Linee guida per il disaster recovery: nuovi ruoli e responsabilità all’interno delle Amministrazioni Pubbliche

A luglio scorso DigitPA ha pubblicato le Linee guida per il disaster recovery, che definiscono e specificano in maniera puntuale i nuovi obblighi in materia di gestione delle emergenze in caso di guasto dei sistemi informativi pubblici dettati dal nuovo Codice della PA Digitale. Nell’ambito della collaborazione con lo Studio Legale Lisi, presentiamo un’attenta analisi del documento da parte Luigi Foglia e Francesca Giannuzzi: un piccolo vademecum per conoscere quali sono i nuovi obblighi e le nuove responsabilità.

L’articolo 34, comma 2, del D. Lgs. 30 dicembre 2010, n. 235 ha introdotto l’art. 50-bis nel D. Lgs. n. 82/2005, rubricato “Continuità operativa”, volto a fornire alle pubbliche amministrazioni gli strumenti utili ad adottare le giuste misure che assicurino la continuità delle operazioni indispensabili per il servizio e il ritorno al normale funzionamento attraverso la predisposizione di piani di emergenza. Attraverso tale introduzione il legislatore prende finalmente coscienza di come l’intenso utilizzo della tecnologia nell’ambito dell’attività istituzionale degli enti debba essere accompagnato necessariamente dalla predisposizione di piani di emergenza che assicurino la continuità delle operazioni indispensabili per il servizio e il ritorno alla normale operatività a seguito di un evento disastroso.

Il comma 3 dell’art. 50-bis impone dunque alle pubbliche amministrazioni di definire il piano di continuità operativa (lett. a) del citato comma), la cui funzionalità deve essere verificata con cadenza almeno biennale e che deve contenere la descrizione delle relative procedure da seguire, tenendo conto delle risorse umane, strutturali e tecnologiche di ciascuna realtà amministrativa e delle idonee misure preventive. La lett. b) del comma 3 del medesimo articolo sancisce l’obbligo per le pubbliche amministrazioni di delineare altresì un piano di disaster recovery, che costituisce parte integrante del piano di CO di cui alla lettera precedente e che fissa quali misure tecniche e organizzative le pubbliche amministrazioni debbano adottare per garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione.

L’art. 50-bis del CAD prevede poi che DigitPA provveda, oltre alla verifica annuale dell’aggiornamento dei piani di disaster recovery delle amministrazioni interessate, anche alla stesura delle “linee guida per le soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni informatiche”. In data 16 novembre 2011, dunque, dopo aver ottenuto il consenso del Garante per la protezione dei dati personali, DigitPA ha approvato definitivamente le “Linee Guida per il Disaster Recovery delle Pubbliche Amministrazioni” e ha provveduto a pubblicarle sul proprio sito internet.
I contenuti delle citate Linee Guida, però, come si legge anche nelle relative premesse, non si limitano a dare attuazione alla lett. b) del comma 3 dell’art. 50-bis del CAD, ma si estendono anche a indicazioni nel merito dei contenuti e della produzione del piano di continuità operativa e schemi di massima dello studio di fattibilità tecnica, al fine di fornire alle Amministrazioni gli strumenti necessari per adeguarsi ai dettami del citato articolo. In effetti tali Linee Guida non potevano avere un contenuto differente dato che, affinché un piano di disaster recovery possa assicurare una veloce ripresa delle attività lavorative – oltre a preservare dati e tecnologie – è necessario che lo stesso venga inserito all’interno di un piano di continuità operativa, volto a garantire il ripristino non solo dei dati e dei sistemi informativi, ma anche delle risorse umane e strutturali colpite da un evento disastroso. Il disaster recovery diventa, dunque, solo parte di un più complesso insieme di regole per gestire i danni provocati da eventi disastrosi e permettere un rapido ripristino delle attività istituzionali.

Le finalità delle citate Linee Guida consistono, pertanto, nel fornire gli strumenti necessari a ottemperare agli obblighi derivanti dall’art. 50-bis del CAD, obblighi riassunti nel 2° capitolo del documento.
Inoltre le Linee Guida riportano, al capitolo 3, delle informazioni sintetiche sui principali standard internazionali di riferimento attinenti al campo specifico della continuità operativa e del disaster recovery e alle aree correlate della sicurezza ICT e della gestione dei servizi informatici.

Le stesse affrontano poi, al successivo capitolo 4, il problema della continuità operativa sotto il profilo organizzativo delle strutture che la gestiscono, offrendo delle preziose indicazioni su come impostare il progetto affinché l’obiettivo della continuità dei servizi possa essere raggiunto efficacemente e mantenuto nel tempo. Viene altresì analizzato il percorso di autovalutazione dei requisiti di continuità a cui le pubbliche amministrazioni dovranno sottoporsi al fine di avere un quadro di sintesi delle esigenze della stessa PA.

Il capitolo 6, poi, chiarisce quali strumenti giuridici e operativi le Pubbliche Amministrazioni possono adoperare per poter realizzare la continuità operativa, individuando altresì una serie di requisiti minimi e opzionali per la stipula dei contratti di fornitura dei servizi necessari all’attuazione della CO/DR. Vengono forniti, inoltre, dei suggerimenti per ottenere un contenimento dei costi attraverso la definizione di forme associative tra amministrazioni quali accordi di mutuo soccorso, convenzioni, consorzi, centri di backup comuni etc.

Si spiega poi, al capitolo 7, quale debba essere il modello di riferimento per la compilazione dello studio di fattibilità tecnica (SFT) che ogni PA deve sottoporre a DigitPA per il parere obbligatorio previsto dal comma 4 dell’art. 50-bis del CAD, nonché quali contenuti debbano avere i Piani di CO e di DR.
Infine, le Linee Guida trattano la delicata questione della protezione delle infrastrutture critiche (IC) in Europa e in Italia, analizzando i vari interventi normativi al riguardo.

Le Linee Guida vengono completate da 4 appendici contenenti rispettivamente la Business Impact Analysis (BIA), ulteriori suggerimenti in ordine all’organizzazione delle strutture di gestione della CO, uno strumento di supporto per l’autovalutazione e i requisiti dei siti di DR, nonché degli esempi di livelli di servizio.
Per lo svolgimento delle attività e dei compiti previsti, per la predisposizione, la redazione e l’attuazione dei piani di Continuità operativa e di Disaster Recovery le Linee Guida individuano alcuni nuovi ruoli all’interno delle PA.
Le principali attività relative alla Continuità operativa vengono affidate a un Responsabile della Continuità Operativa che dovrà occuparsi, principalmente, della predisposizione e della trasmissione a DigitPA dello Studio di Fattibilità Tecnica (SFT).
Tale figura dovrà avere una posizione dirigenziale all’interno dell’Ente e, secondo uno specifico studio profilo individuato dal Disaster Recovery International Institute (DRII) e richiamato dalle Linee Guida, dovrà saper gestire:

1. lo sviluppo e la gestione di un progetto di CO;
2. la valutazione e la gestione del rischio;
3. l’analisi di impatto sulle attività;
4. lo sviluppo di una strategia di continuità;
5. i provvedimenti da mettere in opera immediatamente;
6. la predisposizione di un piano di continuità;
7. i programmi di sensibilizzazione e formazione;
8. la manutenzione e il test del piano di CO;
9. le modalità di comunicazione in caso di crisi;
10. il coordinamento con le autorità.

Con la Circolare n. 58 DigitPA ribadisce l’importanza di tale ruolo e fornisce ulteriori indicazioni necessarie ad adempiere a quanto previsto dall’articolo 50-bis del Codice dell’Amministrazione Digitale. In particolare, la prima parte della Circolare riporta le informazioni che le Amministrazioni devono inviare a DigitPA ai fini del rilascio del parere sugli Studi di Fattibilità Tecnica (SFT) e le modalità di presentazione delle richieste come previsto dal comma 4, art. 50 bis del CAD. La seconda parte della Circolare riporta le informazioni che le Amministrazioni devono inviare a DigitPA ai fini dell’attività di verifica del costante aggiornamento dei Piani di Disaster Recovery (DR), previste dal comma 3, lettera b), art. 50 bis, del CAD.
In aggiunta a tale figura, le Linee Guida individuano anche un organo di vertice al quale vengono affidate le principali decisioni relative all’applicazione dei Piani di Continuità e di DR e la supervisione delle attività delle risorse coinvolte; tale Comitato di gestione della crisi è, pertanto, l’organismo di vertice a cui spetta la direzione strategica dell’intera struttura in occasione dell’apertura della crisi e, inoltre, ha la responsabilità di garanzia e controllo sull’intero progetto.
Secondo quanto previsto dalle Linee Guida, le figure minime necessarie per la costituzione del Comitato di gestione della crisi sono rappresentate da:

• un ruolo di vertice con poteri decisionali e di indirizzo in materia organizzativa ed
• economica, ovvero il responsabile dell’Ufficio Unico Dirigenziale ex art. 17 del CAD;
• il Responsabile della “continuità operativa” dell’ente;
• il Responsabile dell’Unità locale di sicurezza prevista dal DPCM 01.04.2008;
• i referenti tecnici (anche presso i fornitori di servizi ICT) di volta in volta necessari alla gestione della crisi;
• il Responsabile della logistica;
• il Responsabile della safety dell’ente;
• il Responsabile delle applicazioni.

I principali compiti del Comitato sono:

• definizione e approvazione del piano di continuità operativa;
• valutazione delle situazioni di emergenza e dichiarazione dello stato di crisi;
• avvio delle attività di recupero e controllo del loro svolgimento;
• rapporti con l’esterno e comunicazioni ai dipendenti;
• attivazione del processo di rientro che deve essere attuato da specifici gruppi operativi, ma deve essere continuamente monitorato dal Comitato, per assicurare la verifica dello stato di avanzamento complessivo e risolvere i casi dubbi.

In condizioni ordinarie il Comitato si riunisce con periodicità almeno annuale, allo scopo di valutare lo stato del progetto di continuità, verificare le criticità, attuare e pianificare le iniziative per il miglioramento continuo del progetto stesso.
In condizioni di emergenza, il Comitato assume il controllo di tutte le operazioni e assume la responsabilità sulle decisioni per affrontare l’emergenza, ridurne l’impatto e soprattutto ripristinare le condizioni preesistenti.

Un’ultima struttura viene individuata dalle Linee guida di DigitPA in relazione a tutte quelle Amministrazioni che gestiscono “infrastrutture essenziali per il mantenimento delle funzioni vitali della società, della salute, della sicurezza e del benessere economico e sociale della popolazione e il cui danneggiamento o la cui distruzione avrebbe un impatto significativo nello Stato, a causa dell’impossibilità di mantenere tali funzioni”.
Il processo di individuazione di tali “Infrastrutture Critiche” (IC) è partito, nel nostro paese, con il recente intervento del Legislatore nazionale (D.Lgs 61/2011) che ha recepito la Direttiva europea 114/2008, la quale regolamenta le modalità di identificazione delle infrastrutture critiche europee (ICE).
Le Linee Guida, per quanto riguarda le PA coinvolte nella gestione di IC, ritengono indispensabile integrare le strutture organizzative esistenti mediante l’istituzione di un Comitato Strategico per la Sicurezza che assicuri una visione unitaria e sia in grado di valutare sia il rischio operativo complessivo sia le necessarie misure di sicurezza da attuare. Nell’ambito delle infrastrutture critiche, infatti, diviene ancor più necessario poter ricondurre la direzione di tutte le attività pertinenti la sicurezza in un unico centro di competenza apicale, dotato di autonomia e responsabilità, cui affidare il compito di governare la politica di sicurezza ICT dell’Ente e di garantire una centralità di indirizzo e un coordinamento unitario e omogeneo per tutte (e solo) quelle amministrazioni che hanno un ruolo di responsabilità nelle infrastrutture critiche nazionali.

Il Comitato strategico per la Sicurezza dovrebbe essere composto da:

• il Direttore Generale dell’ente o ruolo equiparato
• il Responsabile dell’Ufficio Unico Dirigenziale ex art. 17 del CAD;
• il Responsabile della Continuità Operativa;
• il Responsabile dell’unità locale di Sicurezza;
• il Responsabile della Segr. NATO-UEO;
• il Responsabile Privacy;
• il Responsabile Pianificazione finanziaria;
• il Direttore del personale;
• il Responsabile della sicurezza fisica ex D.Lgs 81 del 2008.

Al Comitato è demandata la politica di sicurezza dell’ente nel suo complesso (risorse umane, edifici, impianti, infrastrutture ICT, patrimonio informativo) e, se prevista dall’emananda disciplina interna sulle ICN, anche il compito di definire le modalità di interazione con il Nucleo Interministeriale Situazione e Pianificazione (NISP) e con la Segreteria infrastrutture critiche (SIC).
La corretta gestione dei Ruoli e delle responsabilità all’interno dell’Ente assume, quindi, un’importanza fondamentale per la realizzazione dei Piani di Continuità previsti dalla normativa. Un’attenzione particolare, quindi, andrà prestata alla individuazione del personale idoneo alla realizzazione delle attività previste. Personale qualificato dovrà essere affiancato dai soggetti che ricoprono ruoli apicali all’interno dell’Ente e in grado di prendere decisioni rapide ed efficaci in relazione alle attività da compiere e alla soluzione di criticità, spesso non preventivabili dai Piani, ma che possono facilmente sorgere in situazioni di emergenza.

* avv. Luigi Foglia e avv. Francesca Giannuzzi – D&L Department – www.studiolegalelisi.it