A tutte le amministrazioni dello Stato Alle aziende ed amministrazioni autonome dello Stato A tutti gli enti pubblici non economici nazionali IL MINISTRO PER L'INNOVAZIONE E LE TECNOLOGIE di intesa con IL MINISTRO DELLE COMUNICAZIONI Visto il decreto-legge 12 giugno 2001, n. 217, recante "Modificazione al decreto legislativo 30 luglio 1999, n. 300, nonche' alla legge 23 agosto 1988, n. 400, in materia di organizzazione del Governo", convertito, con modificazioni, dalla legge 3 agosto 2001, n. 317, ed in particolare l'art. 6 del decreto-legge; Visto il decreto del Presidente del Consiglio dei Ministri 9 agosto 2001, recante "Delega di funzioni del Presidente del Consiglio dei Ministri in materia di innovazione e tecnologie al Ministro senza portafoglio dott. Lucio Stanca"; Visto il decreto del Presidente del Consiglio dei Ministri 27 settembre 2001, recante "Istituzione del Dipartimento per l'innovazione e le tecnologie"; E m a n a la seguente direttiva: Sicurezza nelle tecnologie dell'informazione e della comunicazione Le informazioni gestite dai sistemi informativi pubblici costituiscono una risorsa di valore strategico per il governo del Paese; Questo patrimonio deve essere efficacemente protetto e tutelato al fine di prevenire possibili alterazioni sul significato intrinseco delle informazioni stesse. E' noto infatti che esistono minacce di intrusione e possibilita' di divulgazione non autorizzata di informazioni, nonche' di interruzione e di distruzione del servizio. Lo stesso processo di innovazione tecnologica produce da un lato strumenti piu' sofisticati di "attacco", ma d'altro lato idonei strumenti di difesa e protezione. Assume quindi importanza fondamentale valutare il rischio connesso con la gestione delle informazioni e dei sistemi. Inoltre per poter operare in un mondo digitale sempre piu' aperto, le pubbliche amministrazioni devono essere in grado di presentare credenziali di sicurezza nelle informazioni conformi agli standard internazionali di riferimento. Nell'ambito delle rispettive responsabilita' il Ministro per l'innovazione e le tecnologie ed il Ministro delle comunicazioni sono quindi chiamati ad interpretare il tema rischio-sicurezza non solo nell'ottica della riduzione della vulnerabilita', per garantire integrita' e affidabilita' dell'informazione pubblica, ma anche al fine di creare e mantenere una posizione primaria a livello europeo. Si raccomanda pertanto a tutte le pubbliche amministrazioni in indirizzo di avviare nell'immediato alcune azioni prioritarie tali da consentire il conseguimento di un primo importante risultato di allineamento ad una "base minima di sicurezza", attraverso: 1) una rapida autodiagnosi, sulla base dell'allegato 1, del livello di adeguatezza della Sicurezza informatica e delle telecomunicazioni (ICT), con particolare riferimento alla dimensione organizzativa operativa e conoscitiva della sicurezza; 2) l'attivazione delle necessarie iniziative per posizionarsi sulla "base minima di sicurezza", definita nell'allegato 2, che consenta di costruire con un approccio unitario e condiviso, le fondamenta della sicurezza della pubblica amministrazione. Tali fondamenta non pretendono di rappresentare una risposta completa ed esaustiva, ma vogliono fornire una serie di indicazioni tecnico-operative utili per avviare la pubblica amministrazione verso la concreta soluzione dei principali problemi di sicurezza e, nel contempo, gettare le basi per lo sviluppo di un vero e proprio sistema nazionale di sicurezza ICT della pubblica amministrazione. Nel frattempo a tal fine il Dipartimento per l'innovazione per le tecnologie della Presidenza del Consiglio dei Ministri ed il Ministero delle comunicazioni stanno promovendo la predisposizione del programma di azione del Governo per la sicurezza ICT da sottoporre alla attenzione delle pubbliche amministrazioni, articolato sulle seguenti linee: 1) promuovere la creazione e la successiva attivazione di un modello organizzativo nazionale di sicurezza ICT che comprenda tutti gli organi istituzionali, scientifici ed accademici deputati, ciascuno per il proprio ruolo, ad assicurare organicita' e completezza al tema sicurezza; 2) costituire un comitato nazionale della sicurezza ICT per indirizzare, guidare e coordinare le varie iniziative connesse con il raggiungimento degli standard di sicurezza che verranno definiti; 3) definire uno schema nazionale di riferimento della sicurezza sviluppando linee guida, direttive, standard, nonche' i processi di accreditamento e di certificazione; 4) formulare il piano nazionale della sicurezza ICT della pubblica amministrazione; 5) realizzare la certificazione di sicurezza ICT nella pubblica amministrazione. Data l'importanza ed attualita' del tema in oggetto e nella consapevolezza del grande impegno richiesto in termini di competenze e risorse da mobilitare si raccomanda tutte le pubbliche amministrazioni di agire con la massima priorita' ed urgenza per quanto riguarda le azioni immediate preventivamente descritte. Roma, 16 gennaio 2002 Il Ministro per l'innovazione e le tecnologie: Stanca Registrato alla Corte dei conti il 26 febbraio 2002 Ministeri istituzionali, Presidenza del Consiglio dei Ministri, registro n. 2, foglio n. 201