Un comitato, composto da figure apicali dell’apparato burocratico, per sovrintendere le azioni necessarie a salvaguardare la sicurezza informatica della Regione Siciliana. È ciò che nei giorni scorsi ha deliberato la giunta Schifani, accogliendo una proposta dell’Arit, l’autorità regionale per l’innovazione tecnologica che nell’ultimo anno si era occupata dei primi adempimenti per rispondere alle richieste dell’Agenzia per la cybersicurezza nazionale (Acn) e, a monte, agli obblighi derivanti dalla direttiva europea Nis 2.
“Il mantenimento in capo al solo responsabile della transizione digitale si reputa – si legge nella proposta fatta propria da Schifani – inidoneo a soddisfare i requisiti e la complessità dei nuovi adempimenti che richiedono un coinvolgimento attivo e diretto dei rami dell’amministrazione regionale. La protezione dei dati, la sicurezza della catena di approvvigionamento, la continuità dei
servizi amministrativi e la gestione delle risorse umane e finanziarie – continua il documento – sono obblighi che coinvolgono l’intera struttura”.
Comitato per la sicurezza informatica della Regione Siciliana, i nominati
Partendo dalla considerazione che tutela della sicurezza digitale tira in ballo profili di natura giuridico-legale, economico-finanziaria, risorse umane e sicurezza fisica, il governo Schifani ha approvato la struttura del comitato.
Quest’ultimo sarà composto dal segretario generale, a cui spetterà il coordinamento dell’azione amministrativa generale; dal dirigente generale dell’Autorità regionale per l’innovazione tecnologica, per il coordinamento dei sistemi informativi regionali; dal Ragioniere generale, per le risorse economiche da stanziare e destinare; dal dirigente generale del dipartimento Funzione pubblica, per la gestione del personale e i piani di formazione obbligatori; e poi ancora dal dirigente della Centrale unica di committenza, per la sicurezza degli approvvigionamento e dei contratti pubblici; dall’Avvocato generale per la conformità normativa; dal dirigente generale del dipartimento Tecnico per la sicurezza degli uffici e il monitoraggio dei contratti pubblici e infine il responsabile del trattamento dei dati per la tutela dei dati personali.
Regione “soggetto importante”
La Regione Siciliana è stata di recente riconfermata dall’Acn come “soggetto importante”. La disciplina in materia di cybersicurezza, che discende dalla direttiva europea, prevede la distinzione tra soggetti essenziali, per i quali il tema della sicurezza informatica è ancora più essenziale, e soggetti importanti.
Per il governo Schifani, ciò ha comportato l’obbligo entro il 31 maggio di comunicare le informazioni aggiornate sugli organi amministrativi e direttivi.
“La crescente pervasività delle tecnologie digitali ha reso la cybersicurezza una priorità fondamentale per la salvaguardia degli interessi nazionali e la resilienza dei servizi essenziali – viene riportato nella nota portata da Schifani in giunta –. In un contesto caratterizzato dalla crescente digitalizzazione delle attività e dei servizi e dal considerevole incremento della minaccia informatica, la cybersicurezza ha assunto un’importanza strategica”.
La necessità per tutte le amministrazioni pubbliche è quella di farsi trovare attrezzate davanti alle minacce di natura informatica. Fenomeni che ormai fanno parte della quotidianità. “Gli attacchi sempre più numerosi e specializzati hanno spinto l’Unione Europea e gli Stati nazionali a intervenire attraverso lo sviluppo di strategie e normative che costituiscono strumento di regolamentazione e di tutela della sicurezza degli stessi Stati”.
Sanzioni per inadempienze
La direttiva Ue Network and Information Security (Nis) è stata approvata una prima volta nel 2016. Sei anni dopo è arrivata una seconda direttiva (Nis 2) che ha aggiornato il quadro e che ha posto l’obiettivo di armonizzare le normative nazionali, e dunque ridurre le discrezionalità dei singoli Stati, in materia di cybersicurezza e il rafforzamento della resilienza dei soggetti critici e importanti.
Tra gli obblighi introdotti ci sono la formazione del personale “per favorire l’acquisizione di conoscenze e competenze sufficienti al fine di individuare i rischi e valutare le pratiche di gestione e il loro impatto sulle attività e sui servizi offerti”, ma anche l’applicazione di sanzioni in caso di violazione delle prescrizioni. Queste ultime si possono articolare in sanzioni amministrative, pecuniarie e disciplinari.
Segui tutti gli aggiornamenti di QdS.it sui canali WhatsApp e Telegram