n.265 del 07.08.2019 periodico (Parte Seconda)

LA GIUNTA DELLA REGIONE EMILIA-ROMAGNA

Visto l’articolo n. 51 del D.lgs. n. 82/2005, denominato Codice dell’Amministrazione digitale che individua quali cardini della sicurezza dei dati, dei sistemi e delle infrastrutture delle pubbliche amministrazioni la disponibilità, l’accessibilità, l’integrità e la riservatezza dei dati;

Visto, altresì, che il medesimo articolo prescrive alle Pubbliche Amministrazioni di ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato o non consentito o non conforme alle finalità della raccolta dei dati;

Visto il Regolamento Europeo 2016/679 “Regolamento generale sulla protezione dei dati”;

Dato atto che il suddetto regolamento richiede di applicare misure tecniche ed organizzative adeguate, per garantire un livello di sicurezza a sua volta adeguato al rischio per la protezione dei dati personali;

Vista la Direttiva del Presidente del Consiglio dei Ministri del 1 agosto 2015 che emana disposizioni finalizzate a consolidare lo stato della sicurezza informatica nazionale, alla luce dei crescenti rischi cibernetici che minacciano anche il nostro Paese;

Viste le Misure minime di sicurezza ICT per le Pubbliche amministrazioni emesse da Agid in attuazione della suindicata Direttiva;

Vista, altresì, la propria deliberazione n. 1718/2016 con cui è stato approvato il documento “Indirizzi per la Governance dell’ICT regionale e piano di sviluppo 2017-2019” che definisce un nuovo modello di Governance e le azioni di sviluppo prioritarie per il triennio 2017-2019;

Valutato, inoltre, che:

- la tutela del patrimonio delle informazioni riveste importanza strategica per la Giunta e per l’Assemblea legislativa della Regione Emilia-Romagna;

- il sistema informativo regionale è costituito da un’infrastruttura tecnologica molto articolata e complessa per cui si rende necessario assicurare maggiore organicità e coordinamento all’attività del personale informatico incaricato di gestire e amministrare i sistemi informatici e telematici anche a fronte di possibili incidenti di sicurezza;

Considerato che la digitalizzazione dell’azione amministrativa, le interazioni telematiche con cittadini e imprese, ivi comprese accessibilità e usabilità dei servizi on-line, la Carta della cittadinanza digitale, il domicilio digitale, impongono un approccio security by design dal punto di vista organizzativo, metodologico e tecnologico;

Considerato, inoltre, che l’Ente persegue la promozione e lo sviluppo digitale della cittadinanza attraverso le iniziative dell’Agenda digitale e nella realizzazione di servizi integrati e via via più evoluti, nell’adozione di strumenti che consentano, anche all’interno dell’Amministrazione, di procedere nel percorso di trasformazione digitale;

Valutato, quindi, di volgere prioritaria attenzione ai rischi di sicurezza che un’Amministrazione attenta alle esigenze dei cittadini può e deve evitare, mettendo in campo azioni che in primo luogo promuovano lo sviluppo di una cultura della sicurezza che non deve essere gestita come mero adempimento;

Dato atto che la Giunta della Regione Emilia-Romagna ha adottato un Sistema di Gestione per la Sicurezza Informatica (SGSI) secondo lo standard internazionale ISO/IEC 27001:2013 e ha ottenuto la relativa certificazione nel 2017;

Considerato, altresì, il Servizio ICT regionale ha avviato anche un percorso di certificazione della sicurezza della gestione delle informazioni ISO 27017 E 27018 e che presupposto essenziale per il conseguimento e il mantenimento di tale certificazione è l’aggiornamento della policy generale in materia di sicurezza delle informazioni, in cui l’Ente stabilisca, tra le altre cose, oggetto, campo di applicazione, contesto e modalità di realizzazione del suddetto Sistema di Gestione per la Sicurezza Informatica (SGSI);

Valutato, quindi, di sostituire la propria deliberazione n. 622/2017, introducendo, in particolare, i riferimenti al Community cloud regionale e al nuovo assetto di responsabilità in materia di protezione dei dati personali e sicurezza informatica;

Acquisita con PG/2019/604654 l’intesa con l’Ufficio di Presidenza dell’Assemblea legislativa nella seduta in data 17/7/2019;

Visti:

• la L.R. 26 novembre 2001, n. 43 “Testo unico in materia di organizzazione e di rapporto di lavoro nella Regione Emilia-Romagna” e ss.mm.ii.;
• il D.lgs. 14 marzo 2013, n. 33 “Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni” e ss.mm.ii.;
• la propria deliberazione n. 122 del 28 gennaio 2019 “Approvazione piano triennale di prevenzione della corruzione 2019 -2021”, ed in particolare l’allegato D “Direttiva di indirizzi interpretativi per l'applicazione degli obblighi di pubblicazione previsti dal D.lgs. n. 33 del 2013. Attuazione del piano triennale di prevenzione della corruzione 2019-2021; 

Viste le proprie deliberazioni:

• n. 2416 del 29 dicembre 2008 “Indirizzi in ordine alle relazioni organizzative e funzionali tra le strutture e sull’esercizio delle funzioni dirigenziali. Adempimenti conseguenti alla delibera 999/2008. Adeguamento e aggiornamento della delibera n. 450/2007” e ss.mm.ii, per quanto applicabile;
• n. 270 del 29 febbraio 2016 “Attuazione prima fase della riorganizzazione avviate con Delibera 2189/2015”;
• n. 622 del 28 aprile 2016 "Attuazione seconda fase della riorganizzazione avviata con Delibera 2189/2015";
• n. 702 del 16 febbraio 2016 “Approvazione incarichi dirigenziali conferiti nell'ambito delle Direzioni Generali – Agenzie – Istituto, e nomina dei responsabili della prevenzione della corruzione, della trasparenza e accesso civico, della sicurezza del trattamento dei dati personali, e dell'anagrafe della stazione appaltante”;
• n. 56 del 25 gennaio 2016 “Affidamento degli incarichi di Direttore Generale della Giunta regionale, ai sensi dell’art.43 della L.R. 43/2001”;
• n. 1107 del 11 luglio 2016 "Integrazione delle declaratorie delle strutture organizzative della Giunta regionale a seguito dell'implementazione della seconda fase della riorganizzazione avviata con Delibera 2189/2015";
• n. 1059 del 3 luglio 2018 “Approvazione degli incarichi dirigenziali rinnovati e conferiti nell'ambito delle Direzioni generali, Agenzie e Istituti e nomina del Responsabile della prevenzione della corruzione e della trasparenza (RPCT), del Responsabile dell'anagrafe per la stazione appaltante (RASA) e del Responsabile della protezione dei dati (DPO)”;
• n. 468 del 10 aprile 2017 “Il sistema dei controlli interni nella regione Emilia-Romagna”;
• n. 1123 del 16 luglio 2018 “ATTUAZIONE REGOLAMENTO (UE) 2016/679: DEFINIZIONE DI COMPETENZE E RESPONSABILITA' IN MATERIA DI PROTEZIONE DEI DATI PERSONALI. ABROGAZIONE APPENDICE 5 DELLA DELIBERA DI GIUNTA REGIONALE N. 2416/2008 E SS.MM.II”;

Viste:

• le circolari del Capo di Gabinetto del Presidente della Giunta regionale PG/2017/0660476 del 13 ottobre 2017 e PG/2017/0779385 del 21 dicembre 2017 relative ad indicazioni procedurali per rendere operativo il sistema dei controlli interni predisposte in attuazione della propria deliberazione n. 468/2017;
• la propria determina dirigenziale n. 12807 del 3/8/2018 “DISCIPLINARE TECNICO PER LA GESTIONE DEGLI INCIDENTI DI SICUREZZA E DATA BREACH”;

Dato atto che il Responsabile del Procedimento ha dichiarato di non trovarsi in situazioni di conflitto, anche potenziale, di interessi;

Dato atto dei pareri allegati;

Su proposta dell'Assessore a “Trasporti, reti infrastrutture materiali e immateriali, programmazione territoriale e agenda digitale”;

A voti unanimi e palesi

delibera

a) di approvare l’allegato “Politica per la sicurezza delle informazioni” da ritenersi parte integrante e sostanziale del presente atto, che sostituisce la disciplina approvata con propria deliberazione n. 622/2017;

b) di disporre che l’allegato “Politica per la sicurezza delle informazioni” sia pubblicato sul sito istituzionale dell’Ente e sia reso disponibile a tutti i soggetti interessati;

c) di disporre che la presente deliberazione sia pubblicata nel Bollettino Ufficiale della Regione Emilia-Romagna Telematico;

d) di dare atto, infine, che per quanto previsto in materia di pubblicità, trasparenza e diffusione di informazioni, si provvederà ai sensi delle disposizioni normative e amministrative richiamate in parte narrativa.