Il Contratto Quadro
Il Lotto 2 – PAC dell’Accordo Quadro CyberSecurity ha l’obiettivo di mettere a disposizione dell’Amministrazione risorse e strumenti finalizzati alla realizzazione del “progetto di sicurezza” ovvero all’insieme di misure da adottare finalizzate alla identificazione dello stato di sicurezza del sistema informativo e alla sua protezione. Il “progetto di sicurezza” dovrà pertanto consentire all’Amministrazione di:
- Identificare il livello iniziale di vulnerabilità e di robustezza delle componenti infrastrutturali ed applicative del proprio sistema informativo;
- Definire una strategia di governance della sicurezza informatica inerenti gli aspetti tecnologici, organizzativi e normativi;
- Identificare le esigenze in termini di fabbisogni di beni/servizi di sicurezza di cui l’Amministrazione dovrà approvvigionarsi per attuare le misure di difesa ed in particolare relativamente ai servizi del Lotto 1;
- Esercitare una azione di controllo imparziale sulla corretta esecuzione dei servizi di sicurezza del Lotto 1 e sulla efficacia delle misure di sicurezza attuate, a partire dalla fase di acquisizione degli stessi sino alla loro esecuzione a regime.
In particolare, a seguito dell’aggiudicazione del Lotto 2 – PAC relativo alla Gara a procedura aperta per la conclusione di un Accordo Quadro, ai sensi del d.lgs. 50/2016 e s.m.i., avente ad oggetto l’affidamento di servizi di sicurezza da remoto, di compliance e controllo per le Pubbliche Amministrazioni, Consip S.p.A. ha stipulato un contratto quadro con il RTI aggiudicatario, composto dalle aziende Intellera Consulting, Capgemini, HSPI e Teleconsys.
Le Amministrazioni destinatarie del Lotto 2 – PAC sono quelle inquadrate all’interno della definizione di PAC. In particolare, si vuole ricordare che in questa categoria ricadono le seguenti PA:
- Organi costituzionali e di rilievo costituzionale
- Presidenza del Consiglio dei Ministri
- Ministeri, ivi compresi gli uffici periferici
- Agenzie fiscali
- Enti di regolazione dell’attività economica
- Enti produttori di servizi economici
- Autorità amministrative indipendenti
- Enti a struttura associativa
- Enti produttori di servizi assistenziali, ricreativi e culturali
- Enti e Istituzioni di ricerca
- Enti nazionali di previdenza e assistenza sociale
- Commissari straordinari di governo
- Comitati interministeriali
- Agenzia per i servizi sanitari regionali (AGENAS)
- Banca d’Italia
- Commissione nazionale per le società e la borsa (CONSOB)
- Istituto per la vigilanza sulle assicurazioni (IVASS)
- Autorità per l’energia elettrica e il gas e il sistema idrico (AEEGSI)
- Enti pubblici esercenti attività di collegamento con le organizzazioni internazionali (enti che svolgono attività di collegamento con tra il Governo Italiano e le organizzazioni internazionali quali a titolo meramente esemplificativo:
- Comitato nazionale italiano Organizzazione Nazioni Unite per l’alimentazione e l’agricoltura (FAO)
- Commissione nazionale per l’Unesco
- Ordini professionali nazionali e relativi uffici periferici/collegi territoriali
- Ogni altra Amministrazione e/o Ente di rilevanza nazionale
- Organismi di diritto pubblico e le Società, partecipati, anche indirettamente, dai soggetti di cui a tutti i punti precedenti qualificabili come stazioni appaltanti (in caso di società partecipate da soggetti di tipologie diverse – es. partecipati contestualmente da soggetti rientranti nella PAC e da soggetti rientranti nella PAL – si intenderanno ricompresi nella PAC, ai fini della presente iniziativa, gli Organismi di diritto pubblico e le Società partecipati in misura maggioritaria, anche indirettamente, dai soggetti di cui ai punti precedenti)
- Società in-house partecipate al 100% dai soggetti di cui ai punti precedenti
Il Lotto prevede i seguenti macroambiti di servizio:
- Security Strategy: individuazione delle linee strategiche in ambito sicurezza ICT;
- Vulnerability assessment: identificazione dello stato di esposizione dei servizi erogati, delle applicazioni, dell’architettura e delle componenti tecnologiche della PA;
- Testing del codice – statico: identificazione delle vulnerabilità software all’interno del codice delle applicazioni nella fase iniziale del ciclo di vita;
- Testing del codice – dinamico: identificazione delle vulnerabilità all’interno delle applicazioni Web e analisi dell’esposizione al rischio di attacchi informatici ai sistemi informativi;
- Testing del codice – mobile: esecuzione test per le applicazioni di tipo mobile per la rilevazione delle vulnerabilità di sicurezza;
- Analisi e gestione degli incidenti: supporto allo svolgimento delle attività di analisi degli incidenti e di divulgazione delle informazioni in caso di emergenza;
- Penetration testing: analisi e valutazione dei punti deboli relativi all’infrastruttura IT;
- Compliance normativa: supporto nell’attuazione degli adempimenti del GDPR applicato in ambito IT.
L’aggiudicatario eroga i servizi tramite i propri professionisti dislocati su tutto il territorio nazionale con risorse qualificate e certificate. Si rimanda alla consultazione delle FAQ per le modalità di stipula dei Contratti Esecutivi e di attivazione dei servizi previsti nell’ambito del presente Accordo Quadro.
Di seguito sono riportati i riferimenti alla documentazione contrattuale e la Guida al Contratto Quadro:
- ID 2296 – Gara Sicurezza da remoto – Allegato 1 – Capitolato Tecnico Generale
- ID 2296 – Gara Sicurezza da remoto – Allegato 2B – Capitolato Tecnico Speciale Lotto 2
- ID 2296 – Gara Sicurezza da remoto – Allegato 3B – Schema Accordo Quadro – Lotto 2
- ID 2296 – Gara sicurezza da remoto – Allegato 4B – Schema di Contratto Esecutivo – Lotto 2
- ID 2296 – Gara Sicurezza da remoto – Appendice 1 al CTS Lotto 2_Indicatori di qualità
- ID 2296 – Gara Sicurezza da remoto – Appendice 2 al CTS Lotto 2_Profili Professionali
- Guida all’Accordo Quadro
La documentazione contrattuale è disponibile sul sito Consip.
Si riportano di seguito le principali previsioni normative e linee guida che governano la presente iniziativa:
- Regolamento Generale sulla Protezione dei Dati (GDPR) n. 2016/679
- D.Lgs. 18 aprile 2016, n. 50 (“Codice dei contratti pubblici”) e s.m.i. e relative prassi attuative
- D.Lgs. 7 marzo 2005, n. 82 (“Codice dell’Amministrazione Digitale”) e s.m.i.
- Decreto del Presidente del Consiglio dei Ministri 1 aprile 2008 “Regole tecniche e di sicurezza per il funzionamento del Sistema pubblico di connettività previste dall’articolo 71, comma 1-bis del decreto legislativo 7 marzo 2005, n. 82, recante il «Codice dell’amministrazione digitale».” G.U. 21 giugno 2008, n. 144
- Regolamento UE 2016/679 (“Regolamento generale sulla protezione dei dati”) e s.m.i. e relativa normativa nazionale applicabile
- Decreto Legislativo 18 maggio 2018, n. 65 – Attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione
- Il Regolamento UE n° 910/2014 – eIDAS
- Determinazione Commissariale AgID N. 63/2014
- Decreto del Presidente del Consiglio dei Ministri 8 agosto 2019 – Disposizioni sull’organizzazione e il funzionamento del computer security incident response team – CSIRT italiano
- D.L. 105/2019 (convertito con modificazioni dalla L. 18 novembre 2019, n. 133), come adeguato a sua volta dalla legge n. 8 del 28 febbraio 2020 e dal D.L. 82/2021, recante disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica, e i DPCM (tra cui il 131/2020, entrato in vigore il 5/11/2020 e il DPCM del 15 giugno 2021 contenente le categorie individuate in attuazione dell’art. 1 comma 6 lett. a) del D.l. n. 105/2019) e regolamenti di successiva emanazione (alla data DPR 54/2021 e DPCM 81/2021), come previsti dalla menzionata legge
- D.L. n. 77/2021 “Governance del Piano nazionale di ripresa e resilienza e prime misure di rafforzamento delle strutture amministrative e di accelerazione e snellimento delle procedure”;
- D.L. n. 82/2021 “Disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale”;
- DPCM n. 81/2021 “Regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di cui all’articolo 1, comma 2, lettera b), del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, e di misure volte a garantire elevati livelli di sicurezza”;
- Piano Nazionale per la Protezione Cibernetica 2017
- Carta dei principi per la condotta tecnologica e relativi documenti ivi richiamati
- Linee guida AgID per il contrassegno generato elettronicamente ai sensi dell’articolo 23-ter, comma 5 del CAD
- Linee guida AgID di sicurezza nel procurement ICT
- Linee guida AgID per lo sviluppo del software sicuro
- Linee Guida AgID per adeguare la sicurezza del software di base
- Linee Guida AgID per la modellazione delle minacce e individuazione delle azioni di mitigazione
- Linee Guida AgID per lo sviluppo e la definizione del modello nazionale di riferimento per i CERT regionali
- Misure minime di sicurezza ICT per le pubbliche amministrazioni
- Standard ISO 27002:2007 che stabilisce che la sicurezza dell’informazione è caratterizzata da integrità, riservatezza e disponibilità
- Standard ISO 27001:2005 che fornisce i requisiti di un Sistema di Gestione della Sicurezza nelle tecnologie dell’informazione
- Standard ISO IEC 62443 standard mondiale di protezione dei sistemi di controllo industriale
- Eventuali successive modificazioni delle norme e standard di riferimento
- Ogni altra disposizione normativa e regolamentare applicabile