Gazzetta n. 291 del 14 dicembre 2017 (vai al sommario) AGENZIA PER L'ITALIA DIGITALE CIRCOLARE 30 novembre 2017, n. 5 Censimento del Patrimonio ICT delle Amministrazioni e qualificazione dei Poli Strategici Nazionali. Premessa. La presente circolare e i relativi allegati definiscono le attivita' di censimento del patrimonio ICT delle pubbliche amministrazioni e la procedura di qualificazione dei Poli strategici nazionali, cosi' come previsto nel «Piano triennale per l'informatica nella pubblica amministrazione 2017-2019», approvato con decreto del Presidente del Consiglio dei ministri del 31 maggio 2017. Le previsioni contenute nel Piano triennale, fissando i principi architetturali fondamentali, le regole di usabilita' ed interoperabilita', la logica di classificazione delle spese ICT ed il modello per lo sviluppo del digitale, rappresentano il riferimento per lo sviluppo dei sistemi informativi delle pubbliche amministrazioni per il prossimo triennio. I principali obiettivi del Piano triennale sono: definire le linee della strategia di sviluppo e realizzazione del sistema informativo della pubblica amministrazione in un quadro organico in base a quanto previsto dagli obiettivi dell'Agenda digitale italiana, dunque del Piano crescita digitale; razionalizzare, ovvero riqualificare la spesa ICT delle amministrazioni in coerenza con gli obiettivi della legge di stabilita' 2016. Con specifico riferimento a quanto previsto al paragrafo 3.1 del Piano triennale «Data Center e Cloud», tutte le pubbliche amministrazioni che dispongono di infrastrutture fisiche in qualsiasi forma contrattuale dovranno partecipare al censimento effettuato da AgID sulla base del quale saranno individuate le infrastrutture fisiche delle pubbliche amministrazioni candidate a ricoprire il ruolo di Poli strategici nazionali o classificabili nelle seguenti categorie (nella logica di salvaguardia degli investimenti pregressi effettuati dalle amministrazioni): gruppo A - Data center di qualita' non eleggibili a Polo strategico nazionale, oppure con carenze strutturali o organizzative considerate minori. gruppo B - Data center che non garantiscono requisiti minimi di affidabilita' e sicurezza dal punto di vista infrastrutturale e/o organizzativo, o non garantiscono la continuita' dei servizi. Definizioni. ===================================================================== | Termine o abbreviazione | Descrizione | +=====================================+=============================+ | |Rappresenta l'insieme di | | |azioni e norme per lo | | |sviluppo delle tecnologie, | | |dell'innovazione e | | |dell'economia digitale. | | |L'Agenda digitale e' una | | |delle sette iniziative della | | |strategia Europa 2020, che | | |fissa gli obiettivi per la | | |crescita nell'Unione europea | |Agenda digitale italiana |da raggiungere entro il 2020.| +-------------------------------------+-----------------------------+ | |Agenzia per l'Italia | |Agenzia/AgID |digitale. | +-------------------------------------+-----------------------------+ | |Le amministrazioni, come | | |meglio definite all'art. 2, | | |comma 2 del Codice | |Pubbliche |dell'amministrazione | |amministrazioni/amministrazioni/PA |digitale. | +-------------------------------------+-----------------------------+ | |Decreto legislativo 7 marzo | | |2005, n. 82 e successive | |Codice/Codice dell'amministrazione |modificazioni ed | |digitale/CAD |integrazioni. | +-------------------------------------+-----------------------------+ | |Il Cloud della PA e' composto| | |da Cloud SPC, dai PSN e dagli| | |altri CSP che saranno | | |qualificati come compatibili | | |con i requisiti Cloud della | |Cloud della PA |PA. | +-------------------------------------+-----------------------------+ | |Cloud service provider, | | |ovvero fornitore di servizi | |CSP |erogati in modalita' Cloud. | +-------------------------------------+-----------------------------+ | |Il soggetto al quale e' | | |affidata la realizzazione ed | | |erogazione di servizi e | | |forniture per lo sviluppo, | | |gestione ed evoluzione dei | | |sistemi informatici delle PA,| | |ovvero l'operatore contraente| |Fornitore |nell'ambito di un contratto. | +-------------------------------------+-----------------------------+ | |Piano previsto dalla legge 28| | |dicembre 2015, n. 208, art. | | |1, comma 513, predisposto da | | |AgID ed approvato dal | |Piano triennale/Piano triennale per |Presidente del Consiglio dei | |l'informatica nella pubblica |ministri in data 31 maggio | |amministrazione 2017-2019 |2017. | +-------------------------------------+-----------------------------+ | |Piano predisposto dalle | | |amministrazioni ai sensi | | |dell'art. 1, comma 513 della | | |legge 28 dicembre 2015, n. | | |208, coerentemente con la | | |programmazione delle | | |acquisizioni di beni e | | |servizi informatici, anche ai| | |sensi dell'art. 21, comma 6 | | |del decreto legislativo n. | |Piano triennale dell'amministrazione |50/2016. | +-------------------------------------+-----------------------------+ | |Progetti come individuati da | | |specifici decreti del | | |Presidente del Consiglio dei | | |ministri, ai sensi dell'art. | | |63, comma 2 del decreto | |Progetti/interventi strategici o |legislativo 26 agosto 2016, | |progetti di rilevanza strategica |n. 179. | +-------------------------------------+-----------------------------+ | |Soggetto titolare | | |dell'insieme di | | |infrastrutture IT | | |(centralizzate o | | |distribuite), ad alta | | |disponibilita', di proprieta'| | |pubblica, eletto a Polo | | |strategico nazionale dalla | | |Presidenza del Consiglio dei | | |ministri, e qualificato da | | |AgID ad erogare ad altre | | |amministrazioni, in maniera | | |continuativa e sistematica, | | |servizi infrastrutturali | | |on-demand, servizi di | | |disaster recovery e business | | |continuity, servizi di | | |gestione della sicurezza IT | | |ed assistenza ai fruitori dei| |PSN/Polo strategico nazionale |servizi erogati | +-------------------------------------+-----------------------------+ | |Responsabile del censimento | | |del patrimonio ICT presso | | |l'amministrazione censita; | | |tale ruolo e' svolto dal | | |responsabile per la | | |transizione digitale di cui | | |all'art. 17 del Codice | | |dell'amministrazione digitale| | |o, in sua vece, o da persona | |Responsabile del censimento del |formalmente nominata | |patrimonio ICT/Responsabile del |dall'organo di vertice | |censimento |amministrativo dell'ente. | +-------------------------------------+-----------------------------+ | |Contratto quadro stipulato da| | |CONSIP con il RTI | | |aggiudicatario della Gara SPC| | |Cloud lotto 1 | |SPC Cloud |(https://www.cloudspc.it/). | +-------------------------------------+-----------------------------+ | |Piano strategico nazionale, | | |approvato dal Consiglio dei | | |ministri del 3 marzo 2015, | | |che delinea la strategia di | | |crescita digitale del Paese e| | |che traccia il percorso utile| | |al perseguimento degli | | |obiettivi dell'Agenda | | |digitale, nell'ambito | |«Strategia per la crescita digitale |dell'Accordo di partenariato | |2014-2020» |2014-2020. | +-------------------------------------+-----------------------------+ Art. 1 Ambito di applicazione Le amministrazioni tenute all'osservanza della presente circolare sono quelle richiamate dall'art. 2, comma 2 del Codice dell'amministrazione digitale (CAD), che fa riferimento «alle pubbliche amministrazioni di cui all'art. 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, nel rispetto del riparto di competenza di cui all'art. 117 della Costituzione, nonche' le societa' a controllo pubblico, come definite nel decreto legislativo adottato in attuazione dell'art. 18 delle legge n. 124 del 2015, escluse le societa' quotate come definite dallo stesso decreto legislativo adottato in attuazione dell'art. 18 delle legge n. 124 del 2015».   Allegato A PROCESSO DI VALUTAZIONE DELL'IDONEITA' DEI SOGGETTI CANDIDATI A PSN Parte di provvedimento in formato grafico   Art. 2 Ruolo e competenze dell'Agenzia per l'Italia digitale Nell'ambito del Piano triennale, e' affidato all'Agenzia per l'Italia digitale il compito di definire il Piano di razionalizzazione delle risorse ICT della PA (1) . A tal fine e' previsto che AgID individui, attraverso apposita procedura, un insieme di infrastrutture fisiche di proprieta' pubblica che verranno elette a Poli strategici nazionali. In particolare, per quanto concerne la presente circolare, all'Agenzia spetta il compito di: effettuare il censimento del patrimonio ICT della PA e, in particolare, la ricognizione dello stato dei CED come stabilito dalla legge 17 dicembre 2012, n. 221; individuare i Poli strategici nazionali, secondo apposita procedura di cui alla presente circolare; sottoporre all'approvazione del Consiglio dei ministri l'Elenco nazionale dei poli strategici; definire lo specifico Protocollo d'intesa con il Polo strategico nazionale per la messa a disposizione di risorse ICT a favore delle altre PA; verificare il mantenimento della qualificazione dei poli inseriti nell'Elenco nazionale; pianificare le macro-attivita' a carico dei Poli strategici nazionali ed eseguire il monitoraggio delle iniziative stabilite; facilitare il percorso delle PA verso il modello Cloud della PA, attraverso anche la stipula della Convenzione fra AgID e i PSN. (1) Legge 17 dicembre 2012, n. 221, conversione, con modificazioni, del decreto-legge 18 ottobre 2012, n. 179, recante ulteriori misure urgenti per la crescita del Paese (Gazzetta Ufficiale n. 294 del 18 dicembre 2012, supplemento ordinario n. 208).   Allegato B REQUISITI PRELIMINARI PER L'IDENTIFICAZIONE DEI SOGGETTI CANDIDABILI A PSN Parte di provvedimento in formato grafico   Art. 3 Censimento del patrimonio ICT della PA Dalle attivita' di ricognizione e censimento dell'intero patrimonio ICT in esercizio presso la PA, AgID individuera' i soggetti che potranno candidarsi a ricoprire il ruolo di Polo strategico nazionale. In particolare, il censimento si propone di: produrre un quadro informativo/statistico sulle principali installazioni informatiche a livello nazionale, regionale e locale; individuare per ogni amministrazione l'insieme dei principali componenti hardware e software; fornire dati e informazioni utili alla razionalizzazione delle infrastrutture digitali dell'amministrazione, ai sensi del decreto-legge 18 ottobre 2012, n. 179 convertito nella legge n. 221/2012. La partecipazione al censimento consente alla singola amministrazione di valorizzare il proprio patrimonio informativo e conoscere il raggruppamento di appartenenza del Data center in uso rispetto alla classificazione di cui in premessa, al fine di poter realizzare correttamente le azioni richieste dal Piano triennale.   Art. 4 La Procedura di censimento del patrimonio ICT della PA Attraverso una procedura informatica assistita, pubblicata sul sito istituzionale dell'Agenzia all'indirizzo: https://www.censimentoict.italia.it, viene sottoposto alle amministrazioni il «Questionario di rilevazione del Patrimonio ICT della PA» (di seguito semplicemente «Questionario»). AgID, in seguito alla pubblicazione della presente circolare, comunica sul proprio sito istituzionale i termini per l'avvio e la chiusura del censimento e le modalita' operative per la compilazione. Per l'espletamento delle attivita' di censimento, AgID procedera' in accordo con i soggetti che manifestano la volonta' di operare come coordinatori territoriali rispetto: 1) all'azione di censimento del patrimonio ICT della PA; 2) all'azione di trasformazione dei Data center delle PA/enti presenti sul territorio, in relazione al censimento e alla chiusura dei data center del «gruppo B». La compilazione del «questionario» sara' effettuata dal responsabile del censimento. Al termine del censimento e sulla base dei dati forniti, l'amministrazione sara' classificata in una delle seguenti categorie: «Polo strategico nazionale»; «gruppo A»; «gruppo B», e il sistema rilascera' apposita ricevuta con valore di conclusione del procedimento. La classificazione delle amministrazioni sara' pubblicata sul sito internet dell'Agenzia. Qualora l'amministrazione dovesse ritenere non appropriata la classificazione ottenuta, potra' richiedere l'aggiornamento dei propri dati, entro dieci giorni solari dalla ricevuta di conclusione del procedimento. La mancata o parziale compilazione del «questionario» entro i termini stabiliti, qualora non motivata, determina la classificazione d'ufficio dell'amministrazione nel «gruppo B». Una raccolta dati potra' essere richiesta annualmente al fine di rilevare gli aggiornamenti delle informazioni comunicate precedentemente e monitorare lo stato di avanzamento dei lavori delle amministrazioni.   Art. 5 Polo strategico nazionale (PSN) Per PSN si intende il soggetto titolare dell'insieme di infrastrutture IT (centralizzate o distribuite), ad alta disponibilita', di proprieta' pubblica, eletto a Polo strategico nazionale dalla Presidenza del Consiglio dei ministri e qualificato da AgID ad erogare, in maniera continuativa e sistematica, ad altre amministrazioni: servizi infrastrutturali on-demand (es. housing, hosting, IaaS, PaaS, SaaS, ecc.); servizi di disaster recovery e business continuity; servizi di gestione della sicurezza IT; servizi di assistenza ai fruitori dei servizi erogati. Presso i PSN dovranno essere presenti e gestite le principali infrastrutture ICT (hardware, software, connettivita') messe a disposizione delle altre amministrazioni, senza vincoli rispetto alla localizzazione sul territorio nazionale.   Art. 6 Procedura di qualificazione dei Poli strategici nazionali (PSN) La procedura di qualificazione dei Poli strategici nazionali e' articolata in cinque fasi: A) identificazione dei soggetti candidabili e presentazione della domanda di qualificazione; B) attivita' istruttoria; C) approvazione dei PSN da parte della Presidenza del Consiglio dei ministri e iscrizione nell'Elenco nazionale dei PSN; D) sottoscrizione del Protocollo d'intesa con AgID; E) monitoraggio dell'Elenco nazionale dei PSN. A. Identificazione dei soggetti candidabili e presentazione della domanda di qualificazione. L'identificazione dei soggetti candidabili a PSN avviene nei casi in cui le risultanze del Censimento del patrimonio ICT della PA evidenzino la sussistenza dei requisiti specificati nel dettaglio all'allegato B - Requisiti preliminari per l'identificazione dei soggetti candidati a PSN della presente circolare. Nei casi di effettiva candidabilita', AgID comunichera' formalmente alla PA che e' stata identificata quale soggetto candidabile a PSN. Solo ed esclusivamente i soggetti identificati quali candidabili a PSN, se interessati, possono presentare formale istanza all'Agenzia per il conseguimento dell'idoneita' a Polo strategico nazionale. L'istanza dovra' essere redatta in lingua italiana e, ai sensi degli articoli 21-22 del CAD, predisposta in formato elettronico o fornita in copia e sottoscritta, con firma digitale o firma elettronica qualificata, dal responsabile del censimento, secondo lo schema pubblicato sul sito dell'Agenzia, e dovra' essere inviata alla casella di posta elettronica certificata di AgID, al seguente indirizzo: protocollo@pec.agid.gov.it. Con le medesime modalita' dovra' essere altresi' predisposta la documentazione atta a dimostrare il possesso dei requisiti dichiarati nel questionario. I candidati, inoltre, dovranno dimostrare l'affidabilita' organizzativa, tecnica e finanziaria necessaria per erogare i servizi sopra qualificati e l'utilizzo di personale dotato di conoscenze specifiche e competenze necessarie per i servizi che si candidano ad erogare, nonche' comprovare l'applicazione di procedure e metodologie conformi a tecniche consolidate. B. Attivita' istruttoria. L'istruttoria relativa alle candidature e la valutazione della documentazione prodotta a corredo sono effettuate dall'Agenzia in via preliminare sulla base delle risultanze del questionario nell'ambito del censimento del patrimonio ICT della PA. AgID si riserva di verificare la veridicita' delle informazioni rese nel questionario anche attraverso l'incrocio delle informazioni presenti in altre banche dati (a titolo esemplificativo: banca dati della Ragioneria dello Stato e dell'Istituto nazionale di statistica). L'Agenzia controlla la sussistenza dei requisiti previsti e la veridicita' di quanto dichiarato nei documenti depositati a corredo dell'istanza. La valutazione dei requisiti e' effettuata da AgID tramite proprio personale e/o soggetti terzi specificamente incaricati dall'Agenzia stessa, secondo quanto indicato nell'allegato A - Processo di valutazione dell'idoneita' dei soggetti candidati a PSN della presente circolare. Terminata la verifica, l'Agenzia potra' dichiarare l'idoneita' dell'amministrazione oppure potra' respingerla, qualora l'attivita' istruttoria abbia dato esito negativo. Se l'attivita' istruttoria evidenzia difformita' colmabili entro tempi ragionevoli rispetto alle strategie nazionali e con investimenti opportunamente identificati e quantificati, l'Agenzia emanera' un provvedimento motivato di preavviso di rigetto, ai sensi dell'art. 10-bis della legge n. 241/1990. In tal caso l'amministrazione candidata dovra' elaborare uno specifico Piano di adeguamento alle prescrizioni comunicate da AgID, che ne verifica la fattibilita' tecnica ed economica ed effettua nuova istruttoria, al termine della quale potra' definitivamente accogliere la richiesta di candidatura o respingerla con provvedimento di diniego. In questo caso, il soggetto non potra' presentare una nuova richiesta finche' permangano le cause che hanno determinato il mancato accoglimento della precedente. C. Elezione dei soggetti a PSN e iscrizione nell'Elenco nazionale dei PSN. A seguito dell'accoglimento della candidatura, AgID inserisce la PA candidata nell'elenco dei soggetti dichiarati idonei ad essere eletti a PSN e trasmette tale elenco alla Presidenza del Consiglio dei ministri che, sulla base di valutazioni d'interesse nazionale, procede all'emissione del decreto d'approvazione. L'iscrizione del soggetto nell'Elenco dei PSN diviene efficace a decorrere dalla pubblicazione in Gazzetta Ufficiale del relativo decreto d'approvazione. Tutti i Data center qualificati da AgID che afferiscono ai PSN inseriti nell'Elenco nazionale sono considerati tra le «infrastrutture critiche» rilevanti per la sicurezza nazionale. D. Sottoscrizione del Protocollo d'intesa con AgID. Dopo la pubblicazione in Gazzetta Ufficiale dell'Elenco nazionale dei PSN, AgID stipula con le amministrazioni ivi inserite specifici protocolli di intesa, contenenti, a titolo esemplificativo e non esaustivo, i seguenti elementi: oggetto/finalita' del protocollo (es: servizi da erogare alle amministrazioni aderenti); obblighi del Polo strategico nazionale; condizioni economiche e modalita' di fatturazione dei servizi erogati; livelli minimi di servizio garantiti; aderenza ai requisiti tecnico-organizzativi del modello strategico del Cloud della PA; durata dell'accordo; compiti, ruoli e responsabilita' (di AgID, del PSN e delle amministrazioni clienti); clausole di risoluzione. Il Protocollo d'intesa contiene inoltre l'eventuale percorso di adeguamento normativo, tecnico ed organizzativo a cui le PA dovranno aderire per regolare la loro qualificazione e mettere a disposizione delle altre PA le risorse ICT e gli spazi di cui sono proprietarie. A seguito della sottoscrizione del Protocollo di intesa i PSN potranno stipulare, sulla base di quando indicato nella Convenzione, specifici contratti di servizio con le altre amministrazioni. E. Monitoraggio dei PSN. I PSN sono sottoposti a verifica periodica da parte di AgID, che redigera' un rapporto sulle risultanze dell'attivita' di monitoraggio con due possibili esiti: positivo: mantenimento dei requisiti d'idoneita' e permanenza nell'Elenco nazionale dei PSN; negativo: perdita dei requisiti d'idoneita', relativa comunicazione al soggetto interessato della riclassificazione del proprio Data center nel gruppo A o B e conseguente eliminazione dall'Elenco nazionale dei PSN. La Presidenza del Consiglio dei ministri, con proprio provvedimento, procedera' alla cancellazione del soggetto dall'Elenco nazionale dei PSN. Al fine del mantenimento dell'idoneita', tutti i PSN sono obbligati a comunicare tempestivamente all'Agenzia ogni evento che modifichi i propri requisiti. Disposizioni transitorie e finali. Una volta completato il Censimento del patrimonio ICT, si procedera' alla valutazione delle necessita' IT infrastrutturali nell'ambito del Piano triennale e, in funzione del processo di razionalizzazione, verranno proposti i PSN da qualificare. Non e' previsto un numero minimo di PSN da eleggere, ovvero, in assenza dei requisiti richiesti, sara' possibile anche non eleggere alcun PSN. Si specifica altresi' che, ai sensi della circolare AgID 24 giugno 2016, n. 2, come richiamata dal Piano triennale (cfr. paragrafo 3.1.3. Linee di azione - azione 1), in materia di spesa le PA non possono effettuare spese o investimenti in materia di Data center, ma - previa approvazione di AgID - possono procedere agli adeguamenti dei propri Data center esclusivamente al fine di: evitare problemi di interruzione di pubblico servizio (inclusi gli interventi necessari a garantire la sicurezza dei dati e dei sistemi, in applicazione delle regole AgID Basic Security Controls); anticipare processi di dismissione dei propri Data center per migrare al Cloud della PA; consolidare i propri servizi sui Data center di altre PA per ottenere economie di spesa. Attraverso una procedura informatica dedicata, pubblicata sul sito istituzionale dell'Agenzia, sara' possibile sottoporre la richiesta d'approvazione che dovra' essere redatta in lingua italiana e, ai sensi degli articoli 21-22 del CAD, predisposta in formato elettronico, o fornita in copia e sottoscritta con firma digitale, o firma elettronica qualificata, dal responsabile del censimento. La richiesta dovra' essere corredata da specifica relazione sottoscritta digitalmente dal responsabile del censimento e dovra' contenere: la descrizione tecnico-economica delle attivita' che comportano la spesa e/o l'investimento oggetto d'approvazione corredata da un'adeguata motivazione dell'impossibilita' di migrare al Cloud della PA. Sono esclusi dalla richiesta di approvazione gli adeguamenti che prevedono acquisti nei seguenti ambiti: progetti di ricerca a titolarita' di istituzioni universitarie e/o enti di ricerca; sistemi a supporto della diagnostica clinica. Nelle more dell'attivazione della piattaforma dedicata alla gestione delle richieste d'approvazione ai sensi del Piano triennale, i soggetti che intendono sottoporre ad approvazione di AgID la spesa e/o gli investimenti per gli adeguamenti dei Data center in uso, possono inviare formale richiesta tramite posta elettronica certificata all'indirizzo protocollo@pec.agid.gov.it indicando nell'oggetto: «richiesta adeguamento data center». I progetti di regioni o comuni che prevedono adeguamenti dei Data center in uso gia' valutati da AgID e inseriti nei protocolli di intesa per l'accompagnamento dell'esecuzione del Piano triennale dell'amministrazione, sono da ritenersi approvati e non devono pertanto essere sottoposti all'iter descritto. La presente circolare entra in vigore alla data di pubblicazione nella Gazzetta Ufficiale della Repubblica italiana. Allegati: allegato A - Processo di valutazione dell'idoneita' dei soggetti candidati a PSN; allegato B - Requisiti preliminari per l'identificazione dei soggetti candidati a PSN. Roma, 30 novembre 2017 Il direttore generale: Samaritani