                                  A  tutte  le  amministrazioni dello
                                  Stato
                                  Alle   aziende  ed  amministrazioni
                                  autonome dello Stato
                                  A   tutti  gli  enti  pubblici  non
                                  economici nazionali

IL  MINISTRO  PER  L'INNOVAZIONE  E  LE  TECNOLOGIE  di intesa con IL
                    MINISTRO DELLE COMUNICAZIONI

    Visto   il   decreto-legge   12 giugno   2001,  n.  217,  recante
"Modificazione al decreto legislativo 30 luglio 1999, n. 300, nonche'
alla  legge  23 agosto 1988, n. 400, in materia di organizzazione del
Governo",  convertito,  con modificazioni, dalla legge 3 agosto 2001,
n. 317, ed in particolare l'art. 6 del decreto-legge;
    Visto  il  decreto  del  Presidente  del  Consiglio  dei Ministri
9 agosto  2001,  recante  "Delega  di  funzioni  del  Presidente  del
Consiglio  dei  Ministri  in  materia  di innovazione e tecnologie al
Ministro senza portafoglio dott. Lucio Stanca";
    Visto  il  decreto  del  Presidente  del  Consiglio  dei Ministri
27 settembre   2001,   recante   "Istituzione  del  Dipartimento  per
l'innovazione e le tecnologie";

                              E m a n a
                       la seguente direttiva:

 Sicurezza nelle tecnologie dell'informazione e della comunicazione

    Le   informazioni   gestite   dai  sistemi  informativi  pubblici
costituiscono  una  risorsa  di  valore strategico per il governo del
Paese;
    Questo  patrimonio  deve essere efficacemente protetto e tutelato
al fine di prevenire possibili alterazioni sul significato intrinseco
delle  informazioni  stesse.  E' noto infatti che esistono minacce di
intrusione   e   possibilita'  di  divulgazione  non  autorizzata  di
informazioni, nonche' di interruzione e di distruzione del servizio.
    Lo  stesso processo di innovazione tecnologica produce da un lato
strumenti  piu'  sofisticati  di  "attacco",  ma  d'altro lato idonei
strumenti di difesa e protezione.
    Assume   quindi   importanza  fondamentale  valutare  il  rischio
connesso con la gestione delle informazioni e dei sistemi.
    Inoltre  per  poter  operare  in  un  mondo  digitale sempre piu'
aperto,  le  pubbliche  amministrazioni  devono  essere  in  grado di
presentare  credenziali di sicurezza nelle informazioni conformi agli
standard internazionali di riferimento.
    Nell'ambito  delle  rispettive  responsabilita'  il  Ministro per
l'innovazione e le tecnologie ed il Ministro delle comunicazioni sono
quindi  chiamati  ad  interpretare il tema rischio-sicurezza non solo
nell'ottica  della  riduzione  della  vulnerabilita',  per  garantire
integrita'  e  affidabilita'  dell'informazione pubblica, ma anche al
fine di creare e mantenere una posizione primaria a livello europeo.
    Si  raccomanda  pertanto  a tutte le pubbliche amministrazioni in
indirizzo di avviare nell'immediato alcune azioni prioritarie tali da
consentire  il  conseguimento  di  un  primo  importante risultato di
allineamento ad una "base minima di sicurezza", attraverso:
      1)  una  rapida  autodiagnosi,  sulla base dell'allegato 1, del
livello   di   adeguatezza   della   Sicurezza  informatica  e  delle
telecomunicazioni  (ICT), con particolare riferimento alla dimensione
organizzativa operativa e conoscitiva della sicurezza;
      2)  l'attivazione  delle necessarie iniziative per posizionarsi
sulla  "base  minima  di  sicurezza",  definita  nell'allegato 2, che
consenta  di  costruire  con  un  approccio  unitario e condiviso, le
fondamenta della sicurezza della pubblica amministrazione.
    Tali  fondamenta  non  pretendono  di  rappresentare una risposta
completa  ed  esaustiva, ma vogliono fornire una serie di indicazioni
tecnico-operative utili per avviare la pubblica amministrazione verso
la  concreta  soluzione  dei  principali problemi di sicurezza e, nel
contempo,  gettare  le  basi  per  lo  sviluppo  di un vero e proprio
sistema nazionale di sicurezza ICT della pubblica amministrazione.
    Nel frattempo a tal fine il Dipartimento per l'innovazione per le
tecnologie   della  Presidenza  del  Consiglio  dei  Ministri  ed  il
Ministero  delle  comunicazioni  stanno promovendo la predisposizione
del  programma  di  azione  del  Governo  per  la  sicurezza  ICT  da
sottoporre   alla   attenzione   delle   pubbliche   amministrazioni,
articolato sulle seguenti linee:
      1)  promuovere  la  creazione e la successiva attivazione di un
modello  organizzativo nazionale di sicurezza ICT che comprenda tutti
gli   organi   istituzionali,  scientifici  ed  accademici  deputati,
ciascuno   per   il   proprio  ruolo,  ad  assicurare  organicita'  e
completezza al tema sicurezza;
      2)  costituire  un  comitato  nazionale della sicurezza ICT per
indirizzare, guidare e coordinare le varie iniziative connesse con il
raggiungimento degli standard di sicurezza che verranno definiti;
      3) definire uno schema nazionale di riferimento della sicurezza
sviluppando  linee  guida, direttive, standard, nonche' i processi di
accreditamento e di certificazione;
      4)  formulare  il  piano  nazionale  della  sicurezza ICT della
pubblica amministrazione;
      5) realizzare la certificazione di sicurezza ICT nella pubblica
amministrazione.
    Data  l'importanza  ed  attualita'  del  tema  in oggetto e nella
consapevolezza  del grande impegno richiesto in termini di competenze
e   risorse   da   mobilitare   si   raccomanda  tutte  le  pubbliche
amministrazioni  di  agire  con  la  massima priorita' ed urgenza per
quanto riguarda le azioni immediate preventivamente descritte.
      Roma, 16 gennaio 2002
                Il Ministro per l'innovazione e le tecnologie: Stanca

Registrato alla Corte dei conti il 26 febbraio 2002
Ministeri  istituzionali,  Presidenza  del  Consiglio  dei  Ministri,
registro n. 2, foglio n. 201