Private Cloud per le amministrazioni piemontesi

Torino, 14 giugno 2013

“L’art. 50-bis del CAD e la razionalizzazione dei CED

delle Pubbliche Amministrazioni”

Giovanni Rellini Lerz Responsabile Continuità Operativa

rellini@agid.gov.it

• La novità istituzionale dell’Agenzia per l’Italia Digitale

• Richiami dell’articolo 50-bis del CAD

• Stato attuazione articolo 50-bis del CAD

• Razionalizzazione dei CED delle pubbliche amministrazioni

Contenuti

La novità istituzionale dell’Agenzia per l’Italia Digitale

Contenuti

La novità istituzionale: l’Agenzia per l’Italia Digitale - AGID (1)

4

“Decreto Sviluppo”: DL 22 giugno 2012 n.83 convertito dalla legge 7 agosto 2012 n.134

Da articolo 19 (Istituzione dell’Agenzia per l’Italia Digitale), comma 1 E' istituita l'Agenzia per l'Italia Digitale, sottoposta alla vigilanza del Presidente del Consiglio dei Ministri o del Ministro da lui delegato, del Ministro dell'economia e delle finanze, del Ministro per la pubblica amministrazione e la semplificazione, del Ministro dello sviluppo economico e del Ministro dell'istruzione, dell'università e della Ricerca

I compiti dell'Agenzia sono definiti in primo luogo dalle competenze degli enti che essa ha assorbito nel momento della loro soppressione: il Dipartimento Digitalizzazione e Innovazione della Presidenza del Consiglio, l'Agenzia per la diffusione delle tecnologie per l'innovazione, DigitPA, l'Istituto superiore delle comunicazioni e delle tecnologie dell’informazione per le competenze sulla sicurezza delle reti, e in secondo luogo dalle prescrizioni contenute nel decreto legge n. 179, convertito nella legge n. 221 del 2012.

La novità istituzionale: l’Agenzia per l’Italia Digitale – AGID (2)

5

L’ Agenzia è impegnata in attività di servizi: indirizzi gov.it, certificatori di firma digitale, gestori di posta elettronica certificata, autovalutazione della continuità operativa L’Agenzia è impegnata in attività progettuali: progetti europei di ricerca sull’Agenda Digitale attività internazionali sugli standard e l’innovazione L’Agenzia è impegnata in attività di indirizzo e controllo che si traducono in gare, accordi quadro, linee guida, sulle aree: Sistema Pubblico di Connettività Realizzazione dei Data Center della PA. Open Data Data Base Critici di rilevanza nazionale Accessibilità Sicurezza (business continuity e disaster recovery) Sistema dei Pagamenti Digitali dei servizi della PA Smart Community e Riuso Dematerializzazione e Conservazione Sostitutiva Identità Digitale Anagrafe Nazionale dei Residenti Anagrafe dei Cittadini Italiani all’estero

La novità istituzionale: l’Agenzia per l’Italia Digitale - AGID (3)

6

Il Direttore Generale dell'Agenzia per l'Italia Digitale è l'ing. Agostino Ragosa che opera come Commissario straordinario degli enti soppressi fino all'avvio delle attività dell'Agenzia.

L'Agenzia è dotata di un Comitato di indirizzo, composto da un rappresentante della Presidenza del Consiglio dei Ministri, un rappresentante del Ministero dello sviluppo economico, un rappresentante del Ministero dell’istruzione, dell’università e della ricerca, un rappresentante del Ministro per la pubblica amministrazione e la semplificazione, un rappresentante del Ministero dell’economia e finanze e due rappresentanti designati dalla Conferenza Unificata.

Richiami dell’articolo 50-bis del CAD

Contenuti

Contesto

crescente digitalizzazione della PA anche per processi/servizi critici

esigenza di infrastrutture ICT affidabili e disponibili

esigenza di siti alternativi nel caso di eventi disastrosi (CO e DR)

esigenza di aumentare l’efficienza energetica dei DC

esigenza di ridurre la spesa della PA 8

Esigenze di digitalizzazione: esempi

Albo pretorio: a gennaio 2011 per disposizione di legge la pubblicazione degli atti nell'Albo Pretorio on-line sostituisce ad ogni effetto giuridico la tradizionale pubblicazione "cartacea" che perde di valore legale.

Prescrizione medica digitale - graduale sostituzione delle prescrizioni in formato cartaceo con le equivalenti in formato elettronico.

Cartella clinica digitale: a decorrere dal 1° gennaio 2013, la conservazione delle cartelle cliniche può essere effettuata, senza nuovi o maggiori oneri a carico della finanza pubblica, anche solo in forma digitale.

Referti on line: è il servizio che permette di vedere e stampare i risultati dei propri esami di laboratorio via internet. Il referto online sostituisce a tutti gli effetti quello cartaceo

9

Richiamo dell’art. 50 bis del CAD

10

In relazione ai nuovi scenari di rischio, alla crescente complessità dell’attività istituzionale caratterizzata da un intenso utilizzo della tecnologia dell’informazione, le pubbliche amministrazioni predispongono i piani di emergenza in grado di assicurare la continuità delle operazioni indispensabili per il servizio e il ritorno alla normale operatività Tali piani sono adottati da ciascuna amministrazione sulla base di appositi e dettagliati studi di fattibilità tecnica; (SFT); su tali studi è obbligatoriamente acquisito il parere di AGID.

AGID : Emette le Linee Guida (LG)

AGID: emette pareri su SFT

PP.AA. : Predispongono e sottopongono al parere di AID studi di fattibilità tecnica (SFT), AGID:

verifica annualmente i’aggiornamento dei piani di DR

PP.AA.:

Implementano le soluzioni e predi-spongono i piani di CO e di DR sulla base dello SFT e del parere di AGID;

Verificano con cadenza biennale la funzionalità del Piano di CO ;

Garantiscono la manutenzione della soluzione e informando AGID

Inviano a AGID annualmente l’aggiornamento del piano di DR

Il Ministro assicura l’omogeneità delle soluzioni informando con cadenza annuale il Parlamento

Ruoli e funzioni per attuazione art. 50-bis del CAD

11

Stato attuazione articolo 50-bis del CAD

Contenuti

SFT: tipologie di richieste

13

Amministrazioni PAC (Ministeri, Enti, ecc.) Comuni Aziende sanitarie e ospedaliere Università Istituti Scolastici Province Regioni Camere di Commercio Società partecipate (controllate) da PA

alla data, sono stati emessi più di 700 pareri e sono state fatte circa 900 richieste nelle richieste sono rappresentate tutte le varie tipologie di Amministrazioni:

si ricorda che tutto quanto è necessario alla predisposizione degli SFT e alla richiesta di parere è reperibile al link: http://www.digitpa.gov.it/fruibilita-del-dato/continuita-operativa :

14

Alcuni livelli di soluzione proposta

Nella predisposizione della richiesta di parere e nella richiesta Individuazione del responsabile della CO Relazione sul CAD Molte richieste sospese in attesa di integrazioni della documentazione

Nel processo della CO delle PA Rischio di moltiplicazione dei data center in assenza di soluzioni

condivise In molti casi, necessità di interventi di razionalizzazione sui siti primari

(consolidamento, virtualizzazione,…) prima di adottare soluzioni di DR Vincoli di budget per la realizzazione della soluzione Difficoltà di inserire la valutazione e le soluzioni per servizi

esternalizzati, soprattutto se svolti da società inhouse Armonizzazione delle liste dei servizi e delle valutazioni di criticità per

stessa tipologia di amministrazione

Criticità

15

La finalità dell’articolo 50-bis del CAD è la continuità operativa delle

Amministrazioni, non la produzione degli SFT Elemento portante di ogni soluzione: il Piano di Continuità Operativa AGID non impone alcun modello di PCO, richiede solo che, una volta

prodotto, venga inviato ad AGID La recente revisione delle linee guida sul DR, disponibile dal 31

gennaio, ma in attesa del parere del Garante per la protezione dei dati personali, include un modello sviluppato appositamente per il contesto del 50-bis (il punto di partenza del modello è costituito dai contenuti dello SFT e del relativo parere)

Dopo il parere sugli SFT: la realizzazione della soluzione

16

1 Obiettivo del Piano di Continuità Operativa ICT

1.1 Definizioni e abbreviazioni 1.2 Destinatari 1.3 Il percorso dello Studio di Fattibilità Tecnica ex comma 4, art. 50-bis del CAD

• 1.3.1 I servizi in ambito nello SFT • 1.3.2 La sintesi del parere di AID • 1.3.3 Variazioni eventuali nel numero dei servizi e relative criticità

1.4 Sintesi di informazioni organizzative e tecniche sull’Amministrazione • 1.4.1 Matrice servizi/organizzazione (responsabilità) • 1.4.2 Matrice servizi/infrastruttura tecnologica

2 Predisposizione all’emergenza 2.1 La struttura organizzativa 2.2 Comitato di crisi ICT 2.3 Responsabile della Continuità Operativa ICT 2.4 Strutture tecniche 2.5 Composizione, ruoli, procedure operative 2.6 Gestione delle reperibilità

L’indice del modello di PCO di AGID (1)

17

3 Soluzione di continuità 3.1 Interrelazioni del servizio/i con entità esterne all’Amministrazione 3.2 Dati logistici generali 3.3 Dati logistici specifici 3.4 Infrastrutture di continuità e protezione fisica 3.5 Controllo fisico degli accessi (impianti e procedure) 3.6 Ambiente logistico (interno) per la continuità 3.7 Apparati hw e postazioni di lavoro 3.8 Sw ambiente 3.9 Sw applicativo 3.10 Rete interna 3.11 Rete esterna 3.12 Istruzioni operative di start up dei servizi 3.13 Gestione dei sistemi hw, sw, di rete in situazione di normalità 3.14 Scenari di emergenza applicabili 3.15 Fase di reazione all’emergenza 3.16 Fase di gestione dell’emergenza e riattivazione dei servizi 3.17 Fase di ritorno alla normalità

4 Formazione 5 Gestione e aggiornamento del piano di continuità operativa

5.1 Modalità di esecuzione dei test periodici 5.2 Modalità di revisione e adeguamento del piano

L’indice del modello di PCO di AGID (2)

18

Razionalizzazione dei CED delle pubbliche amministrazioni

Contenuti

Come anche richiamato relativamente alle criticità

nella realizzazione della CO, il contesto dei CED della PA presenta una numericità di centri incompatibile con le forti limitazioni economiche delle Amministrazioni, con l’esigenza di regole di gestione e di pianificazione condivise e controllabili e con un’evoluzione tecnologica corretta e coordinata del «sistema IT» complessivo delle pubbliche amministrazioni

La razionalizzazione dei CED della PA è uno dei più importanti adempimenti che l’Agenda Digitale ha assegnato ad AGID

20

Razionalizzazione dei CED della PA: premesse

21

“Decreto crescita 2.0”: DL 18 ottobre 2012 n. 179 convertito nella legge 17 dicembre 2012 n. 221

Da art. 33-septies. Consolidamento e razionalizzazione dei siti e delle infrastrutture digitali del Paese, comma 1 “L'Agenzia per l'Italia digitale, con l'obiettivo di razionalizzare le risorse e favorire il consolidamento delle infrastrutture digitali delle pubbliche amministrazioni, avvalendosi dei principali soggetti pubblici titolari di banche dati, effettua il censimento dei Centri per l'elaborazione delle informazioni (CED) della pubblica amministrazione, come definiti al comma 2, ed elabora le linee guida, basate sulle principali metriche di efficienza internazionalmente riconosciute, finalizzate alla definizione di un piano triennale di razionalizzazione dei CED delle amministrazioni pubbliche che dovrà portare alla diffusione di standard comuni di interoperabilità, a crescenti livelli di efficienza, di sicurezza e di rapidità nell'erogazione dei servizi ai cittadini e alle imprese.”

Razionalizzazione dei CED della PA: la norma

Razionalizzazione dei CED della PA: attività (1)

22

Il censimento di cui parla la norma è stato preceduto nel 2012 da un’iniziativa congiunta AGID, Cisis, UPI e ANCI, sulla base di un modello di questionario condiviso Il modello del 2012 è stato rivisto e integrato per renderlo più coerente con la

norma e per tenere conto dei risultati del 2012 Il censimento è cominciato da inizio giugno, è operativamente gestito dalla

Fondazione Ugo Bordoni, che mette a disposizione anche un call center di supporto Sono interessate al censimento:

Le pubbliche amministrazioni centrali le Regioni le Province i Comuni con più di 10.000 abitanti Aziende sanitarie e ospedaliere

Il censimento dei CED della PA

Razionalizzazione dei CED della PA: attività (2)

23

sulla base di questo censimento, AGID elaborerà le linee guida per la definizione del piano triennale di razionalizzazione dei CED delle amministrazioni pubbliche il Piano, previa consultazione pubblica, sarà presentato entro il 30

settembre 2013 al Presidente del Consiglio dei ministri che, d'intesa con la Conferenza unificata, emanerà un decreto di adozione entro dicembre 2013 al seguente link è possibile trovare l’annuncio dell’avviamento del

censimento e, soprattutto, il documento strategico (position paper) delle attività:

http://www.digitpa.gov.it/notizie/avviato-censimento-dei-ced-della-pa

Le linee guida e la definizione del un piano triennale di razionalizzazione dei CED

Come avviene il censimento dei CED (1)

24

Il censimento prevede che l’Amministrazione acceda a un sito dedicato e, tramite un codice, entri nel questionario per la raccolta dei dati. Gli indirizzi delle Amministrazioni, nel caso delle Amministrazioni Locali, sono stati forniti dalle rispettive rappresentanze. Le Amministrazioni hanno ricevuto, in successione: - una prima comunicazione sul censimento e alcune modalità operative; la comunicazione è

stata inviata direttamente da AGID (PAC), a firma congiunta AGID-rappresentanze (Cisis, UPI), direttamente dalla rappresentanza (ANCI);

- una seconda comunicazione, agli stessi indirizzi ed entro 24 ore dalla precedente, da parte di FUB, con le istruzioni per accedere al sito del censimento e con il codice di ingresso al questionario del censimento. Nel caso di ANCI, la comunicazione ha indicato ai Comuni l’indirizzo di PEC al quale richiedere le stesse informazioni.

La comunicazione verso le Regioni contiene anche la richiesta di indicare i referenti delle proprie ASL e AO ai quali inviare gli stessi dati di sopra.

Come avviene il censimento dei CED (2)

25

Come detto, il censimento è effettuato per mezzo di un questionario da compilarsi on line. Le informazioni richieste riguardano aspetti di anagrafica dell’Amministrazione e del relativo datacenter, aspetti infrastrutturali, aspetti di configurazione, di continuità operativa, di sicurezza informatica. L’accesso alla compilazione è consentito tramite un codice di accesso univoco per ogni Amministrazione. Il responsabile della compilazione (referente) dovrà: Cliccare sul link (indicato nella mail inviata a ogni Amministrazione) per la compilazione del

questionario; Inserire il codice di accesso (pure ricevuto nella mail) nell’apposito campo; Compilare il questionario; Sottomettere le risposte cliccando sul pulsante “Avanti”. Una volta completato il questionario, il referente potrà stampare le proprie risposte. Qualora ne avesse necessità, il referente potrà salvare le risposte e continuare la compilazione in un secondo momento. Nel caso che l’Amministrazione disponga di più data center e intenda fornire le relative risposte (il questionario ha come ultima domanda proprio questa eventuale segnalazione) il referente riceverà un altro/i codice/i di accesso per l’inserimento di ogni ulteriore data center. Per ogni eventuale informazione o per ricevere assistenza relativa alla compilazione del questionario, il referente potrà: Scrivere alla email infoquestionarioced@fub.it . Chiamare il numero 0654802715 (dal Lunedì al Venerdi, ore 8-15) Visitare il sito http://ricognizioneced.fub.it, dove può trovare una breve guida alla compilazione nonché i

contatti sopra riportati