Molto può dirsi dell’anno che sta per salutarci, ma di un obiettivo certo le PP.AA. non porteranno il ricordo allo scoccare del 2018: quello dell’adeguamento delle misure minime per la sicurezza ICT, il cui termine era previsto per il 31 dicembre, secondo l’iter  previsto dalla Circolare n. 2/2017, in attuazione di quanto stabilito dalla Direttiva 1 agosto 2015 del Presidente del Consiglio dei Ministri.
Si potrebbe quindi parlare, anche in questo caso, della classica norma divenuta lettera morta, con buona pace delle aspettative e dei progetti di cui si faceva promotrice.
La disposizione individuava in particolare 3 livelli di attuazione dove, il primo corrisponde allo standard minimo richiesto per qualsiasi PA, a prescindere da dimensioni, competenze o fattori organizzativi. I successivi due step, invece, risultavano ideati per garantire standard di protezione più permeanti, tali da assicurare maggiore sicurezza relativamente sia al tipo di dato trattato, sia con riferimento ai servizi erogati dalla PA di riferimento. La prospettiva più lusinghiera, tuttavia auspicava un adeguamento al livello massimo degli standard per tutte le pubbliche amministrazioni, seppur con tempistiche differenti e individuava come suo attuatore il responsabile della struttura per l’organizzazione, l’innovazione e le tecnologie ex art. 17 del C.A.D. ovvero, in sua assenza il dirigente nominato a tale finalità.
Pare evidente quindi che moltissime amministrazioni risultano deficitarie già in questo primo requisito prodromico a tutto l’iter seguente, ossia la nomina di un responsabile (ex art. 17 C.A.D.), così come è mancato un fattore decisivo rintracciabile nella mancanza di una componente cogente nel termine previsto.

Situazione diametralmente opposta rispetto a quanto prospettato per l’attuazione del GDPR (General Data Protection Regulation n. 679/2016) la cui esecutività è prevista a partire dal 25 maggio 2018. Oltretutto occore considerare che l’adozione di misure di sicurezza infomatica è fortemente valorizzata dal Regolamento Europeo, che le colloca quale risultato di un percorso di verifica ed approfondita mappatura del contesto organizzativo, estesa a strumenti, persone, sistemi, banche dati, applicativi e procedure che servono alla PA per sviluppare e gestire adeguatamente trattamenti di dati.

Prepariamoci dunque a chiudere un sipario 2017 ancora demotivante, inserendo tra i buoni propositi del nuovo anno la realizzazione di un percorso di adeguamento graduale delle PP.AA rispetto alle misure minime per la sicurezza ICT, estendendo l’analisi sul piano organizzativo, tecnologico e procedurale.