A luglio L’agenzia per l’Italia digitale, meglio conosciuta come DigitPA, ha pubblicato le Linee guida per il disaster recovery, con lo specifico compito di determinare in modo puntuale e senza ambiguità i nuovi obblighi relativi alla gestione delle emergenze in caso di guasto dei sistemi informativi pubblici.
Prima ve ne era la necessità solo per permettere una corretta gestione dei dati, adesso il nuovo articolo 50-bis sancisce l’obbligo per tutte le Pubbliche Amministrazioni di attivarsi per garantire la continuità operativa dei servizi erogati, a fronte di eventi disastrosi, attraverso interventi di carattere organizzativo ed operativo.
In particolare l’art 50 bis è volto a fornire alle pubbliche amministrazioni gli strumenti utili da adottare per determinare le giuste misure che assicurino la continuità delle operazioni indispensabili per il servizio e il ritorno al normale funzionamento attraverso la predisposizione di piani di emergenza.
Con tale normativa il legislatore accetta l’intenso utilizzo della tecnologia nell’ambito dell’attività istituzionale degli enti e determina come tale servizio debba in tutti i sensi essere accompagnato necessariamente dalla predisposizione di piani di emergenza che assicurino la continuità delle operazioni indispensabili per il servizio e il ritorno alla normale operatività a seguito di un evento disastroso.
A tal riguardo è stata designata l’ Agenzia per l’italia digitale come ente incaricato di coordinare le strategie a livello nazionale: con esso le Amministrazioni devono confrontarsi per la preparazione dello Studio di Fattibilità Tecnica e dei piani di Business Continuity e Disaster Recovery imposti dal Codice dell’Amministrazione Digitale.
L’art. 50-bis al comma 3 obbliga le pubbliche amministrazioni a definire il piano di continuità operativa (PCO), la cui congruenza e sostenibilità deve essere verificata con cadenza almeno biennale.
Lo stesso piano deve obbligatoriamente contenere la descrizione delle procedure da eseguire, tenendo conto delle risorse umane, tecnologiche e strutturali presenti nella realtà amministrativa e deve descrivere le idonee misure preventive che si vogliono mettere in atto.
In sintesi quindi il legislatore in questo articolo dichiara l’obbligo per le pubbliche amministrazioni di sviluppare un piano di disaster recovery, come parte integrante del piano di continuità operativa (CO) determinando quali misure tecniche e organizzative le pubbliche amministrazioni debbano adottare per garantire il funzionamento dei CED e delle procedure informatiche, almeno quelle rilevanti, in siti alternativi a quelli di produzione.
Sempre l’art. 50-bis del codice dell’amministrazione digitale (CAD) identifica nell’agenzia per l’italia digitale l’ente predisposto per la verifica annuale dell’aggiornamento dei piani di disaster recovery delle amministrazioni interessate.
A tal proposito sono state predisposte da l’agenzia per l’italia digitale le “linee guida per le soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni informatiche”. In data 16 novembre 2011, dunque, dopo aver ottenuto il consenso del Garante per la protezione dei dati personali, l’agenzia per l’italia digitale ha approvato definitivamente le “
Linee Guida per il Disaster Recovery delle Pubbliche Amministrazioni” e ha provveduto a pubblicarle sul proprio sito internet.
In queste linee guida gli obblighi sono sviluppati all’interno del secondo capitolo, mentre al terzo capitolo si possono ritrovare i principali standard internazionali.
Tutto quanto fin ora esplicitato viene affidato ad un Responsabile della Continuità Operativa che dovrà occuparsi, in modo particolare, della predisposizione e della trasmissione all’agenzia per l’italia digitale dello Studio di Fattibilità Tecnica (SFT).
Tale figura, secondo uno specifico studio profilo individuato dal Disaster Recovery International Institute (DRII) e richiamato dalle Linee Guida, dovrà saper gestire:
- lo sviluppo e la gestione di un progetto di CO;
- la valutazione del rischio
- la gestione del rischio;
- l’analisi di impatto sulle attività;
- lo sviluppo di una strategia di continuità;
- la predisposizione di un piano di continuità;
- i programmi di formazione;
- la manutenzione e il test del piano di CO;
- le strategie di comunicazione in caso di crisi;
- il coordinamento con le autorità.