Lo scorso ottobre la Coalizione dei conservatori accreditati ANORC-AIFAG, ha richiesto all’Agenzia per l’Italia Digitale alcuni chiarimenti in merito alle modalità operative che i conservatori accreditati devono adottare per ottemperare all’onere di comunicazione di eventuali incidenti di sicurezza che possano occorrere ai sistemi che realizzano servizi fiduciari ai sensi dell´art. 32-bis, comma 2, del Codice dell´Amministrazione Digitale (così come modificato dal D.Lgs. 217/2017). Si segnalano di seguito alcuni passaggi significativi dello scambio intercorso:
Disposizioni transitorie
AgID chiarisce che, in attesa del completamento dell’iter di emanazione delle Linee Guida previste dalle ultime modifiche al CAD, in virtù delle disposizioni transitorie (art. 65 del D.Lgs. 13/12/2017, n. 217) restano applicabili le regole preesistenti che, nel caso dei conservatori, consistono nel DPCM 3 dicembre 2013, nella Circolare AgID n. 65/2014 emessa ai sensi dell’art. 13 di tale DPCM e nei documenti richiamati nella circolare stessa, in cui sono indicati i requisiti per i soggetti che operino come conservatori accreditati.
Classificazione degli incidenti e dei malfunzionamenti
In attesa di eventuali diverse indicazioni da parte delle Linee Guida (in fase di redazione da parte di AgID), si consiglia di fare riferimento alle modalità di classificazione degli incidenti di sicurezza previste dalle Linee Guida ENISA che prevedono uno schema di classificazione degli incidenti e dei malfunzionamenti secondo 5 livelli di severity. Sulla base di tali indicazioni – e in ottemperanza a quanto già previsto dal controllo 20 del documento “Requisiti di qualità e sicurezza per i sistemi di conservazione” – ogni conservatore dovrà classificare gli incidenti secondo quanto previsto da ENISA e tenendo presente le caratteristiche del servizio realizzato e delle “criticità” della documentazione in esso conservata.
Segnalazione tempestiva
L’Agenzia conferma che i conservatori accreditati siano tenuti ad adeguare le proprie procedure in uso per prevedere la segnalazione “tempestiva” degli incidenti. Per “tempestività”, quando non sono definiti specifici valori limite, si intende che la comunicazione deve pervenire “in tempo utile” per consentire ad AgID o all’utente di adottare le contromisure o le azioni possibili per limitare l’impatto sui servizi, evitare o contenere potenziali danni all’utente stesso o ai terzi.
Rapporto d’intervento
La segnalazione e la gestione di incidenti di sicurezza e di eventi significativamente impattanti la regolarità del servizio deve essere effettuata secondo specifiche procedure già operative per ogni conservatore accreditato, come previsto dalle norme precedentemente richiamate e dai requisiti 20 e 21 del documento “Requisiti di qualità e sicurezza per l’accreditamento e la vigilanza”.
Per eventi significativi, l’onere di comunicazione in capo al conservatore accreditato, non può ritenersi assolto con la sola creazione e conservazione di uno specifico rapporto d’intervento, ma occorre anche la comunicazione ad AgID e agli utenti entro i tempi definiti nella procedura dallo stesso conservatore. Per eventi che risultino di impatto poco significativo, è sufficiente la sola gestione dell’evento e la relativa registrazione.
Modalità di comunicazione
Attualmente le comunicazioni non devono rispettare una modulistica particolare, potendo le modalità variare da conservatore a conservatore.
Resta confermato che le comunicazioni debbano essere effettuate tramite Posta Elettronica Certificata all’indirizzo protocollo@pec.agid.gov.it.
Il documento di risposta pervenutoci dall’Agenzia per l’Italia Digitale, in data 30 novembre 2018, è consultabile dalla nostra sezione dei Progetti, dedicata alla Coalizione dei conservatori accreditati Anorc – Aifag, al seguente link