Amministrazione, laddove non siano stati preventivamente predisposti adeguati piani di recupero e ripristino delle funzionalità (disaster recovery).

Continuità operativa e disaster recovery: la vicenda dell’art. 50-bis CAD

L’art. 64 del D.lgs. n. 179/2016 ha abrogato l’art. 50-bis del CAD (“Continuità operativa”), il quale aveva ad oggetto l’obbligo per le amministrazioni di predisporre piani di emergenza in grado di assicurare la continuità delle operazioni indispensabili per il servizio ed il ritorno alla normale operatività.

In particolare, si disponeva che tutte le pubbliche amministrazioni dovessero adottare un piano di continuità operativa ed un piano di disaster recovery.

Il primo conteneva i principi e gli obiettivi da perseguire, descrivendo le procedure per la gestione della continuità operativa, le quali, a loro volta, potevano anche essere affidate a soggetti esterni.

Il piano inoltre, doveva tenere conto delle potenziali criticità relative a risorse umane, strutturali, tecnologiche e doveva contenere idonee misure preventive. Infine, le varie pubbliche amministrazioni avrebbero dovuto verificare la funzionalità del piano di continuità operativa con cadenza biennale.

Invece, il piano di disaster recovery, parte integrante di quello di continuità operativa, stabiliva le misure tecniche ed organizzative da adottare per garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione.

Infine, veniva affidato a DigitPA il compito di verificare annualmente il costante aggiornamento dei piani di disaster recovery delle amministrazioni interessate, e di dare un parere obbligatorio riguardante gli studi di fattibilità tecnica dei piani.

Continuità operativa e disaster recovery: aggiornamenti normativi

Il Consiglio di Stato, con parere interlocutorio n. 785 del 23 marzo 2016, reso nell’Adunanza del 17 marzo 2016, non aveva mancato di esprimere le proprie preoccupazioni riguardo l’abrogazione dell’art 50-bis, invitando l’Amministrazione ad illustrare meglio le ragioni delle scelte compiute, in particolare chiedendo più garanzia sulla sicurezza dei sistemi, dato che lo schema di Decreto non chiariva se quest’ultima fosse ancora assicurata.

Ciononostante, l’abrogazione del suddetto articolo è stata in seguito confermata dal Decreto nel testo definitivo. La Pubblica Amministrazione infatti, al fine di venire incontro alle indicazioni espresse dal Consiglio di Stato, ha rilevato che la disciplina in materia recata dall’abrogato art. 50-bis del CAD “è da ritenersi ricompresa nel novellato art. 51 del Codice, nella parte in cui dispone che le regole tecniche di cui all’art. 71 del CAD debbano anche individuare delle modalità che garantiscano l’esattezza, la disponibilità, l’accessibilità, l’integrità e la riservatezza dei dati, dei sistemi e delle infrastrutture informatiche, in attuazione, peraltro, del criterio di delega di cui all’art. 1. comma 1, lett. m) della Legge n. 124 del 2015” (Consiglio di Stato, Commissione Speciale, 17 maggio 2016, parere n. 1024/2016).

Inoltre, il dicastero proponente, “ha sottolineato che le regole tecniche di cui all’art. 71 del CAD risultano uno strumento più flessibile rispetto al disposto del citato art. 50-bis del CAD” e, dunque, maggiormente idoneo a tener conto dell’evoluzione tecnologica del settore, “circostanza quest’ultima di sicuro rilievo, atteso che la progettazione e realizzazione di soluzioni per la continuità operativa ed il disaster recovery sono fortemente dipendenti dalle tecnologie in rapida evoluzione” (Consiglio di Stato, parere n. 1024/2016).

Inoltre, vi è da ricordare che, al fine di garantire adeguate misure di continuità operativa e contro i rischi da alluvioni o altre calamità, il D.P.C.M. 22 febbraio 2013 (Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali), prevede che i certificatori debbano definire piani per la sicurezza, la continuità operativa e il disaster recovery.

In tal modo, il profilo della continuità operativa dei sistemi è stato comunque garantito, e la Commissione speciale del Consiglio di Stato non ha potuto che prendere atto di quanto comunicato dall’Amministrazione in merito alle motivazioni sottese alla decisione di procedere all’abrogazione dell’art. 50-bis del CAD, atteso che “tale decisione non risulta né illogica né irragionevole e non si pone in contrasto con i criteri di delega recati dalla normativa di rango primario di riferimento” (Consiglio di Stato, parere n. 1024/2016).

Evitata ogni possibile lacuna normativa

Da ultimo, bisogna rilevare come, già con lo stesso D.lgs. 26 agosto 2016, n. 179, in ossequio al succitato parere del Consiglio di Stato, si sia provveduto ad un’integrazione della disciplina recata dall’art. 51 CAD, al fine di evitare la creazione di eventuali lacune normative in una materia così delicata.

Nello specifico, l’art. 41, comma 1, lett. a), del D.lgs. 26 agosto 2016, n. 179, ha inserito, all’interno dell’art. 51, comma 1 del CAD, un esplicito richiamo alla continuità operativa dei sistemi e delle infrastrutture informatiche delle pubbliche amministrazioni, facendo in modo, dunque, che le Linee guida adottate ai sensi dell’art. 71 CAD, individuino le soluzioni tecniche idonee a garantire anche quest’ultimo profilo.

Inoltre, il D.lgs. 13 dicembre 2017, n. 217, ha inserito nell’impianto dell’art. 51 CAD, il comma 2-quater, il quale obbliga le pubbliche amministrazioni tenute all’attuazione del CAD, alla predisposizione di piani di emergenza, conformi alle Linee guida di AgID, in grado di assicurare sia la continuità operativa delle operazioni indispensabili a garantire la fruibilità dei servizi, sia il ritorno alla normale operatività.

Nel far questo, si prevede la possibilità di ricorrere allo strumento degli accordi fra le pubbliche amministrazioni (art. 15, L. 7 agosto 1990, n. 241), con ristoro dei soli costi di funzionamento. La ratio di tale disposizione è quella di assicurare che anche gli enti che non dispongono di particolari risorse umane ed economiche, possano comunque garantire gli standard minimi di sicurezza, la continuità operativa ed il disaster recovery dei propri sistemi e servizi.

Infatti, sono proprio le amministrazioni di minori dimensioni a rappresentare l’anello debole della catena di cyber security del settore pubblico, non essendo spesso in grado di garantire un livello adeguato di sicurezza informatica.

Dunque, il ricorso, da parte di queste ultime, ai servizi erogabili ai poli di eccellenza, consente l’innalzamento della sicurezza complessiva della Pubblica Amministrazione.

Continuità operativa e disaster recovery: le diverse posizioni

Ciononostante, i commentatori risultano divisi circa l’opportunità dell’abrogazione dell’art. 50-bis CAD.

Alcuni (si vedano ad esempio: Iaselli, 2017; Marzano, 2016; Ragone, Pietrafesa, Montegiove, 2016) presupponendo che la continuità dei sistemi informatici rappresenti per le pubbliche amministrazioni uno strumento necessario per garantire il corretto svolgimento della vita nel Paese, sottolineano l’inopportunità dell’abrogazione dell’art. 50-bis del CAD, sostenendo che, in questo modo, si sarebbe aperto un vuoto normativo.

Secondo questi commentatori, nonostante la modifica dell’art. 51 del CAD, una disposizione ad hoc sulla continuità operativa ed il disaster recovery appariva necessaria per dare delle indicazioni concrete alle pubbliche amministrazioni nell’elaborazione dei vari piani di sicurezza.

A conferma dell’importanza di tale adempimento per gli enti pubblici, le recenti Linee guida per la qualità delle competenze digitali nelle professionalità ICT, elaborate da AgID, prevedono il Responsabile della continuità operativa (ICT) come un’importante figura professionale inserita nel profilo Technical Management.

Inoltre, nonostante la mancanza di specifiche sanzioni in caso di violazioni dell’art. 50-bis, la norma non sarebbe stata del tutto inutile, dato che nel nostro ordinamento esistono dei principi generali, il cui rispetto implica che, anche in assenza di una chiara disposizione normativa, si può allo stesso modo andare incontro a specifiche responsabilità.

In particolare, fanno notare questi autori, sono ben cinque le tipologie di responsabilità in cui può incorrere un dipendente pubblico: civile, se arreca danni a terzi o alla stessa amministrazione; penale, se pone in essere comportamenti qualificati dalla legge come reato; disciplinare, se viola obblighi previsti dalla contrattazione collettiva, dalla legge o dal codice di comportamento; dirigenziale (solamente per i dirigenti pubblici), in caso di mancato raggiungimento degli obiettivi prefissati dai vertici politici, accertata tramite un sistema di valutazione delle performance; amministrativa, in caso di danno erariale, accertata dalla Corte dei Conti.

Al contrario, altri autori (si veda ad esempio: Osnaghi, 2016), accogliendo la posizione espressa al riguardo dal Consiglio di Stato, sostengono più fondatamente che l’art. 50-bis, seppur condivisibile nelle finalità proposte, risultava tuttavia palesemente inapplicabile a causa della propria formulazione.

Bastano infatti alcune semplici considerazioni di buon senso per evidenziare l’inadeguatezza dell’ormai abrogato art. 50-bis.

Innanzitutto, l’evoluzione tecnologica risulta essere molto più veloce rispetto alla capacità di aggiornamento legislativo, ed essendo il CAD una norma di rango legislativo primario, per quanto riguarda la regolamentazione di soluzioni tecniche ed operative sembra più adeguato adottare norme di rango regolamentare secondario, più facilmente aggiornabili.

Inoltre, l’art. 50-bis si applicava a tutte le amministrazioni centrali e locali, non tenendo conto del fatto che le soluzioni tecniche da adottare per garantire la continuità operativa non sono alla portata di tutti, richiedendo spesso competenze specialistiche ad hoc.

Conclusioni

Da non sottovalutare infine, anche il fatto che l’applicazione dell’art. 50-bis avrebbe richiesto costi aggiuntivi per le amministrazioni, ma a tal fine, non sono mai state messe a disposizione risorse adeguate, ed anzi sono stati esplicitamente esclusi ulteriori oneri a carico del bilancio dello Stato.

Di conseguenza, l’art. 50-bis sarebbe rimasto in ogni caso lettera morta.

In che modo dunque si potrebbe assicurare in modo efficace la continuità operativa dei sistemi informatici della Pubblica Amministrazione dopo la sua abrogazione? L’unica soluzione prospettabile al riguardo è quella di trasferire ad un’infrastruttura digitale realizzata a livello centrale la responsabilità di progettare e gestire le varie funzioni informatiche delle singole amministrazioni, utilizzando le possibilità che oggi offrono le tecnologie del cloud computing.

L’art. 50-bis potrebbe dunque rinascere, impegnando le amministrazioni non più a progettare soluzioni individuali, ma ad utilizzare servizi di disaster recovery e continuità operativa messi a disposizione a livello infrastrutturale.

Infine, per quanto riguarda il reperimento delle risorse economiche per la realizzazione delle diverse componenti dell’infrastruttura, considerando l’attuale situazione finanziaria del Paese, l’unica alternativa seriamente praticabile sembra essere quella di instaurare forme di partnership con il settore privato (Osnaghi, 2016).

Bibliografia

@RIPRODUZIONE RISERVATA

Articolo 1 di 4