Gazzetta n. 89 del 16 aprile 2014 (vai al sommario) |
AGENZIA PER L'ITALIA DIGITALE |
CIRCOLARE 10 aprile 2014, n. 65 |
Modalita' per l'accreditamento e la vigilanza sui soggetti pubblici e privati che svolgono attivita' di conservazione dei documenti informatici di cui all'articolo 44-bis, comma 1, del decreto legislativo 7 marzo 2005, n. 82. |
|
|
Premessa. L'art. 44-bis del decreto legislativo 7 marzo 2005, n. 82 e s.m.i. (Codice dell'amministrazione digitale, di seguito "CAD") attribuisce all' Agenzia per l'Italia Digitale (di seguito "Agenzia") il compito di accreditare "i soggetti pubblici e privati che svolgono attivita' di conservazione dei documenti informatici e di certificazione dei relativi processi anche per conto di terzi e intendono conseguire il riconoscimento dei requisiti del livello piu' elevato, in termini di qualita' e sicurezza". Il predetto articolo, al comma 2, stabilisce che ai conservatori si applichino " ... in quanto compatibili, gli articoli 26, 27, 29, ad eccezione del comma 3, lettera a) e 31." riguardanti lo specifico ambito della firma digitale e della posta elettronica certificata. Con decreto del Presidente del Consiglio dei ministri del 3 dicembre 2013 (G.U. n. 59 del 12 marzo 2014 - supplemento ordinario n. 20) sono state emanate le "Regole tecniche in materia di sistema di conservazione ai sensi degli articoli 20, commi 3 e 5-bis, 23-ter, comma 4, 43, commi 1 e 3, 44, 44-bis e 71, comma 1 del CAD", in vigore dall'11 aprile 2014 (art. 14, comma 1). In attuazione dell'art. 13 del decreto del Presidente del Consiglio dei ministri 3 dicembre 2013, sopra richiamato, la presente circolare definisce le modalita' per l'accreditamento presso l'Agenzia e per la vigilanza dei soggetti di cui all'art. 44-bis del CAD che svolgono attivita' di conservazione dei documenti informatici (di seguito "conservatori") e intendono conseguire il riconoscimento del possesso dei requisiti del livello piu' elevato, in termini di qualita' e sicurezza. 1. Accreditamento dei conservatori. Sulla base delle disposizioni richiamate in premessa, possono richiedere l'accreditamento i conservatori di cui all'art. 44-bis del CAD che, al fine di conseguire tale riconoscimento, devono: 1. dimostrare l'affidabilita' organizzativa, tecnica e finanziaria necessaria per svolgere l'attivita' di conservazione; 2. utilizzare personale dotato delle conoscenze specifiche, dell'esperienza e delle competenze necessarie per i servizi forniti: in particolare della competenza a livello gestionale, della conoscenza specifica nel settore della gestione documentale e conservazione documenti informatici e che abbia dimestichezza con le procedure di sicurezza appropriate e che si attenga alle norme del CAD e al decreto del Presidente del Consiglio dei ministri 3 dicembre 2013 recante le regole tecniche in materia di sistema di conservazione; 3. applicare procedure e metodi amministrativi e di gestione adeguati e conformi a tecniche consolidate; 4. utilizzare sistemi affidabili e sicuri di conservazione di documenti informatici realizzati e gestiti in conformita' alle disposizioni e ai criteri, standard e specifiche tecniche di sicurezza e di interoperabilita' contenute nelle regole tecniche previste dal CAD; 5. adottare adeguate misure di protezione dei documenti idonee a garantire la riservatezza, l'autenticita', l'immodificabilita', l'integrita' e la fruibilita' dei documenti informatici oggetto di conservazione, come descritte nel manuale di conservazione, parte integrante del contratto/convenzione di servizio. Il conservatore, se soggetto privato, in aggiunta a quanto previsto dai precedenti punti, deve inoltre: 1. avere forma giuridica di societa' di capitali e un capitale sociale di almeno 200.000 euro; 2. garantire il possesso, oltre che da parte dei rappresentanti legali, anche da parte dei soggetti preposti alla amministrazione e da parte dei componenti degli organi preposti al controllo, dei requisiti di onorabilita' richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso banche ai sensi dell'art. 26 del decreto legislativo 1° settembre 1993, n. 385, recante "Testo unico delle leggi in materia bancaria e creditizia". Le modalita' per dimostrare il possesso dei requisiti sopra indicati, la documentazione richiesta ed i criteri di valutazione adottati per espletare il processo di accreditamento sono indicati in appositi documenti consultabili per via telematica, sul sito istituzionale dell'Agenzia. Il conservatore puo' affidare ad altro conservatore accreditato le attivita' a supporto del processo di conservazione limitatamente a quelle che riguardano le infrastrutture per la memorizzazione, trasmissione ed elaborazione dei dati. Il Manuale di conservazione, descritto all'art. 8 del decreto del Presidente del Consiglio dei ministri 3 dicembre 2013 in materia di sistema di conservazione di documenti informatici, deve descrivere le modalita' con cui avviene tale affidamento. Inoltre, il conservatore deve fornire copia del contratto in virtu' del quale il conservatore accreditato che mette a disposizioni le infrastrutture, si obbliga nei confronti del primo a fornire la propria infrastruttura oggetto dell'affidamento. I conservatori che conseguono l'accreditamento ai sensi della presente Circolare sono iscritti nell'elenco dei conservatori accreditati (di seguito "elenco"), pubblicato sul sito istituzionale dell'Agenzia, che esercita sugli stessi una attivita' di vigilanza, volta ad assicurare che siano mantenuti nel tempo i requisiti che hanno consentito l'iscrizione, pena la revoca dell'accreditamento e la conseguente cancellazione dall'elenco. In caso vengano riscontrate difformita' nel corso dell'attivita' di vigilanza, l'Agenzia comunica al conservatore le modalita' e il termine per la loro risoluzione. Qualora il conservatore non si adegui nel termine indicato, l'Agenzia, ove non sussistano adeguate motivazioni per prorogare il suddetto termine, dispone, con provvedimento motivato, la revoca dell'accreditamento e la conseguente cancellazione dall'elenco. Il conservatore per il quale sia stato disposto un provvedimento di revoca non puo' presentare una nuova domanda di accreditamento se non siano cessate le cause che hanno dato luogo alla cancellazione dall'elenco e, in ogni caso, non prima che siano trascorsi 6 mesi dall'emissione del provvedimento di revoca. Per espletare le attivita' di accreditamento dei conservatori e per svolgere le connesse funzioni di vigilanza, l'Agenzia si avvale di apposita struttura, istituita nell'ambito delle proprie dotazioni organiche, ovvero puo' avvalersi di terze parti qualificate. 2. Presentazione domanda. La domanda, redatta in lingua italiana e secondo lo schema pubblicato sul sito dell'Agenzia, deve essere predisposta in formato elettronico, o fornita in copia ai sensi dell'art. 22, comma 2, del CAD, sottoscritta con firma digitale, o firma elettronica qualificata, dal legale rappresentante del conservatore ed inviata alla casella di posta elettronica certificata all'indirizzo protocollo@pec.agid.gov.it. Con le medesime modalita' deve essere predisposta la documentazione, atta a dimostrare il possesso dei requisiti richiesti, allegata alla domanda. Tale documentazione e' elencata nel documento "Documentazione per l'accreditamento", pubblicato sul sito istituzionale dell'Agenzia. Si applica quanto disposto dal decreto del Presidente della Repubblica 28 dicembre 2000, n. 445 e s.m.i. in materia di dichiarazioni sostitutive e di acquisizione d'ufficio delle informazioni e di tutti i dati e documenti che siano in possesso di pubbliche amministrazioni. La domanda deve indicare: la denominazione della societa'; la sede legale; le sedi operative; il/i rappresentante/i legale/i; il nominativo e i recapiti (numeri telefonici, indirizzo e indirizzo di PEC) di uno o piu' referenti tecnici cui rivolgersi in presenza di problematiche tecnico-operative che possono essere risolte per le vie brevi; l'elenco dei documenti allegati, con preciso riferimento a quanto indicato nel documento "Documentazione per l'accreditamento". 3. Iter istruttorio della domanda. L'istruttoria relativa alle domande e la valutazione della documentazione prodotta sono effettuate dall'Agenzia ai sensi dell'art. 29, ad eccezione del comma 3, lettera a), del CAD. In particolare: 1. la domanda di accreditamento si considera accolta qualora non venga comunicato al conservatore il provvedimento di diniego entro novanta giorni dalla data di presentazione della stessa; 2. il termine di 90 giorni di cui al punto precedente, puo' essere sospeso una sola volta entro trenta giorni dalla data di presentazione della domanda, esclusivamente per la motivata richiesta di documenti che integrino o completino la documentazione presentata e che non siano gia' nella disponibilita' dell'Agenzia o che questa non possa acquisire autonomamente. Il periodo di sospensione si conclude al momento della ricezione della documentazione integrativa da presentare improrogabilmente entro centottanta giorni dalla data di sospensione; 3. l'Agenzia si riserva, secondo quanto previsto al precedente punto 2, di richiedere integrazioni alla documentazione presentata e di effettuare le opportune verifiche su quanto dichiarato; 4. l'attivita' istruttoria e' svolta sulla base del documento "Requisiti di qualita' e sicurezza per l'accreditamento", pubblicato sul sito istituzionale dell'Agenzia. L'Agenzia si riserva la facolta' di svolgere verifiche presso le strutture dedicate allo svolgimento del servizio di conservazione; 5. al termine dell'istruttoria, l'Agenzia accoglie la domanda ovvero la respinge, con provvedimento motivato, e ne da' apposita comunicazione al conservatore; 6. a seguito dell'accoglimento della domanda, l'Agenzia dispone l'iscrizione del conservatore nell'apposito elenco, ai fini dell'applicazione della disciplina in questione; 7. il conservatore accreditato puo' qualificarsi come tale nei rapporti commerciali e con le pubbliche amministrazioni; 8. il conservatore la cui domanda sia stata respinta non puo' presentare una nuova domanda se non siano cessate le cause che hanno determinato il mancato accoglimento della precedente e non prima di 6 mesi. 4. Elenco dei conservatori accreditati. L'elenco dei conservatori accreditati ai sensi della presente Circolare, pubblicato sul sito istituzionale dell'Agenzia, contiene per ogni soggetto iscritto le seguenti informazioni: a) denominazione della societa'; b) indirizzo della sede legale; c) nominativo del rappresentante legale; d) il manuale di conservazione del soggetto; e) data di iscrizione; f) stato dell'accreditamento (attivo, se in corso di validita', o revocato, nel caso in cui sia intervenuta la revoca con indicazione della data di revoca). 5. Vigilanza. Nell'ambito delle attivita' di vigilanza di cui all'art. 31 del CAD, l'Agenzia verifica la persistenza del possesso dei requisiti previsti per l'accreditamento e della veridicita' di quanto dichiarato nei documenti depositati. La vigilanza e' svolta attraverso l'esame della documentazione aggiornata in possesso dell'Agenzia, l'analisi dei documenti di riepilogo delle attivita' svolte dal conservatore accreditato, la verifica del possesso delle previste certificazioni del sistema di conservazione e l'esecuzione di verifiche ispettive da parte dell'Agenzia, o di soggetti terzi dalla stessa incaricati. Ai fini della vigilanza, pertanto, il conservatore accreditato si obbliga a comunicare tempestivamente all'Agenzia ogni evento che modifichi i requisiti propri dell'accreditamento indicati nella documentazione in possesso dell'Agenzia. A decorrere dal quadrimestre successivo alla data di iscrizione nell'elenco, il conservatore accreditato e' obbligato a trasmettere all'Agenzia il rapporto quadrimestrale contenente i dati di riepilogo delle attivita' svolte, predisposto secondo le indicazioni riportate nel documento "Schema di rapporto quadrimestrale sulla conservazione", pubblicato sul sito istituzionale dell'Agenzia. Alla scadenza del certificato ISO/IEC 27001 il conservatore accreditato si obbliga a trasmettere all'Agenzia il nuovo certificato rilasciatogli ed inoltre, nel corso di validita' dello stesso, annualmente, le risultanze delle verifiche periodiche di mantenimento. Almeno ogni 24 mesi, a partire dalla data comunicata dall'Agenzia, il conservatore accreditato deve presentare un certificato di conformita' del sistema di conservazione ai requisiti tecnici organizzativi stabiliti dall'Agenzia, rilasciato da un ente di certificazione accreditato da ACCREDIA, o da altro ente di Accreditamento firmatario degli accordi di Mutuo riconoscimento nello schema specifico. I suddetti requisiti tecnici organizzativi sono indicati nel documento "Requisiti di qualita' e sicurezza per l'accreditamento", pubblicato sul sito istituzionale dell'Agenzia. Per l'esecuzione delle verifiche ispettive, il conservatore accreditato si obbliga a prestare la massima collaborazione e a consentire l'accesso all'Agenzia, o a soggetti terzi dalla stessa incaricati, presso le strutture dedicate allo svolgimento del servizio di conservazione. L'Agenzia puo' disporre l'esecuzione delle verifiche ispettive, anche con breve preavviso, condotte secondo le modalita' indicate in un apposito documento consultabile sul sito istituzionale dell'Agenzia. L'Agenzia si riserva, inoltre, la facolta' di richiedere al conservatore accreditato ogni ulteriore documento correlato all'espletamento del processo di conservazione, che consideri necessario per poter svolgere le previste attivita' di vigilanza. In caso vengano riscontrate difformita' nel corso dell'attivita' di vigilanza, l'Agenzia indica al conservatore le modalita' e il termine per la loro risoluzione. In caso di particolare gravita', o nel caso di mancato rispetto del termine assegnato per l'eliminazione delle difformita' riscontrate, l'Agenzia dispone l'immediata revoca dell'accreditamento e la pubblicazione dell'informazione nell'elenco. 6. Disposizioni transitorie e finali. Ai soggetti che abbiano presentato la domanda di accreditamento ai sensi della Circolare DigitPA n. 59 del 29 dicembre 2011, prima dell'entrata in vigore del decreto del Presidente del Consiglio dei ministri 3 dicembre 2013 in materia di sistema di conservazione di documenti informatici, e' richiesto di integrare e completare la documentazione presentata entro centottanta giorni a decorrere dalla data di pubblicazione in Gazzetta Ufficiale della presente Circolare. La domanda di accreditamento si considera accolta qualora non venga comunicato all'interessato il provvedimento di diniego entro novanta giorni dalla data di presentazione della documentazione integrativa. La presente Circolare, che sostituisce integralmente ed abroga la Circolare DigitPA n. 59/2011, entra in vigore alla data di pubblicazione nella Gazzetta Ufficiale della Repubblica italiana. Roma, 10 aprile 2014
Il direttore generale in qualita' di Commissario straordinario Ragosa
|
|
|
|