Con il decreto-legge 21 marzo 2022, n. 21, recante “Misure urgenti per contrastare gli effetti economici e umanitari della crisi ucraina”, il Governo ha stabilito la straordinaria necessità e urgenza di assicurare il rafforzamento dei presidi per la sicurezza, la difesa nazionale, le reti di comunicazione elettronica e degli approvvigionamenti di materie prime.
L’art. 29, comma 1, del medesimo decreto-legge, prevede che, al fine di prevenire pregiudizi alla sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche di cui all’art. 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, derivanti dal rischio che le aziende produttrici di prodotti e servizi tecnologici di sicurezza informatica legate alla Federazione Russa non siano in grado di fornire servizi e aggiornamenti ai propri prodotti, in conseguenza della crisi in Ucraina, le medesime amministrazioni procedano tempestivamente alla diversificazione dei prodotti in uso.
La Circolare del 21 aprile 2022, n. 4336, individua i prodotti e servizi tecnologici di sicurezza informatica:
a) sicurezza dei dispositivi (endpoint security), ivi compresi applicativi antivirus, antimalware ed “endpoint detection and response” (EDR) della società “Kaspersky Lab” e della società “Group-IB”, anche commercializzati tramite canale di rivendita indiretta e/o anche veicolati tramite accordi quadro o contratti quadro in modalità “on-premise” o “da remoto”;
b) “web application firewall” (WAF) della società “Positive Technologies”, anche commercializzati tramite canale di rivendita indiretta e/o anche veicolati tramite accordi quadro o contratti quadro in modalità “on-premise” o “da remoto”.
L’Autorità garante per la protezione dei dati personali e il Dipartimento delle informazioni per la sicurezza raccomandano di:
- censire dettagliatamente i servizi e prodotti di cui al punto precente 2), analizzando gli impatti degli aggiornamenti degli stessi sull’operatività, quali i tempi di manutenzione necessari;
- identificare e valutare i nuovi servizi e prodotti, validandone la compatibilità con i propri asset, nonché la complessità di gestione operativa delle strutture di supporto in essere;
- definire, condividere e comunicare i piani di migrazione con tutti i soggetti interessati a titolo diretto o indiretto, quali organizzazioni interne alle amministrazioni e soggetti terzi;
- validare le modalità di esecuzione del piano di migrazione su asset di test significativi, assicurandosi di procedere con la migrazione dei servizi e prodotti sugli asset più critici soltanto dopo la validazione di alcune migrazioni e con l’ausilio di piani di ripristino a breve termine al fine di garantire la necessaria continuità operativa. Il piano di migrazione dovrà garantire che in nessun momento venga interrotta la funzione di protezione garantita dagli strumenti oggetto della diversificazione;
- analizzare e validare le funzionalità e integrazioni dei nuovi servizi e prodotti, assicurando l’applicazione di regole e configurazioni di sicurezza proporzionate a scenari di rischio elevati (quali, ad esempio, autenticazione multi-fattore per tutti gli accessi privilegiati, attivazione dei soli servizi e funzioni strettamente necessari, adozione di principi di “zero-trust”);
- assicurare adeguato monitoraggio e audit dei nuovi prodotti e servizi, prevedendo adeguato supporto per l’aggiornamento e la revisione delle configurazioni in linea.
Per la tassatività delle prescrizioni sopra riportate nonché l’assenza di elenchi o albi di fornitori da cui attingere per sostituire quelli di provenienza russa, appare di fondamentale importanza coinvolgere il Dpo (obbligatorio nelle P.A. ai sensi dell’art. 37 Regolamento europeo 679/2016) che con le sue competenze possa coadiuvare il Titolare del trattamento nel portare a termine questo processo.
Per incentivare l’attuazione delle norme in commento, il decreto 21 marzo 2022, n. 21 prevede, al comma 4 dell’art. 29, che non derivano effetti che possano costituire presupposto per l’azione di responsabilità di cui all’articolo 1 della legge 14 gennaio 1994, n. 20 e, al comma 2 dell’art. 29 ha previsto un meccanismo di deroga alle regole del codice dei contratti pubblici per l’acquisto dei medesimi servizi dai nuovi fornitori.
Fonte: Altalex, Garante privacy