Continuità operativa e disaster recovery: le linee guida di DigitPA

Ecco un piccolo sunto del contenuto delle Linee guida per il disaster recovery approvate da DigitPA il 16 novembre 2011. Si tratta dei nuovi obblighi in materia di gestione delle emergenze in caso di guasto dei sistemi informativi pubblici così come previsto dal nuovo Codice dell'amministrazione digitale (CAD) all'articolo 50-bis.Ecco un piccolo sunto del contenuto delle Linee guida per il disaster recovery approvate da DigitPA il 16 novembre 2011. Si tratta dei nuovi obblighi in materia di gestione delle emergenze in caso di guasto dei sistemi informativi pubblici così come previsto dal nuovo Codice dell’amministrazione digitale (CAD) all’articolo 50-bis.

Articolo 50-bis .
Continuità operativa.

1. In relazione ai nuovi scenari di rischio, alla crescente complessità dell’attività istituzionale caratterizzata da un intenso utilizzo della tecnologia dell’informazione, le pubbliche amministrazioni predispongono i piani di emergenza in grado di assicurare la continuità delle operazioni indispensabili per il servizio e il ritorno alla normale operatività.

2. Il Ministro per la pubblica amministrazione e l’innovazione assicura l’omogeneità delle soluzioni di continuità operativa definite dalle diverse Amministrazioni e ne informa con cadenza almeno annuale il Parlamento.
3. A tali fini, le pubbliche amministrazioni definiscono:
a) il piano di continuità operativa, che fissa gli obiettivi e i principi da perseguire, descrive le procedure per la gestione della continuità operativa, anche affidate a soggetti esterni. Il piano tiene conto delle potenziali criticità relative a risorse umane, strutturali, tecnologiche e contiene idonee misure preventive. Le amministrazioni pubbliche verificano la funzionalità del piano di continuità operativa con cadenza biennale;
b) il piano di disaster recovery, che costituisce parte integrante di quello di continuità operativa di cui alla lettera a) e stabilisce le misure tecniche e organizzative per garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione. DigitPA, sentito il Garante per la protezione dei dati personali, definisce le linee guida per le soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni informatiche, verifica annualmente il costante aggiornamento dei piani di disaster recovery delle amministrazioni interessate e ne informa annualmente il Ministro per la pubblica amministrazione e l’innovazione.
4. I piani di cui al comma 3 sono adottati da ciascuna amministrazione sulla base di appositi e dettagliati studi di fattibilità tecnica; su tali studi è obbligatoriamente acquisito il parere di DigitPA .

L’articolo appena citato ha in animo di dotare le pubbliche amministrazioni degli strumenti utili a gestire la continuità operativa dei servizi essenziali e il ripristino del normale funzionamento, in caso di disastro, attraverso l’applicazione di piani di emergenza predisposti allo scopo. Come accennato in precedenti interventi, con tale norma il legislatore  tenta di introdurre nel sistema pubblico concetti e pratiche già ampiamente e da tempo utilizzati in ambito privato (intendo a livello enterprise). Esistono già infatti documenti circa la gestione dei disastri e le tecniche per ottenere la continuità operativa (ciò che in altri contesti si chiamerebbe business continuity):

L’art. 50-bis al terzo comma impone alle pubbliche amministrazioni di definire il piano di continuità operativa che deve contenere la descrizione di tutte le procedure da seguire e che deve essere verificato almeno una volta ogni due anni, tenuto conto delle risorse umane, strutturali e tecnologiche del contesto nel quale si opera. Sempre al comma 3, alla lettera b), si stabilisce l’obbligo per le pubbliche amministrazioni di definire un piano di disaster recovery che deve contenere le misure tecniche e organizzative che l’amministrazione deve approntare per assicurare l’erogazione dei servizi essenziali in siti alternativi a quelli di produzione. Annualmente DigitPA ha l’obbligo di verificare l’aggiornamento dei piani di disaster recovery delle pubbliche amministrazioni.

Le Linee guida contengono: indicazioni nel merito dei contenuti e della produzione del piano di continuità operativa e schemi di massima dello studio di fattibilità tecnica, così da rendere più agevole per le pubbliche amministrazioni l’adeguamento alla norma.

Il documento di DigitPA si occupa inoltre di fornire indicazioni su come impostare il progetto affinché l’obiettivo della continuità dei servizi possa essere raggiunto efficacemente e mantenuto nel tempo. Inoltre analizza il percorso di autovalutazione dei requisiti di continuità a cui le amministrazioni devono necessariamente sottoporsi per poter tratteggiare un quadro di sintesi delle esigenze della stessa PA.

Quali strumenti giuridici e operativi possono essere usati dalle amministrazioni pubbliche per ottenere la continuità operativa? Le Linee guida propongono una serie di requisiti minimi e opzionali per la stipula dei contratti di fornitura dei servizi necessari all’attuazione della continuità operativa e del disaster recovery. Si auspica che, in un ottica di contenimento dei costi, si pratichino forme associative tra amministrazioni quali accordi di mutuo soccorso, convenzioni, consorzi, centri di backup comuni.

Al fine di ottenere una omogeneità nel formato dello studio di fattibilità, DigitPA fornisce un modello che poi le amministrazioni potranno compilare per poi sottoporlo alla DigitPA stessa al fine di ottenere il parere obbligatorio come stabilito dal CAD.

Ecco dunque che DigitPA individua un nuovo ruolo all’interno della pubblica amministrazione: il responsabile della continuità operativa, individuato in un dirigente dello Stato in forza all’ente, che dovrà occuparsi della predisposizione e della trasmissione a DigitPA dello studio di fattibilità tecnica. Sarà incaricato di:

  • predisporre, sviluppare e gestire un progetto di continuità operativa;
  • valutare e gestire il rischio;
  • analizzare l’impatto sulle attività;
  • sviluppare una strategia di continuità;
  • programmare la formazione;
  • vigilare sulla manutenzione e sui test del piano di continuità operativa;
  • definire le modalità di comunicazione in caso di crisi;
  • coordinarsi con le altre autorità coinvolte.
Creative Commons License
Continuità operativa e disaster recovery: le linee guida di DigitPA by Antonio Prado is licensed under a Creative Commons Attribution-ShareAlike 4.0 International

Leave a Reply