Archivi tag: PA

Vaccini e Riforma PA in Consiglio dei ministri

Il Consiglio dei ministri, nel corso della riunione del 19 maggio 2017,  ha approvato un decreto legge contenente misure urgenti in materia di prevenzione vaccinale e due decreti legislativi contenenti disposizioni di attuazione della riforma della pubblica amministrazione (legge 7 agosto 2015, n. 124)


VACCINAZIONI OBBLIGATORIE IN ETÀ INFANTILE

Disposizioni urgenti in materia di prevenzione vaccinale (decreto legge)

Il Consiglio dei ministri, su proposta del Presidente Paolo Gentiloni e della Ministra della salute Beatrice Lorenzin, ha approvato un decreto legge contenente misure urgenti in materia di prevenzione vaccinale.

Il decreto è diretto a garantire in maniera omogenea sul territorio nazionale le attività dirette alla prevenzione, al contenimento e alla riduzione dei rischi per la salute pubblica con particolare riferimento al mantenimento di adeguate condizioni di sicurezza epidemiologica in termini di profilassi e di copertura vaccinale, superando l’attuale frammentazione normativa.

In questa prospettiva, che tiene conto anche degli obblighi assunti e delle strategie concordate a livello europeo e internazionale, il decreto in primo luogo estende il novero delle vaccinazioni obbligatorie in coerenza con il Piano nazionale di prevenzione vaccinale. In particolare, saranno obbligatorie le seguenti vaccinazioni:

  • anti-poliomelitica;
  • anti-difterica;
  • anti-tetanica;
  • anti-epatitica B;
  • anti-pertossica;
  • anti Haemophilus influenzae tipo B;
  • anti-meningoccocica B;
  • anti-meningoccocica C;
  • anti-morbillosa;
  • anti-rosolia;
  • anti-parotite;
  • anti-varicella.

Tali vaccinazioni potranno essere omesse o differite solo in casi particolari quali ad esempio l’accertato pericolo per la salute.

Al fine di assicurare l’adempimento dell’obbligo di vaccinazione, il decreto prescrive specifici adempimenti con particolare riferimento all’iscrizione ai servizi educativi per l’infanzia e alle scuole dell’infanzia (0-6 anni), pubblici e privati, i cui responsabili saranno tenuti, ai fini dell’iscrizione, a richiedere ai genitori la presentazione di idonea documentazione comprovante l’effettuazione delle predette vaccinazioni, fatti salvi i casi particolari ivi comprese le ipotesi di avvenuta immunizzazione a seguito di malattia naturale. La mancata presentazione della predetta documentazione comporta il rigetto della domanda di iscrizione, di cui viene informata l’azienda sanitaria locale per gli adempimenti di competenza.

Inoltre, sempre al fine di rendere cogente l’obbligo di vaccinazione, il decreto eleva le sanzioni ammnistrative pecuniarie attualmente previste per la sua violazione, le quali saranno applicabili per ciascun anno dell’intero percorso della scuola dell’obbligo.

Infine, sono dettate disposizioni transitorie per consentire un ordinato passaggio al nuovo sistema di vaccinazioni obbligatorie.

*****

RIFORMA DELLA PUBBLICA AMMINISTRAZIONE

Il Consiglio dei ministri, su proposta della Ministra per la semplificazione e la pubblica amministrazione Maria Anna Madia, ha approvato, in esame definitivo, due decreti legislativi contenenti disposizioni di attuazione della riforma della pubblica amministrazione (legge 7 agosto 2015, n. 124).

Di seguito le principali misure introdotte con i decreti.

1. Testo unico del pubblico impiego

Modifiche e integrazioni al “Testo unico del pubblico impiego”, di cui al decreto legislativo 30 marzo 2001, n. 165, ai sensi degli articoli 16, commi 1, lettera a), e 2, lettere b), c), d) ed e) e 17, comma 1, lettere a), c), e), f), g), h), l), m), n), o), q), r), s) e z) della legge 7 agosto 2015, n.124, in materia di riorganizzazione delle amministrazioni pubbliche

Il decreto introduce disposizioni mirate al raggiungimento dei seguenti obiettivi:

  • il progressivo superamento della “dotazione organica” come limite alle assunzioni, fermi restando i limiti di spesa, attraverso il nuovo strumento del “Piano triennale dei fabbisogni”, con la definizione di obiettivi di contenimento delle assunzioni differenziati in base agli effettivi fabbisogni, la rilevazione delle competenze dei lavoratori pubblici e la previsione di un sistema informativo nazionale volto ad orientare la programmazione delle assunzioni;
  • l’introduzione di norme in materia di responsabilità disciplinare dei pubblici dipendenti, finalizzate ad accelerare e rendere concreta e certa nei tempi l’azione disciplinare;
  • l’aggiornamento delle procedure, prevedendo la più estesa e ottimale utilizzazione delle tecnologie dell’informazione e della comunicazione, anche nei rapporti con i destinatari dell’azione amministrativa;
  • la previsione nelle procedure concorsuali pubbliche di meccanismi di valutazione finalizzati a valorizzare l’esperienza professionale acquisita da coloro che hanno avuto rapporti di lavoro flessibile con le amministrazioni pubbliche, con esclusione, in ogni caso, dei servizi prestati presso uffici di diretta collaborazione degli organi politici e ferma restando, comunque, la garanzia di un adeguato accesso dall’esterno;
  • la possibilità di svolgimento dei concorsi in forma centralizzata o aggregata e la previsione dell’accertamento della conoscenza della lingua inglese e di altre lingue, quale requisito di partecipazione al concorso o titolo di merito valutabile dalle commissioni giudicatrici, e la valorizzazione del titolo di dottore di ricerca;
  • la disciplina delle forme di lavoro flessibile, anche al fine di prevenire il precariato, unitamente ad una soluzione transitoria per superare il pregresso: viene stabilito a regime il divieto per le pubbliche amministrazioni di stipulare contratti di collaborazione e vengono introdotte specifiche procedure per l’assunzione a tempo indeterminato di personale in possesso dei requisiti;
  • l’integrazione nell’ambiente di lavoro delle persone con disabilità attraverso l’istituzione di una Consulta nazionale composta da rappresentanti delle amministrazioni pubbliche centrali e territoriali, e la nomina, da parte delle amministrazioni pubbliche con più di 200 dipendenti, di un responsabile dei processi di inserimento;
  • la definizione delle materie escluse dalla contrattazione integrativa, anche al fine di assicurare la semplificazione amministrativa, la valorizzazione del merito e la parità di trattamento tra categorie omogenee, nonché di accelerare le procedure negoziali;
  • la riorganizzazione delle funzioni di accertamento medico legale in caso di assenze per malattia, con l’attribuzione all’I.N.P.S. delle relative competenze;
  • la razionalizzazione e integrazione dei sistemi di valutazione, lo sviluppo di sistemi di misurazione dei risultati raggiunti dall’organizzazione e dai singoli dipendenti e forme di semplificazione specifiche per i diversi settori della pubblica amministrazione.

2. Valutazione della performance dei dipendenti pubblici

Modifiche al decreto legislativo 27 ottobre 2009, n.150, in attuazione dell’articolo 17, comma 1, lettera r), della legge n. 124 del 2015

Il provvedimento persegue l’obiettivo generale di ottimizzare la produttività del lavoro pubblico e di garantire l’efficienza e la trasparenza delle pubbliche amministrazioni. Con il decreto, ispirato ai principi di semplificazione delle norme in materia di valutazione dei dipendenti pubblici, di riconoscimento del merito e della premialità, di razionalizzazione e integrazione dei sistemi di valutazione, di riduzione degli adempimenti in materia di programmazione e di coordinamento della disciplina in materia di valutazione e controlli interni, si introducono, tra le altre, le seguenti novità:

  • viene chiarito che il rispetto delle disposizioni in materia di valutazione costituisce non solo condizione necessaria per l’erogazione di premi, ma rileva anche ai fini del riconoscimento delle progressioni economiche, dell’attribuzione di incarichi di responsabilità al personale e del conferimento degli incarichi dirigenziali; è stato chiarito che la valutazione negativa delle performance, come specificamente disciplinata nell’ambito del sistema di misurazione, rileva ai fini dell’accertamento della responsabilità dirigenziale e, in casi specifici e determinati, a fini disciplinari;
  • ogni amministrazione pubblica è tenuta a misurare e a valutare la performance con riferimento all’amministrazione nel suo complesso, alle unità organizzative o aree di responsabilità in cui si articola e ai singoli dipendenti o gruppi di dipendenti;
  • oltre agli obiettivi specifici di ogni amministrazione, è stata introdotta la categoria degli obiettivi generali, che identificano le priorità in termini di attività delle pubbliche amministrazioni coerentemente con le politiche nazionali, definiti tenendo conto del comparto di contrattazione collettiva di appartenenza;
  • gli Organismi indipendenti di valutazione (OIV), tenendo conto delle risultanze dei sistemi di controllo strategico e di gestione presenti nell’amministrazione, dovranno verificare l’andamento delle performance rispetto agli obiettivi programmati durante il periodo di riferimento e segnalare eventuali necessità di interventi correttivi. A tal proposito, sono previsti strumenti e poteri incisivi per garantire il ruolo degli OIV, specie con riferimento al potere ispettivo, al diritto di accesso al sistema informatico e agli atti e documenti degli uffici;
  • viene riconosciuto, per la prima volta, un ruolo attivo dei cittadini ai fini della valutazione della performance organizzativa, mediante la definizione di sistemi di rilevamento della soddisfazione degli utenti in merito alla qualità dei servizi resi;
  • nella misurazione delle performance individuale del personale dirigente, è attribuito un peso prevalente ai risultati della misurazione e valutazione della performance dell’ambito organizzativo di cui hanno essi diretta responsabilità;
  • è definito un coordinamento temporale tra l’adozione del Piano della performance e della Relazione e il ciclo di programmazione economico-finanziaria, introducendo sanzioni più incisive in caso di mancata adozione del Piano;
  • sono introdotti nuovi meccanismi di distribuzione delle risorse destinate a remunerare la performance, affidati al contratto collettivo nazionale, che stabilirà la quota delle risorse destinate a remunerare, rispettivamente, la performance organizzativa e quella individuale e i criteri idonei a garantire che alla significativa differenziazione dei giudizi corrisponda un’effettiva diversificazione dei trattamenti economici correlati.

Il testo del decreto recepisce e fa proprie gran parte delle osservazioni e delle indicazioni poste, nei rispettivi pareri, dalle Commissioni parlamentari, dal Consiglio di Stato e dalla Conferenza unificata.

Circolare AgID 18 aprile 2017, n. 2

AGENZIA PER L’ITALIA DIGITALE

Circolare 18 aprile 2017, n. 2

Sostituzione della circolare n. 1/2017 del 17 marzo 2017, recante: «Misure minime di sicurezza ICT per le pubbliche amministrazioni. (Direttiva del Presidente del Consiglio dei ministri 1° agosto 2015)». (17A03060)

(GU Serie Generale n.103 del 5-5-2017)

Premessa.

L’art. 14-bis del decreto legislativo 7 marzo 2005, n. 82, di
seguito C.A.D., al comma 2, lettera a), tra le funzioni attribuite
all’AgID, prevede, tra l’altro, l’emanazione di regole, standard e
guide tecniche, nonche’ di vigilanza e controllo sul rispetto delle
norme di cui al medesimo C.A.D., anche attraverso l’adozione di atti
amministrativi generali, in materia di sicurezza informatica.
La direttiva del 1° agosto 2015 del Presidente del Consiglio dei
ministri impone l’adozione di standard minimi di prevenzione e
reazione ad eventi cibernetici. Al fine di agevolare tale processo,
individua nell’Agenzia per l’Italia digitale l’organismo che dovra’
rendere prontamente disponibili gli indicatori degli standard di
riferimento, in linea con quelli posseduti dai maggiori partner del
nostro Paese e dalle organizzazioni internazionali di cui l’Italia e’
parte.
La presente circolare sostituisce la circolare AgID n. 1/2017 del 17 marzo 2017 (pubblicata nella Gazzetta Ufficiale n. 79 del 4 aprile 2017).

Art. 1

Scopo

Obiettivo della presente circolare e’ indicare alle pubbliche
amministrazioni le misure minime per la sicurezza ICT che debbono
essere adottate al fine di contrastare le minacce piu’ comuni e
frequenti cui sono soggetti i loro sistemi informativi.
Le misure minime di cui al comma precedente sono contenute
nell’allegato 1, che costituisce parte integrante della presente
circolare.

Art. 2

Amministrazioni destinatarie

Destinatari della presente circolare sono i soggetti di cui all’art. 2, comma 2 del C.A.D.

Art. 3

Attuazione delle misure minime

Il responsabile della struttura per l’organizzazione, l’innovazione
e le tecnologie di cui all’art.17 del C.A.D., ovvero, in sua assenza,
il dirigente allo scopo designato, ha la responsabilita’ della attuazione delle misure minime di cui all’art. 1.

Art. 4

Modulo di implementazione delle MMS-PA

Le modalita’ con cui ciascuna misura e’ implementata presso
l’amministrazione debbono essere sinteticamente riportate nel modulo di implementazione di cui all’allegato 2, anch’esso parte integrante della presente circolare.
Il modulo di implementazione dovra’ essere firmato digitalmente con marcatura temporale dal soggetto di cui all’art. 3 e dal responsabile legale della struttura. Dopo la sottoscrizione esso deve essere conservato e, in caso di incidente informatico, trasmesso al CERT-PA insieme con la segnalazione dell’incidente stesso.

Art. 5

Tempi di attuazione

Entro il 31 dicembre 2017 le amministrazioni dovranno attuare gli
adempimenti di cui agli articoli precedenti.

Roma, 18 aprile 2017

Il Presidente: Samaritani


1. GENERALITA’.

1.1. Scopo.
Il presente documento contiene le misure minime di sicurezza ICT
per le pubbliche amministrazioni le quali costituiscono parte
integrante delle linee guida per la sicurezza ICT delle pubbliche
amministrazioni.
Questo documento e’ emesso in attuazione della direttiva del
Presidente del Consiglio dei ministri 1° agosto 2015 e costituisce
un’anticipazione urgente della regolamentazione completa in corso di emanazione, al fine di fornire alle pubbliche amministrazioni dei
criteri di riferimento per stabilire se il livello di protezione offerto da un’infrastruttura risponda alle esigenze operative, individuando anche gli interventi idonei per il suo adeguamento.

2. PREMESSA.
La direttiva del Presidente del Consiglio dei ministri 1° agosto
2015, in considerazione dell’esigenza di consolidare un sistema di
reazione efficiente, che raccordi le capacita’ di risposta delle
singole amministrazioni, con l’obiettivo di assicurare la resilienza
dell’infrastruttura informatica nazionale, a fronte di eventi quali
incidenti o azioni ostili che possono compromettere il funzionamento dei sistemi e degli assetti fisici controllati dagli stessi, visto anche l’inasprirsi del quadro generale con un preoccupante aumento degli eventi cibernetici a carico della pubblica amministrazione, sollecita tutte le amministrazioni e gli organi chiamati ad intervenire nell’ambito degli assetti nazionali di reazione ad eventi cibernetici a dotarsi, secondo una tempistica definita e comunque nel piu’ breve tempo possibile, di standard minimi di prevenzione e reazione ad eventi cibernetici. A fine di agevolare tale processo l’Agenzia per l’Italia digitale e’ stata impegnata a rendere prontamente disponibili indicatori degli standard di riferimento, in linea con quelli posseduti dai maggiori partner del nostro Paese e dalle organizzazioni internazionali di cui l’Italia e’ parte.
L’Agenzia e’ costantemente impegnata nell’aggiornamento continuo
della normativa tecnica relativa alla sicurezza informatica della
pubblica amministrazione ed in particolare delle regole tecniche per
la sicurezza informatica delle pubbliche amministrazioni la cui
emanazione e’ pero’ di competenza del Dipartimento per la funzione
pubblica e richiede l’espletamento delle procedure previste dalla
normativa comunitaria per la regolamentazione tecnica. Pertanto il
presente documento, che contiene le misure minime di sicurezza ICT per le pubbliche amministrazioni e costituisce parte integrante delle linee guida per la sicurezza ICT delle pubbliche amministrazioni, viene pubblicato, in attuazione della direttiva sopra citata, come anticipazione urgente della regolamentazione in corso di emanazione, al fine di fornire un riferimento utile a stabilire se il livello di protezione offerto da un’infrastruttura risponde alle esigenze operative, individuando anche gli interventi idonei per il suo adeguamento.
La scelta di prendere le mosse dall’insieme di controlli noto
come SANS 20, oggi pubblicato dal Center for Internet Security come CCSC «CIS Critical Security Controls for Effective Cyber Defense» nella versione 6.0 di ottobre 2015, trova giustificazione, oltre che nella larga diffusione ed utilizzo pratico, dal fatto che esso nasce con una particolare sensibilita’ per i costi di vario genere che
l’implementazione di una misura di sicurezza richiede, ed i benefici
che per contro e’ in grado di offrire. L’elenco dei venti controlli
in cui esso si articola, normalmente riferiti come Critical Security
Control (CSC), e’ ordinato sulla base dell’impatto sulla sicurezza
dei sistemi; per cui ciascun controllo precede tutti quelli la cui
implementazione innalza il livello di sicurezza in misura inferiore
alla sua. E’ comune convinzione che i primi cinque controlli siano
quelli indispensabili per assicurare il minimo livello di protezione
nella maggior parte delle situazioni e da questi si e’ partiti per
stabilire le misure minime di sicurezza per la pubblica
amministrazione italiana, avendo ben presente le enormi differenze di dimensioni, mandato, tipologie di informazioni gestite, esposizione al rischio, e quant’altro caratterizza le oltre ventimila
amministrazioni pubbliche.
In realta’ nel definire gli AgID Basic Security Control(s) (ABSC)
si e’ partiti dal confronto tra le versioni 6.0 e 5.1 dei CCSC, che
puo’ essere assunto quale indicatore dell’evoluzione della minaccia
cibernetica nel corso degli ultimi anni. E’ infatti evidente
l’aumento di importanza delle misure relative agli amministratori di
sistema, che balzano dal 12° al 5° posto, entrando nella rosa dei
Quick Win, mentre la sicurezza applicativa scivola dal 6° al 18°
posto e gli accessi wireless dal 7° al 15° a causa della diffusione
delle contromisure atte a contrastare le vulnerabilita’ tipiche di
tali ambiti.
In definitiva, anche per facilitare il confronto con la definizione originale, si e’ deciso di fare riferimento, nell’identificazione degli ABSC, alla versione 6 dei CCSC. Tuttavia l’insieme dei controlli definiti e’ piu’ vicino a quello della versione 5.1 poiche’ si e’ ritenuto che molti di quelli che nel passaggio alla nuova versione sono stati eliminati, probabilmente perche’ non piu’ attuali nella realta’ statunitense, siano ancora importanti nel contesto della pubblica amministrazione italiana.
Occorre inoltre osservare che il CCSC e’ stato concepito
essenzialmente nell’ottica di prevenire e contrastare gli attacchi
cibernetici, ragione per la quale non viene data particolare
rilevanza agli eventi di sicurezza dovuti a casualita’ quali guasti
ed eventi naturali. Per questa ragione, ai controlli delle
prime cinque classi si e’ deciso di aggiungere quelli della CSC8,
relativa alle difese contro i malware, della CSC10, relativa alle
copie di sicurezza, unico strumento in grado di proteggere sempre e
comunque le informazioni dal rischio di perdita, e della CSC13,
riferita alla protezione dei dati rilevanti contro i rischi di
esfiltrazione.
In realta’ ciascun CSC e’ costituito da una famiglia di misure di
dettaglio piu’ fine, che possono essere adottate in modo
indipendente, consentendo un’ulteriore modulazione utile ad adattare il sistema di sicurezza alla effettiva realta’ locale. Nonostante cio’ si e’ ritenuto che anche al secondo livello ci fosse una granularita’ ancora eccessiva, soprattutto sotto il profilo
implementativo, che avrebbe costretto soprattutto le piccole
amministrazioni ad introdurre misure esagerate per la propria
organizzazione. Per tale ragione e’ stato introdotto un ulteriore
terzo livello, nel quale la misura di secondo livello viene decomposta in misure elementari, ancora una volta implementabili in
modo indipendente. Pertanto un ABSC e’ identificato da un
identificatore gerarchico a tre livelli x, y, z, dove x e y sono i
numeri che identificano il CSC concettualmente corrispondente e z
individua ciascuno dei controlli di livello 3 in cui questo e’ stato
raffinato.
Al primo livello, che corrisponde ad una famiglia di controlli
destinati al perseguimento del medesimo obiettivo, e’ associata una
tabella che li contiene tutti. Nella prima colonna, sviluppata
gerarchicamente su tre livelli, viene definito l’identificatore
univoco di ciascuno di essi. La successiva colonna «Descrizione»
specifica il controllo attraverso una definizione sintetica.
Nella terza colonna, «FNSC» (Framework nazionale di sicurezza
cibernetica), viene indicato l’identificatore della Subcategory del
Framework Core del Framework nazionale per la Cyber Security,
proposto con il 2015 Italian Cyber Security Report del CIS «La
Sapienza» presentato lo scorso 4 febbraio 2016, al quale il controllo
e’ riconducibile. Pur non intendendo costituire una
contestualizzazione del Framework, le misure minime concretizzano
praticamente le piu’ importanti ed efficaci azioni che questo guida
ad intraprendere. Per il diverso contesto di provenienza ed il
differente obiettivo che i due strumenti intendono perseguire, le
misure minime pongono l’accento sopra gli aspetti di prevenzione
piuttosto che su quelli di risposta e ripristino.
Le ultime tre colonne sono booleane e costituiscono una linea
guida che indica quali controlli dovrebbero essere implementati per
ottenere un determinato livello di sicurezza. La prima, «Minimo»,
specifica il livello sotto il quale nessuna amministrazione puo’
scendere: i controlli in essa indicati debbono riguardarsi come
obbligatori. La seconda, «Standard», puo’ essere assunta come base di riferimento nella maggior parte dei casi, mentre la terza, «Alto»,
puo’ riguardarsi come un obiettivo a cui tendere.
Il raggiungimento di elevati livelli di sicurezza, quando e’
molto elevata la complessita’ della struttura e l’eterogeneita’ dei
servizi erogati, puo’ essere eccessivamente oneroso se applicato in
modo generalizzato. Pertanto ogni amministrazione dovra’ avere cura di individuare al suo interno gli eventuali sottoinsiemi, tecnici e/o organizzativi, caratterizzati da omogeneita’ di requisiti ed
obiettivi di sicurezza, all’interno dei quali potra’ applicare in
modo omogeneo le misure adatte al raggiungimento degli obiettivi
stessi.
Le amministrazioni NSC, per l’infrastruttura che gestisce dati
NSC, dovrebbero collocarsi almeno a livello “standard” in assenza di
requisiti piu’ elevati.

3. LA MINACCIA CIBERNETICA PER LA PUBBLICA AMMINISTRAZIONE.
Nel recente passato si e’ assistito ad una rapida evoluzione
della minaccia cibernetica ed in particolare per quella incombente
sulla pubblica amministrazione, che e’ divenuta un bersaglio
specifico per alcune tipologie di attaccanti particolarmente
pericolosi.
Se da un lato la pubblica amministrazione continua ad essere
oggetto di attacchi dimostrativi, provenienti da soggetti spinti da
motivazioni politiche ed ideologiche, sono divenuti importanti e
pericolose le attivita’ condotte da gruppi organizzati, non solo di
stampo propriamente criminale.
I pericoli legati a questo genere di minaccia sono
particolarmente gravi per due ordini di motivi. Il primo e’ la
quantita’ di risorse che gli attaccanti possono mettere in campo, che
si riflette sulla sofisticazione delle strategie e degli strumenti
utilizzati. Il secondo e’ che il primo obiettivo perseguito e’ il
mascheramento dell’attivita’, in modo tale che questa possa procedere senza destare sospetti. La combinazione di questi due fattori fa si’ che queste misure minime, pur tenendo nella massima considerazione le difese tradizionali, quali gli antivirus e la difesa perimetrale, pongano l’accento sulle misure rivolte ad assicurare che le attivita’ degli utenti rimangano sempre all’interno dei limiti previsti.
Infatti elemento comune e caratteristico degli attacchi piu’
pericolosi e’ l’assunzione del controllo remoto della macchina
attraverso una scalata ai privilegi.
Nei fatti le misure preventive, destinate ad impedire il successo
dell’attacco, devono essere affiancate da efficaci strumenti di
rilevazione, in grado di abbreviare i tempi, oggi pericolosamente
lunghi, che intercorrono dal momento in cui l’attacco primario e’
avvenuto e quello in cui le conseguenze vengono scoperte. Oltre tutto una lunga latenza della compromissione rende estremamente complessa, per la mancanza di log, modifiche di configurazione e anche avvicendamenti del personale, l’individuazione dell’attacco primario, impedendo l’attivazione di strumenti efficaci di prevenzione che possano sicuramente impedire il ripetersi degli eventi.
In questo quadro diviene fondamentale la rilevazione delle
anomalie operative e cio’ rende conto dell’importanza data agli
inventari, che costituiscono le prime due classi di misure, nonche’
la protezione della configurazione, che e’ quella immediatamente
successiva.
La quarta classe deve la sua priorita’ alla duplice rilevanza
dell’analisi delle vulnerabilita’. In primo luogo le vulnerabilita’
sono l’elemento essenziale per la scalata ai privilegi che e’
condizione determinante per il successo dell’attacco; pertanto la
loro eliminazione e’ la misura di prevenzione piu’ efficace.
Secondariamente si deve considerare che l’analisi dei sistemi e’ il
momento in cui e’ piu’ facile rilevare le alterazioni eventualmente
intervenute e rilevare un attacco in corso.
La quinta classe e’ rivolta alla gestione degli utenti, in particolare gli amministratori. La sua rilevanza e’ dimostrata dall’ascesa, accennata in premessa, dal 12° al 5° posto nelle SANS 20, motivata dalle considerazioni cui si e’ fatto riferimento poco dianzi.
La sesta classe deve la sua considerazione al fatto che anche gli
attacchi complessi prevedono in qualche fase l’installazione di
codice malevolo e la sua individuazione puo’ impedirne il successo o
rilevarne la presenza.
Le copie di sicurezza, settima classe, sono alla fine dei conti
l’unico strumento che garantisce il ripristino dopo un incidente.
L’ultima classe, la protezione dei dati, deve la sua presenza
alla considerazione che l’obiettivo principale degli attacchi piu’
gravi e’ la sottrazione di informazioni.

Allegato 2

Circolare AGID 17 marzo 2017, n. 1

AGENZIA PER L’ITALIA DIGITALE

Circolare 17 marzo 2017, n. 1/2017

Misure minime di sicurezza ICT per le pubbliche amministrazioni. (Direttiva del Presidente del Consiglio dei ministri 1° agosto 2015). (17A02399)

(GU Serie Generale n.79 del 4-4-2017)

Premessa.
Il decreto-legge del 22 giugno 2012, n. 83, all’art. 20, comma 3,
lettera b) identifica nell’Agenzia per l’Italia digitale l’organismo
che «detta indirizzi, regole tecniche e linee guida in materia di
sicurezza informatica».
La direttiva del 1° agosto 2015 del Presidente del Consiglio dei
ministri impone l’adozione di standard minimi di prevenzione e
reazione ad eventi cibernetici. Al fine di agevolare tale processo,
individua nell’Agenzia per l’Italia digitale l’organismo che dovra’
rendere prontamente disponibili gli indicatori degli standard di
riferimento, in linea con quelli posseduti dai maggiori partner del
nostro Paese e dalle organizzazioni internazionali di cui l’Italia e’
parte.

Art. 1
Scopo

Obiettivo della presente circolare e’ indicare alle pubbliche
amministrazioni le misure minime per la sicurezza ICT che debbono
essere adottare al fine di contrastare le minacce piu’ comuni e
frequenti cui sono soggetti i loro sistemi informativi.
Le misure minime di cui al comma precedente sono contenute
nell’allegato 1, che costituisce parte integrante della presente
circolare.

Art. 2
Amministrazioni destinatarie

Destinatarie della presente circolare sono le pubbliche
amministrazioni di cui all’art. 1, comma 2, del decreto legislativo
30 marzo 2001, n. 165.

Art. 3
Attuazione delle misure minime

Il responsabile dei sistemi informativi di cui all’art. 10 del
decreto legislativo 12 febbraio 1993, n. 39, ovvero, in sua assenza,
il dirigente allo scopo designato, ha la responsabilita’ della
attuazione delle misure minime di cui all’art. 1.

Art. 4
Modulo di implementazione delle MMS-PA

Le modalita’ con cui ciascuna misura e’ implementata presso
l’amministrazione debbono essere sinteticamente riportate nel modulo
di implementazione di cui all’allegato 2, anch’esso parte integrante
della presente circolare.
Il modulo di implementazione deve essere firmato digitalmente con
marcatura temporale dal soggetto di cui all’art. 3 e dal responsabile
legale della struttura. Dopo la sottoscrizione esso deve essere
conservato e, in caso di incidente informatico, trasmesso al CERT-PA
insieme con la segnalazione dell’incidente stesso.

Art. 5
Tempi di attuazione

Entro il 31 dicembre 2017 le amministrazioni dovranno attuare gli
adempimenti di cui agli articoli precedenti.

Roma, 17 marzo 2017

Il presidente: Samaritani


Allegato 1

MISURE MINIME DI SICUREZZA ICT PER LE PUBBLICHE AMMINISTRAZIONI

Allegato 2

MODULO DI IMPLEMENTAZIONE DELLE MISURE MINIME DI SICUREZZA PER LE PUBBLICHE AMMINISTRAZIONI

Riforma PA e Codice Appalti in CdM

Il Consiglio dei ministri, nel corso della riunione del 23 febbraio 2017, ha approvato, in esame preliminare, cinque decreti legislativi contenenti disposizioni di attuazione della riforma della pubblica amministrazione e un decreto legislativo correttivo del Codice degli appalti


Testo unico del pubblico impiego

Modifiche e integrazioni al testo unico del pubblico impiego, di cui al decreto legislativo 30 marzo 2001, n. 165, ai sensi degli articoli 16, commi 1, lettera a), e 2, lettere b), c), d) ed e) e 17, comma 1, lettere a), c), e), f), g) , h), l), m), n), o), q), s) e z) della legge 7 agosto 2015, n.124, in materia di riorganizzazione delle amministrazioni pubbliche

Il decreto introduce disposizioni mirate al raggiungimento dei seguenti obiettivi:

– il progressivo superamento della “dotazione organica”, fermi restando i limiti di spesa, attraverso il nuovo strumento del “Piano triennale dei fabbisogni”, e la definizione di obiettivi di contenimento delle assunzioni, differenziati in base agli effettivi fabbisogni e la rilevazione delle competenze dei lavoratori pubblici;

– la disciplina delle forme di lavoro flessibile, anche al fine di prevenire il precariato, unitamente ad una soluzione transitoria per superare il pregresso: viene stabilito a regime il divieto per le pubbliche amministrazioni di stipulare contratti di collaborazione e vengono introdotte specifiche procedure per l’assunzione a tempo indeterminato di personale in possesso dei requisiti;

– l’introduzione di norme in materia di responsabilità disciplinare dei pubblici dipendenti, finalizzate ad accelerare e rendere concreta e certa nei tempi l’azione disciplinare;

– la possibilità di svolgimento dei concorsi in forma centralizzata o aggregata (estesa alle Regioni) e la definizione di limiti, in relazione al numero dei posti banditi, per gli idonei non vincitori;

– l’integrazione nell’ambiente di lavoro delle persone con disabilità, anche attraverso l’istituzione di una Consulta nazionaleper l’integrazione in ambiente di lavoro delle persone con disabilità.

Valutazione della performance dei dipendenti pubblici

Modifiche al decreto legislativo 27 ottobre 2009, n.150, in attuazione dell’articolo 17, comma 1, lettera r), della legge n.124 del 2015

Il provvedimento persegue l’obiettivo generale di ottimizzare la produttività del lavoro pubblico e di garantire l’efficienza e la trasparenza delle pubbliche amministrazioni. Con il decreto, ispirato ai principi di semplificazione delle norme in materia di valutazione dei dipendenti pubblici, di riconoscimento del merito e della premialità, di razionalizzazione e integrazione dei sistemi di valutazione, di riduzione degli adempimenti in materia di programmazione e di coordinamento della disciplina in materia di valutazione e controlli interni, si introducono, tra le altre, le seguenti novità:

­- viene chiarito che il rispetto delle disposizioni in materia di valutazione costituisce non solo condizione necessaria per l’erogazione di premi, ma rileva anche ai fini del riconoscimento delle progressioni economiche, dell’attribuzione di incarichi di responsabilità al personale e del conferimento degli incarichi dirigenziali; la valutazione negativa delle performance rileva anche ai fini dell’accertamento della responsabilità dirigenziale;

­- ogni amministrazione pubblica è tenuta a misurare e a valutare la performance con riferimento all’amministrazione nel suo complesso, alle unità organizzative o aree di responsabilità in cui si articola e ai singoli dipendenti o gruppi di dipendenti;

– oltre agli obiettivi specifici di ogni amministrazione, è stata introdotta la categoria degli obiettivi generali, che identificano le priorità in termini di attività delle pubbliche amministrazioni coerentemente con le politiche nazionali, definiti tenendo conto del comparto di contrattazione collettiva di appartenenza;

– gli Organismi indipendenti di valutazione (OIV), tenendo conto delle risultanze dei sistemi di controllo strategico e di gestione presenti nell’amministrazione, dovranno verificare l’andamento delle performance rispetto agli obiettivi programmati durante il periodo di riferimento e segnalare eventuali necessità di interventi correttivi;

– viene riconosciuto, per la prima volta, un ruolo attivo dei cittadini ai fini della valutazione della performance organizzativa, mediante la definizione di sistemi di rilevamento della soddisfazione degli utenti in merito alla qualità dei servizi resi;

– nella misurazione delle performance individuale del personale dirigente, è attribuito un peso prevalente ai risultati della misurazione e valutazione della performance dell’ambito organizzativo di cui hanno essi diretta responsabilità;

– è definito un coordinamento temporale tra l’adozione del Piano della performance e della Relazione e il ciclo di programmazione economico-finanziaria;

– sono introdotti nuovi meccanismi di distribuzione delle risorse destinate a remunerare la performance, affidati al contratto collettivo nazionale, che stabilirà la quota delle risorse destinate a remunerare, rispettivamente, la performance organizzativa e quella individuale e i criteri idonei a garantire che alla significativa differenziazione dei giudizi corrisponda un’effettiva diversificazione dei trattamenti economici correlati. (…)

*****

CODICE DEI CONTRATTI PUBBLICI

Disposizioni integrative e correttive al decreto legislativo n. 50 del 2016, recante codice dei contratti pubblici relativi a lavori, servizi e forniture (decreto legislativo – esame preliminare)

Il Consiglio dei ministri, su proposta del Presidente Paolo Gentiloni e del Ministro delle infrastrutture e dei trasporti Graziano Delrio, ha approvato, in esame preliminare, un decreto legislativo correttivo del Codice degli appalti, adottato a norma dell’articolo 1, comma 8, della legge delega n. 11 del 2016  e in esito alla consultazione pubblica.

L’intervento apporta modifiche e integrazioni al Codice, volte a perfezionarne l’impianto normativo confermandone i pilastri fondamentali. Le modifiche apportate seguono tre direttrici:

1) sono state apportate al codice tutte le modifiche  di coordinamento ai fini di una più agevole lettura;

2) sono state introdotte integrazioni che migliorano l’efficacia e chiariscono la portata di alcuni istituti, sulla base anche di quanto suggerito dal Consiglio di Stato in sede consultiva e dalle associazioni o dagli operatori di settore;

3) sono state apportate limitate modifiche ad alcuni istituti  rilevanti, conseguenti alle criticità evidenziate nella prima fase attuativa del codice.

Tra le modifiche si segnalano:

­appalto integrato: si introduce un periodo transitorio che prevede che l’appalto integrato sia possibile per gli appalti i cui progetti  preliminari o definitivi siano stati già approvati alla data di entrata in vigore del codice e nei casi di urgenza;

­progettazione: si  introduce l’obbligatorietà dell’uso dei parametri per calcolare i compensi a base di gara;

­concessioni 80/20: si chiarisce che il limite dell’80 per cento dei contratti di lavori, servizi e forniture, relativi alle concessioni di importo pari o superiore a 150.000, che i concessionari sono obbligati ad affidare mediante procedura ad evidenza pubblica non riguarda i lavori eseguiti direttamente né quelli relativi alla manutenzione ordinaria;

­subappalto:  si supera la rigidità della disciplina attualmente prevista, anche alla luce della recente giurisprudenza della Corte di giustizia, chiarendo tra l’altro che il limite del 30% è da riferirsi alla categoria prevalente per i lavori e, solo nel caso di servizi e forniture, all’importo complessivo del contratto;

­indicazione terna sub appaltatori: si prevede che stazione appaltante indichi nel quando ritiene necessaria l’indicazione della terna in sede di offerta;

­contraente generale: si prevede  una soglia minima pari a 150 milioni di euro per il ricorso all’istituto del  contraente generale, per evitare che il ricorso all’istituto per soglie minimali  concretizzi una elusione del divieto di appalto integrato;

­varianti: si integra la disciplina della variante per errore progettuale, specificando che essa è consentita solo entro i limiti quantitativi del de minimis;

­semplificazioni procedurali: in caso di nuovo appalto basato su progetti per i quali risultino scaduti i pareri acquisiti, ma non sono intervenute variazioni, vengono confermati i pareri, le autorizzazioni e le intese già rese dalle amministrazioni.


Il Consiglio dei ministri, nel corso della riunione del 17 febbraio 2017, ha approvato in esame preliminare, due decreti legislativi di riforma della Pubblica Amministrazione.

*****

RIFORMA DELLA PUBBLICA AMMINISTRAZIONE E DELLE SOCIETA’ PARTECIPATE

Il Consiglio dei ministri, su proposta della Ministra per la semplificazione e la pubblica amministrazione Maria Anna Madia, ha approvato, in esame preliminare, due decreti legislativi contenenti disposizioni integrative e correttive ai decreti di attuazione della riforma della Pubblica Amministrazione (legge 7 agosto 2015, n. 124) e al testo unico in materia di società a partecipazione pubblica (decreto legislativo 19 agosto 2016, n. 175).

L’intervento correttivo dà seguito e applicazione alla recente sentenza (n. 251 del 2016) con cui la Corte Costituzionale ha censurato il procedimento di attuazione previsto dall’articolo 18 della legge n. 124 del 2015, nella parte in cui stabilisce che i decreti legislativi attuativi siano adottati previa acquisizione del parere reso in Conferenza unificata, anziché previa intesa. Nel sancire comunque la piena efficacia dei decreti legislativi già emanati e in vigore, la sentenza ha raccomandato di sanare il suddetto vizio procedimentale per dare certezza al quadro normativo attraverso lo strumento del correttivo previsto dalla stesa legge delega. Sui decreti dovranno essere acquisiti l’intesa della Conferenza Unificata e i pareri delle competenti Commissioni parlamentari.

Di seguito i provvedimenti nel dettaglio.

1. Licenziamento disciplinare

Disposizioni integrative e correttive al decreto legislativo 20 giugno 2016, n.116, recante modifiche all’articolo 55-quater del decreto legislativo 30 marzo 2001, n. 165, in materia di licenziamento disciplinare, a norma dell’articolo 17, comma 1, lettera s), della legge 7 agosto 2015, n. 124.

Le principali novità sono le seguenti:

  • si prevede un maggior termine per esercitare l’azione di risarcimento per i danni di immagine alla PA provocati dalle condotte fraudolente punite dal licenziamento. La denuncia al Pubblico Ministero e la segnalazione alla competente Procura regionale della Corte dei conti avverrà, ora, entro 20 giorni (non più 15) dall’avvio del procedimento disciplinare in modo da evitare un eccessivo accavallamento dei termini e delle procedure poste a carico delle pubbliche amministrazioni. Lo stesso avverrà per il caso in cui la Procura della Corte dei conti, quando ne ricorrono i presupposti ed entro 150 giorni (non più 120) dalla conclusione della procedura di licenziamento, potrà procedere per danni di immagine della PA nei confronti del dipendente licenziato per assenteismo. La finalità è di garantire maggiore certezza e una più netta separazione tra il procedimento disciplinare a carico del dipendente (che si svolge presso l’Ufficio competente per i procedimenti disciplinari) e il conseguente procedimento per danni di immagine alla PA (che si svolge presso la Procura generale della Corte dei conti);
  • si prevede l’obbligo di comunicazione dei provvedimenti disciplinari all’Ispettorato per la funzione pubblica entro 20 giorni dall’adozione degli stessi: ciò, al fine di consentire il monitoraggio sull’attuazione della riforma, anche per adottare ogni possibile strumento che ne garantisca la piena efficacia.

2. Società a partecipazione pubblica

Disposizioni integrative e correttive al decreto legislativo 19 agosto 2016, n. 175, recante testo unico in materia di società a partecipazione pubblica.

Il decreto prevede, tra le principali novità:

  • che l’attività di autoproduzione di beni e servizi possa essere strumentale agli enti pubblici partecipanti o allo svolgimento delle loro funzioni; che sono ammesse le partecipazioni nelle società aventi per oggetto sociale la produzione di energia da fonti rinnovabili e che le università possono costituire società per la gestione di aziende agricole con funzioni didattiche;
  • che, nel caso di partecipazioni regionali, l’esclusione, totale o parziale, di singole società dall’ambito di applicazione della disciplina può essere disposta con provvedimento motivato del Presidente della Regione, adottato in ragione di precise finalità pubbliche nel rispetto dei principi di trasparenza e pubblicità;
  • viene prevista l’intesa in Conferenza unificata per: il Dpcm di determinazione dei requisiti di onorabilità, professionalità e autonomia dei componenti degli organi amministrativi e di controllo di società a controllo pubblico; il decreto del Ministro dell’economia e delle finanze con il quale sono definiti indicatori dimensionali quantitativi e qualitativi, al fine di individuare fino a cinque fasce per la classificazione delle società a controllo pubblico, nel caso di società controllate dalla regione o da enti locali; il decreto del Ministro del lavoro e delle politiche sociali volto a disciplinare le modalità di trasmissione dell’elenco del personale eccedente;
  • il termine per la ricognizione, in funzione della revisione straordinaria, di tutte le partecipazioni possedute, in scadenza il 23 marzo 2017, è portato al 30 giugno 2017 per dare tempo alle amministrazioni di adeguarsi al decreto;
  • parimenti è prorogato al 30 giugno 2017 il termine entro il quale le società a controllo pubblico effettuano una ricognizione del personale in servizio, per individuare eventuali eccedenze;
  • viene fissato al 31 luglio 2017 il termine per l’adeguamento delle società a controllo pubblico alle disposizioni in tema di governance societaria.

*****

CODICE DEI CONTRATTI PUBBLICI

Il Ministro delle infrastrutture e dei trasporti Graziano Delrio ha svolto un’informativa al Consiglio dei ministri in ordine alla predisposizione dello schema di decreto legislativo correttivo del Codice degli appalti, da adottare a norma dell’articolo 1, comma 8, della legge delega n. 11 del 2016.

L’intervento contempla modifiche e integrazioni al Codice, volte a perfezionarne l’impianto normativo confermandone i pilastri fondamentali. Si tratta di un testo aperto, che in base alla legge delega sarà sottoposto alle consultazioni con i principali stakeholder, per essere poi esaminato in via preliminare dal Consiglio dei ministri. Successivamente sarà inviato alla Conferenza permanente per i rapporti tra lo Stato, le Regioni e le Province autonome di Trento e di Bolzano e al Consiglio di Stato e contestualmente alle Commissioni parlamentari competenti per l’acquisizione dei prescritti pareri.

Nota 3 novembre 2016, AOODGRUF 16647

Ministero dell’Istruzione, dell’Università e della Ricerca
Dipartimento per la programmazione e la gestione delle risorse umane, finanziarie e strumentali
Direzione Generale per le risorse umane e finanziarie – Ufficio VI

A Tutto il personale dirigenziale e non dirigenziale dell’Amm.ne Centrale e Periferica (per mezzo della pubblicazione sulle News di intranet)

Nota 3 novembre 2016, AOODGRUF 16647

OGGETTO: dPCM 23 marzo 2012 “Limite massimo retributivo per emolumenti o retribuzioni nell’ambito di rapporti di lavoro dipendente o autonomo con le pubbliche amministrazioni statali”. Obbligo di dichiarazione ricognitiva, di tutti gli incarichi comunque in atto a carico della finanza pubblica, da parte dei titolari di rapporti di lavoro subordinato o autonomo con le pubbliche amministrazioni statali. Anno 2016.

Decreto Legislativo 26 agosto 2016, n. 179

Decreto Legislativo 26 agosto 2016, n. 179
(GU n.214 del 13-9-2016)

Modifiche ed integrazioni al Codice dell’amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, ai sensi dell’articolo 1 della legge 7 agosto 2015, n. 124, in materia di riorganizzazione delle amministrazioni pubbliche. (16G00192)