Onorevoli Colleghi! - La presente proposta di legge disciplina le procedure concorsuali di acquisto da parte della pubblica amministrazione di dispositivi dell'Information and Communication Technology (ICT) per sistemi informativi e reti d'interconnessione. L'adeguamento rispetto alla normativa vigente è reso necessario dallo sviluppo del settore dell'ICT che richiede maggiori e più efficaci garanzie per la sicurezza dei dati e delle informazioni in rete.
La proposta di legge è altresì finalizzata ad assicurare il trattamento dei dati, da parte della pubblica amministrazione, in conformità alla direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, e al codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196.
L'acquisizione di dispositivi ICT, a elevato standard di sicurezza, assolve altresì la necessità che la pubblica amministrazione, tramite le proprie reti, tuteli i dati e le informazioni trattati, anche in quanto responsabile della realizzazione del network sociale nei diversi ambiti in cui la medesima persegue interessi di pubblica utilità (sanità, trasporti, ambiente, energia, servizi pubblici tecnologici e amministrativi vari).
Gli strumenti con cui la proposta di legge intende perseguire gli obiettivi suesposti sono una serie di prescrizioni idonee a garantire l'effettiva rispondenza a determinati requisiti di qualità e di sicurezza dei dispositivi ICT componenti i sistemi e le reti con cui la pubblica amministrazione esplica la propria azione amministrativa. Detta rispondenza si traduce,
Pag. 2
in termini applicativi, nella previsione di un obbligo di ottenimento della certificazione di sicurezza, che rilascia l'Istituto superiore per le comunicazioni e le tecnologie dell'informazione (ISCTI) quale Organismo per la certificazione della sicurezza informatica (OCSI), per determinate categorie di dispositivi ICT, individuate, direttamente o indirettamente, con la presente proposta di legge.
La proposta di legge traduce in termini applicativi i princìpi sanciti con l'approvazione dello schema nazionale per la valutazione e la certificazione della sicurezza nel settore della tecnologia dell'informazione, di cui al decreto del Presidente del Consiglio dei ministri 30 ottobre 2003, pubblicato nella Gazzetta Ufficiale n. 98 del 27 aprile 2004.
La proposta di legge prevede una speciale procedura, mutuata dalla vigente normativa sugli appalti pubblici, con cui la pubblica amministrazione procede all'acquisizione di categorie di dispositivi ICT, modificata al fine di assolvere la necessità di garantire la verifica dei livelli di sicurezza che questi ultimi dovranno incontrare.
La proposta di legge codifica i princìpi generali circa l'obbligo di certificazione e le procedure di monitoraggio, mentre la disciplina di dettaglio sull'indicazione delle categorie di dispositivi ICT e correlativi gradi di sicurezza così come la regolamentazione di ciascuna area di competenza ministeriale sono riservate ai regolamenti attuativi.
La proposta di legge rappresenta un beneficio economico-finanziario per lo Stato: dalla disamina nella struttura della normativa presentata si evince che il suo elemento cardine, la procedura di rilascio della certificazione, è posto a carico delle aziende, sotto il duplice profilo sia dell'iniziativa, sia dell'onere finanziario.
Parimenti, le imprese, a fronte di un iniziale impegno di spesa, nel medio periodo conseguiranno un rilevante ritorno di investimento, sia in termini economici, con incrementi delle vendite sul mercato italiano, e aumenti del volume delle esportazioni, sia in termini di competitività, nazionale, comunitaria e internazionale, nel settore dell'informatica e delle telecomunicazioni. Peraltro, le piccole e medie imprese potranno fare fronte agli oneri finanziari connessi all'ottenimento della certificazione anche tramite co-finanziamenti provenienti dalla DG Enterprise, Innovation, Networks and Services (DG Enterprise) della Commissione europea.
I princìpi articolati con la proposta di legge costituiscono una maglia protezionistica per il mercato italiano, favorendone la crescita, grazie alle limitazioni che la certificazione dei dispositivi ICT comporterà per le importazioni provenienti da Paesi esteri non allineati a quegli standard internazionali tra cui si citano gli Information Technology Security Evaluation Criteria (ITSEC), i Common Criteria (ISO/IEC 15408) e lo standard BS7799 (ISO 17799), che rappresentano parte dei parametri di valutazione della sicurezza dei dispositivi ICT ai fini dell'ottenimento della certificazione attraverso l'OCSI; gli stessi princìpi costituiranno altresì il presupposto per una maggiore internazionalizzazione delle imprese italiane, i cui dispositivi ICT certificati saranno allineati ai requisiti tecnici standardizzati in ambito internazionale e già adottati da numerosi Paesi. Ciò consentirà una maggiore penetrazione commerciale all'estero, con conseguente aumento del volume delle esportazioni e favorirà la costituzione di joint-ventures con aziende estere.
La presente proposta di legge, infine, non comporta alcun incremento della spesa pubblica, in quanto, come in precedenza considerato, i previsti oneri finanziari saranno posti a carico delle aziende stesse e andranno a comporre una voce di gettito di entrata per lo Stato.
Pag. 3