Page 23 - MediAppalti, Anno XII - N. 8
P. 23
Il Punto Mediappalti
Consip inoltre mette a disposizione della PA trasformazione digitale mediante l’utilizzo dei
strumenti di acquisto in grado di soddisfare le servizi previsti dalle Gare strategiche”:
loro esigenze di approvvigionamento in materia di
sicurezza. Consip S.p.A. in attuazione del “Piano • la Security Strategy, ovvero la definizione
Triennale per l’informatica nella PA 2020-2022” ha e la predisposizione delle scelte strategiche
bandito e stipulato quindi gare “strategiche”, relative al governo della sicurezza informativa,
di supporto alle PA, in merito alla tematica della direzione organizzativa, tecnologica e dei
cybersecurity, ciò in attuazione degli obiettivi requisiti necessari ad assicurare i fabbisogni in
stabiliti dall’Agenzia per l’Italia Digitale (AGID), materia di sicurezza IT;
la quale è volta a realizzare così un sistema di • il Vulnerability Assesment, metodologia che
prevenzione e di risposta efficiente delle singole mirerebbe alla definizione di un processo ideato
amministrazioni in merito alla tematica della per identificare, classificare ed affrontare rischi
gestione del rischio cyber. e vulnerabilità della gestione del sistema
informativo, secondo termini di sicurezza;
Gli Accordi contrattuali conseguenti alle procedure • il Testing del codice, consistente
Consip esperite, in ossequio all’entrata in vigore nell’identificazione delle vulnerabilità dei
della Legge 133/2019 (Disposizioni urgenti in software, nella fase iniziale di utilizzazione, in
materia di perimetro di sicurezza nazionale modo da permetterne l’eliminazione in maniera
cibernetica) e del DL 82/2021 (Disposizioni rapida ed efficiente, antecedentemente alla
urgenti in materia di cybersicurezza, definizione distribuzione;
dell’architettura nazionale di cybersicurezza e • il Supporto all’analisi e gestione degli incidenti,
istituzione dell’Agenzia per la cybersicurezza ossia l’analisi degli incidenti e la conseguente
nazionale), poi convertito nella legge 109/2021, divulgazione delle informazioni nei casi di
si pongono quali misure ed azioni per l’avvio emergenza;
della trasformazione digitale dei servizi resi dalle • il Penetration Testing, finalizzato a sfruttare le
Amministrazioni (in base al modello strategico vulnerabilità riscontrate in modo da qualificare
evolutivo dell’informatica della P.a. ed ai principi il livello di sicurezza del sistema informativo;
definiti nel citato Piano Triennale). • la Compliance, che consiste in un’analisi di
conformità e aderenza del sistema informativo
BOX: Consip S.p.A. in attuazione del “Piano a norme, regole, standard o policy.
Triennale per l’informatica nella PA 2020-2022” ha
bandito e stipulato gare “strategiche”, di supporto La suddivisione per la citata procedura, in lotti
alle PA, in merito alla tematica cyber-security, ciò di natura merceologica, risponde all’esigenza di
in attuazione degli obiettivi stabiliti dall’Agenzia per diversificazione tra i servizi operativi, finalizzati alla
l’Italia Digitale (AGID). Gli accordi conseguenti, si protezione delle infrastrutture e delle informazioni
pongono quali misure ed azioni per l’avvio della afferenti ai sistemi informativi della Pubblica
trasformazione digitale dei servizi resi dalle Amministrazione, e tra i servizi di supporto per la
Amministrazioni (in base al modello strategico fase ex-ante l’approvvigionamento di beni e servizi
evolutivo dell’informatica della P.a. ed ai principi di sicurezza e la fase ex-post di compliance e di
definiti nel citato Piano Triennale). controllo.
Con gli ultimi Accordi Quadro stipulati da Consip È previsto, con riferimento alla procedura de
sono stati attivati i servizi di sicurezza da remoto, quo, un vincolo di partecipazione tra il Lotto
di compliance e controllo per le Pubbliche 1 - Servizi di sicurezza da remoto e il Lotto 2 -
amministrazioni, al fine di mettere a disposizione Servizi di Compliance e controllo. La previsione
un insieme articolato di servizi di sicurezza erogati del vincolo di partecipazione si è resa necessaria
“da remoto” per la protezione di infrastrutture, di in una logica di netta separazione dei ruoli tra i
applicazioni e dati. soggetti che erogheranno i servizi “core” di
sicurezza volti appunto alla tutela della sicurezza
In particolare, i servizi disponibili, ricavabili dei perimetri tecnologici delle infrastrutture
dall’accordo quadro “Servizi di sicurezza da nonché alla protezione delle informazioni della PA
remoto”, di cui al lotto 1, si sviluppano in sei e quelli che erogheranno i servizi di “verifica” volti
capisaldi, finalizzati ad incrementare il livello di alla misura dello stato di salute della sicurezza dei
23
