Riferimento normativo

Dettagli

Sintesi contenuto

Codice dell'amministrazione digitale (CAD) - Decreto Legislativo 7 marzo 2005, n. 82

(modifiche ed integrazioni introdotte dal decreto legislativo 30 dicembre 2010, n. 235, e dal decreto legge 13 agosto 2011, n. 138)

Articolo 50-bis (132) .

Continuità operativa.

1. In relazione ai nuovi scenari di rischio, alla crescente complessità dell'attività istituzionale caratterizzata da un intenso utilizzo della tecnologia dell'informazione, le pubbliche amministrazioni predispongono i piani di emergenza in grado di assicurare la continuità delle operazioni indispensabili per il servizio e il ritorno alla normale operatività.

2. Il Ministro per la pubblica amministrazione e l'innovazione assicura l'omogeneità delle soluzioni di continuità operativa definite dalle diverse Amministrazioni e ne informa con cadenza almeno annuale il Parlamento.

3. A tali fini, le pubbliche amministrazioni definiscono:

a) il piano di continuità operativa, che fissa gli obiettivi e i principi da perseguire, descrive le procedure per la gestione della continuità operativa, anche affidate a soggetti esterni. Il piano tiene conto delle potenziali criticità relative a risorse umane, strutturali, tecnologiche e contiene idonee misure preventive. Le amministrazioni pubbliche verificano la funzionalità del piano di continuità operativa con cadenza biennale;

b) il piano di disaster recovery, che costituisce parte integrante di quello di continuità operativa di cui alla lettera a) e stabilisce le misure tecniche e organizzative per garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione. DigitPA, sentito il Garante per la protezione dei dati personali, definisce le linee guida per le soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni informatiche, verifica annualmente il costante aggiornamento dei piani di disaster recovery delle amministrazioni interessate e ne informa annualmente il Ministro per la pubblica amministrazione e l'innovazione.

4. I piani di cui al comma 3 sono adottati da ciascuna amministrazione sulla base di appositi e dettagliati studi di fattibilità tecnica; su tali studi è obbligatoriamente acquisito il parere di DigitPA.

In sintesi, l’articolo prevede:

• la predisposizione di un piano di continuità operativa (comma 3, punto a), inclusivo del piano di disaster recovery (comma 3, punto b), da parte di tutte le pubbliche amministrazioni, entro 15 mesi dalla data di entrata in vigore del D.Lgs. 235/2010 (25.01.2011), ovvero 25.04.2012
  
  
• la stesura, preventiva al precedente adempimento, di un apposito studio di fattibilità, sul quale deve essere obbligatoriamente richiesto parere di DigitPA (comma 4).

Vedi anche

Articolo 51. CAD

Sicurezza dei dati, dei sistemi e delle infrastrutture delle pubbliche amministrazioni

Vedi anche

misure di sicurezza previste dagli articoli da 31 a 36 del decreto legislativo 30 giugno 2003, n. 196

http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248

Decreto legislativo 30 giugno 2003, n. 196

CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

Titolo V - Sicurezza dei dati e dei sistemi

Capo I - Misure di sicurezza

Capo II - Misure minime di sicurezza

Linee guida per il disaster recovery delle pubbliche amministrazioni

(GU n. 295 del 20-12-2011)

Ai sensi del comma 3, punto b), articolo 50-bis del CAD

• il capitolo 1 definisce gli obiettivi e gli scenari della continuità operativa e del disaster recovery nell’ambito delle pubbliche amministrazioni e le finalità delle Linee Guida;
• il capitolo 2 descrive le novità introdotte dal nuovo codice della amministrazione digitale, con riferimento specifico alla tematica della continuità operativa, illustrando i ruoli e le responsabilità assegnate dal nuovo CAD alle pubbliche amministrazioni e alla stessa DigitPA;
• il capitolo 3 riporta informazioni sintetiche sui principali standard internazionali di riferimento attinenti al campo specifico della continuità operativa e del disaster recovery e alle aree correlate della sicurezza ICT e della gestione dei servizi informatici;
• il capitolo 4 costituisce una guida sulle modalità con cui affrontare il problema della continuità operativa sotto l’aspetto organizzativo. In particolare vengono fornite indicazioni su come impostare il progetto affinché l’obiettivo della continuità dei servizi possa essere raggiunto efficacemente e mantenuto nel tempo al variare delle condizioni al contorno;
• il capitolo 5 illustra metodi con cui è possibile affrontare il tema della continuità operativa e propone un percorso di autovalutazione dei requisiti di continuità cui le amministrazioni dovranno sottoporsi per la successiva identificazione delle soluzioni tecnologiche idonee a garantire la continuità nella erogazione dei servizi anche a fronte di disastri che compromettano il funzionamento di parte o dell’intera infrastruttura ICT;
• Il capitolo 6 analizza la continuità operativa sotto il profilo delle opzioni e dei vincoli previsti dalla normativa vigente ed illustra, anche con esempi, le soluzioni contrattuali che possono essere intraprese dalla Pubblica Amministrazione. Sono presenti anche alcuni spunti per la definizione di forme associative tra amministrazioni che consentono il contenimento dei costi (accordi di mutuo soccorso, convenzioni, consorzi, centri di backup comuni, ecc.);
• il capitolo 7 illustra il modello di riferimento di massima che dovrà essere utilizzato per la compilazione dello studio di fattibilità tecnica che le amministrazioni pubbliche devono sottoporre a DigitPA per il parere obbligatorio previsto dal comma 4 dell’art. 50-bis del CAD nonché indicazioni di massima dei contenuti dei Piani di CO e di DR;
• il capitolo 8 presenta la tematica della protezione delle infrastrutture critiche, oggetto di recenti interventi normativi a livello europeo e nazionale.

Appendici alle Linee Guida DR

- Strumento di autovalutazione (tool) per le PA

- Note di accompagnamento allo strumento di autovalutazione

Circolare 1 dicembre 2011 n.58

(Gazzetta del 27 dicembre 2011)

Illustra le attività di competenza di DigitPA (con riferimento in particolare a Rilascio, esito e tempi di emissione del parere) e delle Amministrazioni in merito all’attuazione dell’art. 50 bis del CAD.

Contiene le indicazioni necessarie per adempiere a quanto previsto dall'articolo 50-bis (Continuità Operativa) del Codice dell'Amministrazione Digitale.

In particolare, la circolare chiarisce le informazioni da inviare a DigitPA per il rilascio del parere sullo studio di fattibilità tecnica e per l’attività di verifica dell’aggiornamento dei piani di Disaster Recovery

Tabella di corrispondenza per l’utilizzo dei servizi di connettività e sicurezza SPC per la realizzazione di soluzioni DR corrispondenti ad alcuni tier descritti nelle Linee Guida per il Disaster Recovery delle Pubbliche Amministrazioni

Corrispondenza servizi SPC-soluzioni di DR

Supporta le Amministrazioni che si accingono ad attuare l’art. 50-bis del Codice dell’Amministrazione Digitale (D.Lgs. n. 82/2005 e s.m.i.) nella valutazione dell’eventuale utilizzo degli attuali servizi di connettività e sicurezza SPC

Standard di riferimento

Cfr. Linee Guida DR – Cap. 3

• BS 25999-1:2006 Business Continuity Management. Code of Practice
• BS 25999-2:2007 Specification for Business Continuity Management
• BS 25777:2008 Information and communications technology continuity management. Code of practice
• ISO/IEC 24762:2008 - Guidelines for ICT disaster recovery services