Nuovi adempimenti in materia di sicurezza dei dati (e ben più onerosi) ci attendono. L'interlocutore non è più (o non solo più) il Garante per la protezione dei dati personali ma il DigitPA.
Veniamo al punto: sto parlando dell'art. 50 bis del Codice dell'Amministrazione Digitale, stando al quale ciascuna p.a. dovrebbe adottare e gestire nel tempo un Piano di continuità operativa e di Disaster Recovery, piano redatto sulla base di un dettagliato studio di fattibilità tecnica, sul quale va obbligatoriamente acquisito il parere di DigitPA.
Il Piano di Continuità Operativa va aggiornato almeno ogni due anni.
Il Piano di Disaster Recovery, parte integrante del primo, va aggiornato con cadenza almeno annuale, ed entro il 31 dicembre di ogni anno, va inviato (la versione aggiornata) al DigitPA.
Ma facciamo un piccolo passo indietro e iniziamo a prendere confidenza con qualche nuovo termine (tanto dovremo abituarci): per continuità operativa s'intende l’insieme di attività volte a minimizzare gli effetti distruttivi, o comunque dannosi, di un evento che ha colpito un’organizzazione o parte di essa, garantendo la continuità delle attività in generale. Essa comprende sia gli aspetti strettamente organizzativi, logistici e comunicativi (che permettono la prosecuzione delle funzionalità di un’organizzazione) sia la continuità tecnologica, ossia dell’infrastruttura informatica e telecomunicativa (disaster recovery appunto).
Il DigitPA ha approvato definitivamente in data 16/11/2011 le linee guida per il disaster recovery delle pubbliche amministrazioni, mentre sulla Gazzetta del 27 dicembre 2011 è stata pubblicata la Circolare n.58 con le indicazioni delle informazioni da inviare a DigitPA per il rilascio del parere sullo studio di fattibilità tecnica e per l’attività di verifica dell’aggiornamento dei piani di Disaster Recover.
Lo studio di fattibilità tecnica dovrà essere redatto per ciascun servizio (o classe di servizio) erogato dall'amministrazione e coperto dalla soluzione tecnologica che si intende adottare. Esso viene sviluppato sulla base di un percorso di autovalutazione cui i singoli enti dotranno sottoporsi per l’identificazione delle possibili soluzioni tecnologiche rispondenti alle peculiari caratteristiche e specificità, identificate in base alla:
- tipologia di servizio erogato;
- complessità organizzativa;
- complessità tecnologica.
Entro il 24/04/2012 (15 mesi dall'entrata in vigore del DLGS 235/2010) le PP.AA. dovrebbero:
- predisporre lo SFT;
- fare la richiesta di parere a DigitPA;
- ricevere il parere da DigitPA;
- predisporre il piano di continuità .
Troverete lo strumento di autovalutazione e la nota operativa su come utilizzarlo all'indirizzo http://www.digitpa.gov.it/notizie/emanate-le-linee-guida-disaster-recovery-delle-pa
Invece la circolare alla pagina http://www.digitpa.gov.it/notizie/continuita-operativa-pubblicata-gazzetta-ufficiale-circolare-digitpa
