Dopo l’entrata in vigore della circolare AgID n. 1/2019 sul Censimento del patrimonio ICT delle PA e classificazione delle infrastrutture idonee all’uso da parte dei PSN, è stata pubblicata in Gazzetta ufficiale, la “Procedura di valutazione” dell’idoneità all’utilizzo da parte di PSN” . Si tratta di un’attività svolta sulle infrastrutture risultate preliminarmente idonee a seguito delle fasi di censimento definite nella Circolare. Della procedura si fa carico AgID ,attraverso la visita in loco dell’infrastruttura da parte di un gruppo di verifica preposto e sarà condotta secondo i principi della norma UNI EN ISO 19011:2018.
Con la circolare 1/2019, AgID ha dato effettività al Censimento del Patrimonio ICT della PA per individuare le infrastrutture fisiche:
a. candidabili ad essere utilizzate da parte dei Poli Strategici Nazionali; b. con requisiti minimi di affidabilità e sicurezza dal punto di vista infrastrutturale e/o organizzativo (Data Center concarenze strutturali/organizzative considerate minori – classificabili nel Gruppo A); c. con carenze strutturali e/o organizzative o che non garantiscono la continuità dei servizi (Data Center classificabili nel Gruppo B).
Le fasi organizzative per la valutazione d’idoneità e la visita in loco
1. AgID, contestualmente alla comunicazione finale dell’esito del censimento, demanda alla PA di una infrastruttura ritenuta candidabile a essere utilizzata da PSN, la manifestazione della volontà di sottoporre alla verifica tale infrastruttura. In caso negativo, l’infrastruttura è classificata come Gruppo A.
2. AgID costituisce uno o più specifici Gruppi di Verifica (GdV), composti da diverse competenze specialistiche, che hanno il compito di attuare la procedura e verificare i requisiti dell’idoneità delle infrastrutture. Ai GdV potranno anche essere affidate funzioni di controllo del mantenimento delle caratteristiche abilitanti delle stesse infrastrutture.
3. AgID effettua una comunicazione alla P.A referente, con un preavviso di 15 giorni, la data della verifica d’idoneità, e contenente i seguenti elementi:
– la composizione del GdV;
– documenti e strutture da rendere disponibili a cura dell’Amministrazione per la verifica;
– data di inizio delle attività di verifica e modalità di svolgimento;
– stima del tempo e della durata delle attività.
4. La PA comunica ad AgID, entro 7 giorni dal ricevimento della comunicazione, il proprio referente per la verifica e i nominativi e le qualifiche del personale partecipante alla verifica. Se la PA non fornisce le informazioni necessarie entro i tempi previsti, la verifica d’idoneità è annullata e l’infrastruttura è classificata come Gruppo A.
5. La visita in loco per la verifica di idoneità è organizzata in tre fasi:
– verifica dell’effettiva conformità ai requisiti preliminari di cui all’allegato A della circolare 1/2019 di AgID
– verifica dei riscontri documentali;
– verifica dei requisiti infrastrutturali complementari
Cosa succede in caso di riscontro negativo
In caso di riscontro negativo, la verifica si interrompe e il gruppo di verifica comunica alla PA gli esiti negativi di non conformità. La P.A ha 15 giorni per rimuovere le non conformità, informare AgID e richiedere una nuova verifica. Entro 7 giorni dalla richiesta di nuova verifica, AgID comunica la data di nuova visita per riprendere l’esame degli elementi non conformi. Nel caso di esame con esito positivo, la visita prosegue secondo le fasi non ancora attuate del processo di verifica. Se persistono ulteriori riscontri negativi, la procedura si interrompe definitivamente e l’infrastruttura è classificata come Gruppo A oppure Gruppo B (questo ultimo caso, quando non vengano riscontrate nemmeno le caratteristiche del Gruppo A contenute nell’allegato A della Circolare 1/2019).
In caso di riscontro positivo
Al termine della verifica è redatto un verbale. Si produce una relazione complessiva con la proposta di iscrizione dell’infrastruttura nell’elenco di quelle idonee a essere utilizzate dal PSN. Dopo essere stata valutata da AgID, se approvata, l’infrastruttura esaminata è iscritta dall’Agenzia nell’elenco delle infrastrutture idonee a essere utilizzate dal PSN.
Scarica qui la Circolare AgID 01/14/06/2019
