Data protection

Pubblicato il Piano Triennale per l’Informatica nella PA 2024-2026. I compiti del RTD e gli adempimenti a carico dell’ente.

Ruolo e compiti dell’Agenzia per l’Italia Digitale (AgID)

In base al decreto legislativo 7 marzo 2005, n. 82, recante “Codice dell’amministrazione digitale” e, in particolare, l’articolo 14-bis, comma 2, lettera b), l’Agenzia per l’Italia Digitale (AgID) svolge le funzioni di “programmazione e coordinamento delle attività delle amministrazioni per l’uso delle tecnologie dell’informazione e della comunicazione, mediante la redazione e la successiva verifica dell’attuazione del Piano triennale per l’informatica nella pubblica amministrazione contenente la fissazione degli obiettivi e l’individuazione dei principali interventi di sviluppo e gestione dei sistemi informativi delle amministrazioni pubbliche, il predetto Piano è elaborato dall’AgID, anche sulla base dei dati e delle informazioni acquisiti dai soggetti di cui all’articolo 2, comma 2, ed è approvato dal Presidente del Consiglio dei ministri o dal Ministro delegato entro il 30 settembre di ogni anno”;

Cosa prevede il Piano Triennale per l’Informatica nella Pubblica Amministrazione 2024-2026

L’Agenzia per l’Italia Digitale ha pubblicato il Piano Triennale per l’Informatica nella Pubblica Amministrazione 2024-2026, si tratta di un documento di programmazione strategica per la PA, frutto di un’attività di concertazione tra amministrazioni e soggetti istituzionali.[1]

Il Piano Triennale per l’informatica nella Pubblica Amministrazione 2024-2026 indica le linee di azione per promuovere la trasformazione digitale del settore pubblico e del Paese.

Il nuovo Piano presenta, rispetto alle precedenti edizioni, dei cambiamenti nella sua struttura e approfondisce alcuni contenuti per sostenere in modo efficace le pubbliche amministrazioni nel processo di implementazione e gestione dei servizi digitali.

Per la prima volta il Piano affronta approfonditamente anche il tema dell’Intelligenza Artificiale, fornendo indicazioni e principi generali che dovranno essere adottati dalle amministrazioni e declinati in fase di applicazione, tenendo in considerazione lo scenario in rapida evoluzione.

Il Piano triennale 2024-2026 è il risultato di un’attività di scambio e collaborazione tra amministrazioni e soggetti istituzionali che hanno preso parte ad un Tavolo di concertazione, con l’obiettivo di costituire una struttura permanente per un’azione continua di definizione dei contenuti e delle strategie indicate dal Piano stesso.

La strategia alla base del Piano triennale 2024-2026 nasce dalla necessità di ripensare alla programmazione della digitalizzazione delle pubbliche amministrazioni basata su nuove leve strategiche, tenendo conto di tutti gli attori coinvolti nella trasformazione digitale del Paese e degli obiettivi fissati per il 2030 dal percorso tracciato dalla Commissione europea per il Decennio Digitale.

La nuova edizione del Piano si caratterizza per una maggiore attenzione agli aspetti di governance e per un approccio fortemente orientato ai servizi digitali, che devono essere interoperabili, sempre più facili da usare per i cittadini e le imprese e più accessibili.

In particolare, viene ampliata e attualizzata la strategia, tramite l’aggiornamento dei principi guida, vengono allineati i contenuti agli obiettivi del PNRR e viene posta maggiore attenzione al tema del monitoraggio, con la revisione degli indicatori, per renderli sempre più significativi rispetto al loro impatto.

Inoltre, per la prima volta, il Piano affronta il tema dell’Intelligenza Artificiale, fornendo indicazioni e principi generali che dovranno essere adottati dalle amministrazioni e declinati in fase di applicazione, tenendo in considerazione lo scenario in rapida evoluzione.

Infine, un’importante novità è fornita dall’introduzione di un’intera sezione che contiene diversi strumenti operativi che le amministrazioni possono prendere a riferimento come modelli di supporto, esempi di buone pratiche o check-list per pianificare i propri interventi.

Il ruolo del Responsabile e dell’Ufficio per la Transizione al Digitale

Particolare risalto viene dato al ruolo del Responsabile e dell’Ufficio per la Transizione al Digitale(UTD).

Per quanto concerne gli ambiti di approfondimento per l’UTD si sottolinea che:

1. i criteri di progettazione dei processi digitali, sia semplici che collettivi, sono riportati nelle Linee guida sull’interoperabilità tecnica approvate con Determinazione AGID 547/2021. I processi digitali possono essere semplici (quando riguardano l’esposizione di e-service da parte di un singolo ente, per procedimenti/procedure utili ad una generalità indistinta di enti destinatari) oppure possono essere processi digitali collettivi quando coinvolgono più enti;

2. è compito dell’Ufficio del RTD curare sia gli aspetti di interoperabilità tecnica che quelli di interoperabilità organizzativa, semantica e giuridica, ricercando la collaborazione con gli altri enti autonomamente o attraverso gli spazi di interoperabilità e cooperazione applicativa;

3. la gestione del ciclo di vita degli e-service dell’amministrazione richiede la strutturazione di opportuni presidi organizzativi e strumenti tecnologici per l’API-management (Application Programming Interface: è un’applicazione che espone le funzionalità di un’altra applicazione), in forma singola o associata. Il processo di collaborazione tra enti va incoraggiato e viene agevolato dalla condivisione di pratiche e soluzioni tra gli enti stessi e dalla disponibilità di modelli attuativi da sperimentare e adattare alla singola realtà territoriale o tematica.

Gli obiettivi e il cronoprogramma del Piano

Il Piano individua una serie di obiettivi e scandisce un calendario per la loro realizzazione; di seguito elenco gli obiettivi riportando, per ciascuno di essi, le linee di azione in capo all’ente nel corso dell’anno 2024; per le annualità 2025 e 2026 si rinvia alla lettura del Piano.

Obiettivo 7.1 Adottare una governance della cybersicurezza diffusa nella PA

Da settembre 2024 – Le singole PA definiscono il modello unitario, assicurando un coordinamento centralizzato a livello dell’istituzione, di governance della cybersicurezza.

Da dicembre 2024 – Le PA adottano un modello di governance della cybersicurezza.

Da dicembre 2024 – Le PA nominano i Responsabili della cybersicurezza e delle loro strutture organizzative di supporto.

Obiettivo 7.2 – Gestire i processi di approvvigionamento IT coerentemente con i requisiti di sicurezza definiti

Da giugno 2024 – Le PA definiscono e approvano i requisiti di sicurezza relativi al processo di approvvigionamento IT.

Da dicembre 2024 – Le PA definiscono e promuovono i processi di gestione del rischio sui fornitori e terze parti IT, la contrattualistica per i fornitori e le terze parti IT, comprensive dei requisiti di sicurezza da rispettare.

Obiettivo 7.3 – Gestione e mitigazione del rischio cyber

Da dicembre 2024 – Le PA definiscono e formalizzano il processo di cyber risk management e security by design, coerentemente con gli strumenti messi a disposizione da ACN .

Obiettivo 7.4 – Potenziare le modalità di prevenzione e gestione degli incidenti informatici  

Da giugno 2024 – Le PA definiscono i presidi per la gestione degli eventi di sicurezza, formalizzandone i processi e le procedure.

Da dicembre 2024 – Le PA formalizzano ruoli, responsabilità e processi, nonché le capacità tecnologiche a supporto della prevenzione e gestione degli incidenti informatici.

Da dicembre 2024 – Le PA definiscono le modalità di verifica dei Piani di risposta a seguito di incidenti informatici.

Obiettivo 7.5 – Implementare attività strutturate di sensibilizzazione cyber del personale

Da giugno 2024 – Le PA promuovono l’accesso e l’utilizzo di attività strutturate di sensibilizzazione e formazione in ambito cybersicurezza.

Da dicembre 2024 – Le PA definiscono piani di formazione inerenti alla cybersecurity, diversificati per ruoli, posizioni organizzative e attività delle risorse dell’organizzazione.

Obiettivo 7.6 – Contrastare il rischio cyber attraverso attività di supporto proattivo alla PA

Da febbraio 2024 – Le PA dovranno dotarsi degli strumenti idonei all’acquisizione degli IoC (si tratta di indicatori di compromissione che provano l’avvenuta violazione dei dati – data Breach) ed accreditarsi al CERT-AGID

Da ottobre 2024 – Le PA dovranno usufruire degli strumenti per la gestione dei rischi cyber messi a disposizione dal CERT-AGID

[1] Link https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2024/02/12/pubblicato-il-piano-triennale-linformatica-nella-pa-2024-2026

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

checklist
Gli obblighi di trasparenza in capo all’Ente riguardo alla pubblicazione dei concorsi e rispetto della riservatezza per le persone con disabilità.

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

violazione-normativa-protezione-dati
Violazione della normativa in materia di protezione dei dati personali dovuta al mancato svolgimento delle Valutazioni di Impatto (D.P.I.A.) prescritte dall’art. 35 GDPR.
13 Aprile 2024
Gli obblighi di trasparenza in capo all’Ente riguardo alla pubblicazione dei concorsi e rispetto della riservatezza per le persone con disabilità.
Gli obblighi di trasparenza in capo all’Ente riguardo alla pubblicazione dei concorsi e rispetto della riservatezza per le persone con disabilità.
26 Agosto 2024
disaster recovery
Adozione di un Piano di disaster recovery e di business continuity alla luce dell’art. 32.1, lett. b) e c) e art. 83.4, lett. a) del Regolamento UE 2016/679 (GDPR).
8 Marzo 2024

Start typing and press Enter to search