DigitPA e le nuove regole per il disaster recovery

Con buona pace di chi credeva che la privacy fosse morta dopo il Decreto Legge n.5 del 09/02/2012 e la soppressione di quegli odiatissimi paragrafi dell'allegato B - Disciplinare tecnico in materia di misure minime di sicurezza -  quelli per intenderci che ci chiedevano di redigere e aggiornare almeno una volta l'anno il Documento Programmatico sulla Sicurezza  e di inserire la dichiarazione nella relazione accompagnatoria del bilancio -  non è andata proprio così.
Nuovi adempimenti in materia di sicurezza dei dati (e ben più onerosi) ci attendono. L'interlocutore non è più (o non solo più) il Garante per la protezione dei dati personali ma il DigitPA.
Veniamo al punto: sto parlando dell'art. 50 bis del Codice dell'Amministrazione Digitale, stando al quale ciascuna p.a. dovrebbe adottare e gestire nel tempo un Piano di continuità operativa e di Disaster Recovery, piano redatto sulla base di un dettagliato studio di fattibilità tecnica, sul quale va  obbligatoriamente acquisito il parere di DigitPA.
Il Piano di Continuità Operativa va aggiornato almeno ogni due anni.
Il Piano di Disaster Recovery, parte integrante del primo, va aggiornato con cadenza almeno annuale, ed entro il 31 dicembre di ogni anno, va inviato (la versione aggiornata) al DigitPA.
Ma facciamo un piccolo passo indietro e iniziamo a prendere confidenza con qualche nuovo termine (tanto dovremo abituarci): per continuità operativa s'intende l’insieme di attività volte a minimizzare gli effetti distruttivi, o comunque dannosi, di un evento che ha colpito un’organizzazione o parte di essa, garantendo la continuità delle attività in generale. Essa comprende sia gli aspetti strettamente organizzativi, logistici e comunicativi (che permettono la prosecuzione delle funzionalità di un’organizzazione) sia la continuità tecnologica, ossia dell’infrastruttura informatica e telecomunicativa (disaster recovery appunto).
Il DigitPA ha approvato definitivamente in data 16/11/2011 le linee guida per il disaster recovery delle pubbliche amministrazioni, mentre  sulla Gazzetta del 27 dicembre 2011 è stata pubblicata la Circolare n.58 con le indicazioni delle informazioni da inviare a DigitPA per il rilascio del parere sullo studio di fattibilità tecnica e per l’attività di verifica dell’aggiornamento dei piani di Disaster Recover.
 Lo studio di fattibilità tecnica dovrà essere redatto per ciascun servizio (o classe di servizio) erogato dall'amministrazione e coperto dalla soluzione tecnologica che si intende adottare. Esso viene sviluppato sulla base di un percorso di autovalutazione cui i singoli enti dotranno sottoporsi per l’identificazione delle possibili soluzioni tecnologiche rispondenti alle peculiari caratteristiche e specificità, identificate in base alla:

• tipologia di servizio erogato;
• complessità organizzativa;
• complessità tecnologica.

Ma non è tutto, a completare il quadro e a renderlo ancora più complicato, ci si mette anche il tempo.
Entro il 24/04/2012 (15 mesi dall'entrata in vigore del DLGS 235/2010) le PP.AA. dovrebbero:

• predisporre lo SFT;
• fare la richiesta di parere a DigitPA;
• ricevere il parere da DigitPA;
• predisporre il piano di continuità .

Con buona pace di chi credeva che fosse finita......

Troverete lo strumento di autovalutazione e la nota operativa su come utilizzarlo all'indirizzo http://www.digitpa.gov.it/notizie/emanate-le-linee-guida-disaster-recovery-delle-pa

Invece la circolare alla pagina http://www.digitpa.gov.it/notizie/continuita-operativa-pubblicata-gazzetta-ufficiale-circolare-digitpa