Continuità Operativa delle pubbliche amministrazioni Giovanni Rellini Lerz
Continuità operativa e l’«ex» art. 50-bis del CAD
L’esperienza passata: l’art L’esperienza passata: l’art. 50-bis («Continuità operativa») del CAD– Codice dell’Amministrazione Digitale (abrogato dal decreto legislativo 179/2016) L’articolo 50bis del CAD, abrogato nel Dlgs. 179/2016 che ha riformato il CAD stesso, prevedeva che le pubbliche amministrazioni dovessero predisporre i piani di emergenza in grado di assicurare la continuità delle operazioni indispensabili per il servizio e il ritorno alla normale operatività. Ad Agid (al tempo DigitPA) era dato il compito di predisporre opportune linee guida e, soprattutto, di esprimere pareri, che le Amministrazioni avrebbero dovuto obbligatoriamente richiedere, benché non fossero vincolanti nei contenuti. La richiesta di parere si basava essenzialmente su studi di fattibilità, che rappresentavano il percorso di continuità operativa delle Amministrazioni.
Il percorso previsto dall’«ex» art. 50-bis del CAD AgID emana le Linee Guida Le Amministrazioni svolgono un’analisi interna dei propri processi e dei servizi Le Amministrazioni predispongono SFT - Studio di Fattibilità Tecnica AgID analizza SFT e rende apposito Parere Le Amministrazioni predispongono progetto della soluzione e la realizzano AgiD verifica annualmente l’aggiornamento del Piano DR Le Amministrazioni verificano i Piani con cadenza biennale
Pur non riuscendo a coprire la totalità delle Amministrazioni (alcune decine di migliaia), l’articolo 50bis venne ottemperato da un significativo numero di PA, almeno sotto il profilo della tipologia di PA. Alcuni numeri sugli SFT al 10 ottobre 2016 PARERI EMESSI 1127 PARERI FAVOREVOLI CON CONDIZIONI 1124 PARERI FAVOREVOLI 3 MINISTERI 10 AMMINISTRAZIONE CENTRALE ED ENTI DI DIRITTO PUBBLICO 7 UNIVERSITA’ E ENTI DI RICERCA 27 REGIONI E ENTI REGIONALI 34 PROVINCIE, COMUNI ED ENTI COLLEGATI 991 ASL, AZIENDE OSPEDALIERE 36
Un po’ di numeri sugli SFT: al 10 ottobre 2016
Un po’ di numeri sugli SFT inviati
Con il termine «tier» venivano indicati i livelli di soluzione prescelti dall’Amministrazione. Alcuni numeri
Notoriamente, gli indicatori RPO e RTO rappresentano i principali elementi di sintesi di una soluzione di CO. Alcuni numeri sugli RTO rilevati nelle richieste di parere.
E alcuni numeri sugli RPO rilevati nelle richieste di parere.
SWOT Analysis dell’art. 50-bis PUNTI DI FORZA PUNTI DI DEBOLEZZA OPPORTUNITÀ MINACCE Coordinamento nazionale della azioni di BC&DR attraverso l’Agenzia (parere sugli SFT, verifica aggiornamento Piani DR) Si richiedono le stesse attività sia a grandi PPAA (INPS, INAIL, MIUR,…) che a piccole amministrazioni (scuole, comuni sotto i 1000 abitanti,…) Possibilità di coordinare le azioni delle PPAA centrale verso progetti di razionalizzazione (almeno per BC & DR) Frammentazione delle risorse e duplicazione degli investimenti Analisi interna approfondita dei processi e dei servizi delle singole Amministrazioni e dei criteri di ripristino associati L’Azione dell’Agenzia termina con il parere sul SFT e con la verifica dell’aggiornamento del Piano di DR Possibilità di censire i servizi delle Pubbliche Amministrazioni Osservanza solo formale della norma, con la predisposizione del SFT senza ulteriori azioni interne ed esterne Maggiore consapevolezza politica del ruolo dell’ICT nelle Amministrazioni Non ci sono attività sulla verifica della progettazione ed implementazione della soluzione e sull’efficacia della stessa Possibilità di coordinare le azioni delle PPAA locale verso progetti di razionalizzazione (almeno per BC & DR) su SPC cloud Recepimento della normativa come obbligo senza alcun valore aggiunto per l’Amministrazione
La continuità operativa delle PA dopo il decreto legislativo 179/16
La continuità operativa dopo il decreto legislativo 179/2016 Recependo solo in minima parte le perplessità della Conferenza Stato-Regioni, del Consiglio di Stato e del Garante privacy circa l’abolizione integrale dell’articolo 50bis, il legislatore nel Dlgs. 179/2016 si è limitato a sopperire all’ovvia contraddizione circa il molto parlare di sicurezza e la contestuale eliminazione dell’unica norma che, per quanto estremamente discutibile, prevedeva un obbligo di CO per le Amministrazioni, inserendo un riferimento alla CO nella nuova formulazione dell’articolo 51. Sicurezza dei dati e delle infrastrutture delle pubbliche amministrazioni: Con le regole tecniche adottate ai sensi dell'articolo 71 sono individuate le soluzioni tecniche idonee a garantire la protezione, la disponibilità, l'accessibilità, l'integrità e la riservatezza dei dati e la continuità operativa, dei sistemi e delle infrastrutture. Alla data, nessuna nuova indicazione sulla CO è stata formalmente data alle PA.
Le regole tecniche per la Continuità Operativa Il combinato disposto dell’art. 71, comma 1 del CAD e dell’art. 61, comma 1 del decreto legislativo 179/2016 prevedevano che tali regolamenti dovessero essere approvati con l’iter previsto entro il 14 gennaio 2017. Per quanto attiene la Continuità Operativa, un’ipotesi dei contenuti di una specifica regola tecnica potrebbe essere la seguente: Presupposto: categorizzazione delle Amministrazioni in «tipo A» (circa 400 Amministrazioni: PAC, Regioni ed Enti collegati, ASL/AO, Città Metropolitane incluso la città capoluogo, Province –solo se centro attivo CST) e in «tipo B» (tutte le altre) Obbligo per le Amministrazioni di «tipo A» della realizzazione di soluzioni di DR/CO –se già non previsto in piani di razionalizzazione delle infrastrutture- secondo linee guida di Agid, alla quale vanno notificati i piani di realizzazione delle soluzioni, senza però alcun parere obbligatorio da richiedere Creazione e gestione dell’anagrafica delle soluzioni di CO e DR delle Amministrazioni di «tipo A» Obbligo per tutte le Amministrazioni di «tipo B» della predisposizione del piano di emergenza IT, secondo uno schema fornito da Agid. Il piano non va inviato ad Agid, ma Agid può fare verifiche a campione sulla presenza e conformità del piano, segnalando pubblicamente le eventuali inadempienze rilevate Verifica dell’esecuzione dei test di CO & DR delle principali Amministrazioni con la partecipazione di Agid
Il Paese che cambia passa da qui. agid.gov.it