Il Contratto Quadro

Il Lotto 2 – PAC dell’Accordo Quadro CyberSecurity ha l’obiettivo di mettere a disposizione dell’Amministrazione risorse e strumenti finalizzati alla realizzazione del “progetto di sicurezza” ovvero all’insieme di misure da adottare finalizzate alla identificazione dello stato di sicurezza del sistema informativo e alla sua protezione. Il “progetto di sicurezza” dovrà pertanto consentire all’Amministrazione di:

  • Identificare il livello iniziale di vulnerabilità e di robustezza delle componenti infrastrutturali ed applicative del proprio sistema informativo;
  • Definire una strategia di governance della sicurezza informatica inerenti gli aspetti tecnologici, organizzativi e normativi;
  • Identificare le esigenze in termini di fabbisogni di beni/servizi di sicurezza di cui l’Amministrazione dovrà approvvigionarsi per attuare le misure di difesa ed in particolare relativamente ai servizi del Lotto 1;
  • Esercitare una azione di controllo imparziale sulla corretta esecuzione dei servizi di sicurezza del Lotto 1 e sulla efficacia delle misure di sicurezza attuate, a partire dalla fase di acquisizione degli stessi sino alla loro esecuzione a regime.

In particolare, a seguito dell’aggiudicazione del Lotto 2 – PAC relativo alla Gara a procedura aperta per la conclusione di un Accordo Quadro, ai sensi del d.lgs. 50/2016 e s.m.i., avente ad oggetto l’affidamento di servizi di sicurezza da remoto, di compliance e controllo per le Pubbliche Amministrazioni, Consip S.p.A. ha stipulato un contratto quadro con il RTI aggiudicatario, composto dalle aziende Intellera Consulting, Capgemini, HSPI e Teleconsys.

Le Amministrazioni destinatarie del Lotto 2 – PAC sono quelle inquadrate all’interno della definizione di PAC. In particolare, si vuole ricordare che in questa categoria ricadono le seguenti PA:

  • Organi costituzionali e di rilievo costituzionale
  • Presidenza del Consiglio dei Ministri
  • Ministeri, ivi compresi gli uffici periferici
  • Agenzie fiscali
  • Enti di regolazione dell’attività economica
  • Enti produttori di servizi economici
  • Autorità amministrative indipendenti
  • Enti a struttura associativa
  • Enti produttori di servizi assistenziali, ricreativi e culturali
  • Enti e Istituzioni di ricerca
  • Enti nazionali di previdenza e assistenza sociale
  • Commissari straordinari di governo
  • Comitati interministeriali
  • Agenzia per i servizi sanitari regionali (AGENAS)
  • Banca d’Italia
  • Commissione nazionale per le società e la borsa (CONSOB)
  • Istituto per la vigilanza sulle assicurazioni (IVASS)
  • Autorità per l’energia elettrica e il gas e il sistema idrico (AEEGSI)
  • Enti pubblici esercenti attività di collegamento con le organizzazioni internazionali (enti che svolgono attività di collegamento con tra il Governo Italiano e le organizzazioni internazionali quali a titolo meramente esemplificativo:
    • Comitato nazionale italiano Organizzazione Nazioni Unite per l’alimentazione e l’agricoltura (FAO)
    • Commissione nazionale per l’Unesco
  • Ordini professionali nazionali e relativi uffici periferici/collegi territoriali
  • Ogni altra Amministrazione e/o Ente di rilevanza nazionale
  • Organismi di diritto pubblico e le Società, partecipati, anche indirettamente, dai soggetti di cui a tutti i punti precedenti qualificabili come stazioni appaltanti (in caso di società partecipate da soggetti di tipologie diverse – es. partecipati contestualmente da soggetti rientranti nella PAC e da soggetti rientranti nella PAL – si intenderanno ricompresi nella PAC, ai fini della presente iniziativa, gli Organismi di diritto pubblico e le Società partecipati in misura maggioritaria, anche indirettamente, dai soggetti di cui ai punti precedenti)
  • Società in-house partecipate al 100% dai soggetti di cui ai punti precedenti

Il Lotto prevede i seguenti macroambiti di servizio:

  • Security Strategy: individuazione delle linee strategiche in ambito sicurezza ICT;
  • Vulnerability assessment: identificazione dello stato di esposizione dei servizi erogati, delle applicazioni, dell’architettura e delle componenti tecnologiche della PA;
  • Testing del codice – statico: identificazione delle vulnerabilità software all’interno del codice delle applicazioni nella fase iniziale del ciclo di vita;
  • Testing del codice – dinamico: identificazione delle vulnerabilità all’interno delle applicazioni Web e analisi dell’esposizione al rischio di attacchi informatici ai sistemi informativi;
  • Testing del codice – mobile: esecuzione test per le applicazioni di tipo mobile per la rilevazione delle vulnerabilità di sicurezza;
  • Analisi e gestione degli incidenti: supporto allo svolgimento delle attività di analisi degli incidenti e di divulgazione delle informazioni in caso di emergenza;
  • Penetration testing: analisi e valutazione dei punti deboli relativi all’infrastruttura IT;
  • Compliance normativa: supporto nell’attuazione degli adempimenti del GDPR applicato in ambito IT.

L’aggiudicatario eroga i servizi tramite i propri professionisti dislocati su tutto il territorio nazionale con risorse qualificate e certificate. Si rimanda alla consultazione delle FAQ per le modalità di stipula dei Contratti Esecutivi e di attivazione dei servizi previsti nell’ambito del presente Accordo Quadro.

Di seguito sono riportati i riferimenti alla documentazione contrattuale e la Guida al Contratto Quadro:

La documentazione contrattuale è disponibile sul sito Consip.

Si riportano di seguito le principali previsioni normative e linee guida che governano la presente iniziativa:

  • Regolamento Generale sulla Protezione dei Dati (GDPR) n. 2016/679
  • D.Lgs. 18 aprile 2016, n. 50 (“Codice dei contratti pubblici”) e s.m.i. e relative prassi attuative
  • D.Lgs. 7 marzo 2005, n. 82 (“Codice dell’Amministrazione Digitale”) e s.m.i.
  • Decreto del Presidente del Consiglio dei Ministri 1 aprile 2008 “Regole tecniche e di sicurezza per il funzionamento del Sistema pubblico di connettività previste dall’articolo 71, comma 1-bis del decreto legislativo 7 marzo 2005, n. 82, recante il «Codice dell’amministrazione digitale».” G.U. 21 giugno 2008, n. 144
  • Regolamento UE 2016/679 (“Regolamento generale sulla protezione dei dati”) e s.m.i. e relativa normativa nazionale applicabile
  • Decreto Legislativo 18 maggio 2018, n. 65 – Attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione
  • Il Regolamento UE n° 910/2014 – eIDAS
  • Determinazione Commissariale AgID N. 63/2014
  • Decreto del Presidente del Consiglio dei Ministri 8 agosto 2019 – Disposizioni sull’organizzazione e il funzionamento del computer security incident response team – CSIRT italiano
  • D.L. 105/2019 (convertito con modificazioni dalla L. 18 novembre 2019, n. 133), come adeguato a sua volta dalla legge n. 8 del 28 febbraio 2020 e dal D.L. 82/2021, recante disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica, e i DPCM (tra cui il 131/2020, entrato in vigore il 5/11/2020 e il DPCM del 15 giugno 2021 contenente le categorie individuate in attuazione dell’art. 1 comma 6 lett. a) del D.l. n. 105/2019) e regolamenti di successiva emanazione (alla data DPR 54/2021 e DPCM 81/2021), come previsti dalla menzionata legge
  • D.L. n. 77/2021 “Governance del Piano nazionale di ripresa e resilienza e prime misure di rafforzamento delle strutture amministrative e di accelerazione e snellimento delle procedure”;
  • D.L. n. 82/2021 “Disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale”;
  • DPCM n. 81/2021 “Regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di cui all’articolo 1, comma 2, lettera b), del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, e di misure volte a garantire elevati livelli di sicurezza”;
  • Piano Nazionale per la Protezione Cibernetica 2017
  • Carta dei principi per la condotta tecnologica e relativi documenti ivi richiamati
  • Linee guida AgID per il contrassegno generato elettronicamente ai sensi dell’articolo 23-ter, comma 5 del CAD
  • Linee guida AgID di sicurezza nel procurement ICT
  • Linee guida AgID per lo sviluppo del software sicuro
  • Linee Guida AgID per adeguare la sicurezza del software di base
  • Linee Guida AgID per la modellazione delle minacce e individuazione delle azioni di mitigazione
  • Linee Guida AgID per lo sviluppo e la definizione del modello nazionale di riferimento per i CERT regionali
  • Misure minime di sicurezza ICT per le pubbliche amministrazioni
  • Standard ISO 27002:2007 che stabilisce che la sicurezza dell’informazione è caratterizzata da integrità, riservatezza e disponibilità
  • Standard ISO 27001:2005 che fornisce i requisiti di un Sistema di Gestione della Sicurezza nelle tecnologie dell’informazione
  • Standard ISO IEC 62443 standard mondiale di protezione dei sistemi di controllo industriale
  • Eventuali successive modificazioni delle norme e standard di riferimento
  • Ogni altra disposizione normativa e regolamentare applicabile