Obbligo sostituzione servizi tecnologici  di  sicurezza  informatica  legati alla Federazione Russa

23/05/2022

Con il decreto-legge 21 marzo 2022, n. 21, recante “Misure  urgenti per  contrastare  gli  effetti  economici  e  umanitari  della  crisi ucraina”, il Governo  ha  stabilito  la  straordinaria necessità e urgenza di assicurare il rafforzamento dei  presidi  per la  sicurezza,  la  difesa  nazionale,  le  reti   di   comunicazione elettronica e degli  approvvigionamenti  di  materie  prime. 

L’art. 29, comma 1,  del  medesimo  decreto-legge,  prevede che, al fine di prevenire pregiudizi alla sicurezza delle  reti, dei sistemi informativi e dei servizi informatici  delle  amministrazioni pubbliche di cui all’art. 1, comma  2,  del  decreto  legislativo  30 marzo 2001, n. 165, derivanti dal rischio che le aziende  produttrici di prodotti e servizi tecnologici  di  sicurezza  informatica  legate alla Federazione Russa non  siano  in  grado  di  fornire  servizi  e aggiornamenti ai propri  prodotti,  in  conseguenza  della  crisi  in Ucraina, le medesime amministrazioni procedano  tempestivamente  alla diversificazione dei prodotti in uso.

La Circolare del 21 aprile 2022, n. 4336,  individua i prodotti e servizi tecnologici di sicurezza informatica:

a) sicurezza dei dispositivi (endpoint security), ivi compresi applicativi antivirus, antimalware ed “endpoint detection and response” (EDR) della società  “Kaspersky  Lab”  e della società “Group-IB”, anche commercializzati tramite  canale  di rivendita indiretta e/o anche  veicolati  tramite  accordi  quadro  o contratti quadro in modalità  “on-premise” o “da remoto”;

b) “web application firewall” (WAF) della società “Positive Technologies”, anche commercializzati  tramite  canale  di  rivendita indiretta e/o anche veicolati  tramite  accordi  quadro  o  contratti quadro in modalità  “on-premise” o “da remoto”.

L’Autorità garante per la protezione dei dati personali e il Dipartimento delle informazioni per la sicurezza raccomandano di:

  1. censire dettagliatamente  i  servizi  e  prodotti  di  cui  al punto precente 2), analizzando gli impatti  degli aggiornamenti  degli  stessi  sull’operatività,  quali  i  tempi  di manutenzione necessari; 
  2. identificare  e  valutare  i  nuovi   servizi   e   prodotti, validandone  la  compatibilità  con  i propri  asset,  nonché la complessità di gestione operativa delle  strutture  di  supporto  in essere;
  3. definire, condividere e comunicare i piani di  migrazione  con tutti i soggetti interessati a  titolo diretto  o  indiretto,  quali organizzazioni interne alle amministrazioni e soggetti terzi;
  4. validare le modalità di esecuzione del piano di migrazione su asset di  test  significativi,  assicurandosi  di  procedere  con  la migrazione dei servizi e prodotti sugli asset più  critici  soltanto dopo la validazione di alcune migrazioni e con l’ausilio di piani  di ripristino a  breve  termine  al fine  di  garantire  la  necessaria continuità operativa. Il piano di migrazione dovrà garantire che in nessun momento venga interrotta la funzione di  protezione  garantita dagli strumenti oggetto della diversificazione;
  5. analizzare e validare  le  funzionalità  e  integrazioni  dei nuovi servizi e prodotti,  assicurando l’applicazione  di  regole  e configurazioni  di  sicurezza  proporzionate  a  scenari  di  rischio elevati (quali, ad esempio, autenticazione  multi-fattore  per  tutti gli accessi privilegiati, attivazione dei soli  servizi  e  funzioni strettamente necessari, adozione di principi di “zero-trust”);
  6. assicurare adeguato monitoraggio e audit dei nuovi prodotti  e servizi, prevedendo  adeguato  supporto  per  l’aggiornamento  e  la revisione delle configurazioni in linea.

Per la tassatività delle prescrizioni sopra riportate nonché l’assenza di elenchi o albi di fornitori da cui attingere per sostituire quelli di provenienza russa, appare di fondamentale importanza coinvolgere il Dpo (obbligatorio nelle P.A. ai sensi dell’art. 37 Regolamento europeo 679/2016) che con le sue competenze possa coadiuvare il Titolare del trattamento nel portare a termine  questo processo.

Per incentivare l’attuazione delle norme in commento, il decreto 21 marzo 2022, n. 21 prevede, al comma 4 dell’art. 29, che non derivano effetti che possano costituire presupposto per l’azione di responsabilità di cui all’articolo 1 della legge 14 gennaio 1994, n. 20 e, al comma 2 dell’art. 29 ha previsto un meccanismo di deroga alle regole del codice dei contratti pubblici per l’acquisto dei medesimi servizi dai nuovi fornitori.

Fonte: Altalex, Garante privacy

   

 

     

 

Actaprivacy software cloud saas qualificato da AGID per l’adempimento del GDPR

AGID_Marketplace.png  Per l’attuazione degli obblighi richiesti dal nuovo Regolamento UE Software cloud saas ActaPrivacy per la gestione degli adempimenti previsti per la protezione dei dati personali dal GDPR 2016/679. 

 

   

ACTAINFO Servizi informativi e telematici

Fornitore abilitato al MEPA – Mercato Elettronico della Pubblica Amministrazione. 
Realizzazione, gestione, fornitura di: siti web, servizi privacy, firme digitali, marche temporali, PEC, conservazione digitale, archiviazione

    

  

E-learning Corso Whistleblowing per la segnalazione degli illeciti

  Corso di formazione per l’attuazione degli obblighi formativi in materia di whistleblowing – segnalazione degli illeciti – richiesti dalle Linee Guida ANAC del 9 giugno 2021

 

 

   

 

TAG

Leggi anche

Corso Cybersecurity

Il corso online “Cybersecurity”, progettato e realizzato dallo Staff di Actainfo Academy, ha lo scopo di fornire ai dipendenti, funzionari pubblici e professionisti una preparazione aggiornata sulle principali sfide legate alla cybersecurity, promuovendo al contempo una cultura condivisa della sicurezza digitale. Attraverso un percorso strutturato in moduli tematici, i partecipanti apprenderanno i concetti fondamentali della sicurezza informatica, le tipologie […]

Obbligo su amministrazione trasparente – Da Giugno 2026 Manuale di conservazione e nomina del Responsabile della conservazione

Il Piano Triennale per l’Informatica nella PA 2024/2026 ha inserito una specifica Linea di azione (RA 3.3.1) che prevede entro giugno 2026 l’obbligo per le PA di verificare la pubblicazione in “Amministrazione trasparente” del Manuale di conservazione e la nomina del Responsabile della conservazione, già obbligatoria dal 1 gennaio 2022, come previsto da Linee Guida AgID sulla […]

Le nuove linee guida AgID per l’accessibilità dei servizi digitali

L’Agenzia per l’Italia Digitale (AgID) ha recentemente adottato le nuove Linee guida sull’accessibilità dei servizi digitali, approvate con la determinazione n. 38 del 4 marzo 2026 e pubblicate nella sezione “Amministrazione trasparente” del sito istituzionale di AgID. Il documento rappresenta un tassello fondamentale per garantire che i servizi digitali siano fruibili da tutti i cittadini, […]

Contattaci

Per maggiori informazioni contattaci compilando questo modulo. Ti ricontatteremo quanto prima possibile.

Informativa Privacy art. 13 GDPR UE 2016/679

Actainfo s.r.l.

sede legale: via boccaccio 4
sede operativa: Via patini 5
64026 Roseto degli Abruzzi (TE)

ICT  – Transizione Digitale – PNRR – Servizi digitali CLOUD – Privacy GDPR
Servizi WEB e Portali – Partner Aruba PEC – Conservazione digitale
Formazione specialistica on line – FAD – Marketing e comunicazione
Servizi Qualificati Marketplace ACN – Abilitazioni MEPA 2009 e 2017
Aggregatore SPID Intermediario tecnologico convenzionato AGID

Facebook-f Twitter Telegram-plane
  • Telefono: +39 085 2010274 - 2194581 - 2015591
  • Email: info@actainfo.it
  • PEC: info@actapec.it
  • P.IVA: 01901750677