Bur n. 1 del 04 gennaio 2022

Materia: Informatica

Deliberazione della Giunta Regionale n. 1818 del 21 dicembre 2021

Affidamento a Veneto Innovazione S.p.A. di incarico per attività di supporto nel percorso di attuazione del polo Strategico Nazionale dell'Amministrazione regionale. Approvazione del relativo schema di Convenzione.

L'Assessore Francesco Calzavara riferisce quanto segue.

Al fine di dare attuazione all’Agenda Digitale del Veneto 2017-2020, approvata con D.G.R. n. 978 del 27/06/2017, con D.G.R. n. 532 del 30/04/2018 è stato approvato lo schema di convenzione per il Progetto di Convergenza per le Infrastrutture Informatiche con l’obiettivo di definire un programma di ottimizzazione dei Sistemi Informativi regionali. Con tale progetto si è inteso ridefinire la struttura dei data center pubblici in Veneto realizzando un consolidamento/miglioramento dei sistemi informativi delle Amministrazioni coinvolte. L'obiettivo perseguito è la riduzione del numero dei data center pubblici rispetto ai n. 30 ad oggi esistenti, attraverso un processo di "server consolidation” e di razionalizzazione/ottimizzazione che tenga conto delle specificità territoriali e dei fabbisogni applicativi dei singoli enti che parteciperanno al processo di consolidamento, verso l'attivazione di un Polo Strategico Nazionale (PSN) coerentemente con quanto previsto dal Piano Triennale dell'Informatica nella Pubblica Amministrazione 2019-2021.

Tale progettualità si fonda sulla previsione - nel medio lungo termine (3-5 anni) - di un sistema basato su un Data center centrale (Hub regionale) che abiliti la fruizione di servizi ICT a tutti gli attori regionali e del territorio (Enti Locali), valorizzando così il percorso verso il Polo Strategico Nazionale più in una logica di nodo orchestratore di servizi ICT aperto al mondo cloud rispetto alla mera erogazione di servizi. Alla luce di quanto sopra, sono in corso di realizzazione, presso la sede del Data Center regionale, una serie di interventi volti al rinnovo delle infrastrutture tecnologiche e dell’architettura impiantistica al fine di mantenere la struttura al passo con lo sviluppo tecnologico.

A tale scopo è stato previsto nel Programma triennale 2020-2022 e nell'Elenco annuale 2020 dei Lavori pubblici di competenza regionale di cui all'art. 2, co. 2 lett. a) della L.R. n. 27/2003 - approvati con DGR n. 299 del 10/03/2020 - l’esperimento di una procedura a evidenza pubblica per la manutenzione straordinaria del Data Center regionale, ubicato presso Palazzo Lybra, via Pacinotti n. 4 - Marghera (VE). Il relativo appalto è stato aggiudicato nel 2021; il relativo contratto è stato stipulato il 4 giugno 2021.

Il percorso di convergenza infrastrutturale così avviato risulta coerente col "Piano Triennale per l'Informatica nella Pubblica Amministrazione 2017-2019" approvato dalla Presidenza del Consiglio dei Ministri in maggio 2017 e con il "Piano triennale per l'informatica nella pubblica amministrazione 2019-2021" approvato in marzo 2019, i quali hanno definito le linee operative di sviluppo dell'informatica pubblica italiana. Il modello strategico adottato dai predetti Piani si focalizza, tra l'altro, nell'ambito tematico delle "infrastrutture fisiche", mirando all'ottimizzazione dei Data Center esistenti, alla realizzazione dell'ambiente Cloud della Pubblica Amministrazione secondo elevati standard di sicurezza, oltre che all'individuazione dei conseguenti risparmi di spesa.

Il Piano Triennale per l’informatica nella Pubblica Amministrazione 2019-2021 prevede il principio tecnologico del Cloud First, del modello strategico Cloud della PA e della propedeutica classificazione delle infrastrutture fisiche delle Pubbliche Amministrazioni.

In coerenza con tale Piano, AGID ha dato corso al Censimento del Patrimonio ICT della PA per individuare le infrastrutture fisiche:

1. candidabili ad essere utilizzate da parte dei Poli Strategici Nazionali,

2. con requisiti minimi di affidabilità e sicurezza dal punto di vista infrastrutturale e/o organizzativo (Data Center con carenze strutturali/organizzative considerate minori - classificabili nel Gruppo A),

3. con carenze strutturali e/o organizzative o che non garantiscono la continuità dei servizi (Data Center classificabili nel Gruppo B).

Regione del Veneto, in data 10/02/2020, è stata dichiarata da AgID classificabile come Data Center candidabile a  Polo Strategico Nazionale.

Tuttavia, per completare la fase di riconoscimento in tal senso, l’Amministrazione regionale deve adeguare il Data Center ad alcuni degli specifici canoni previsti da AGID con circolare n° 1 del 14 giugno 2019.

Negli ultimi anni, il crescente interesse sviluppato nell’ambito della Cyber Security ha posto l’attenzione sulle possibili gravi conseguenze di un evento informatico per le imprese e le società. La continua espansione delle tecnologie come strumenti di lavoro, la diffusione dei social network, dei dispositivi mobili e dei servizi cloud ha portato ad una maggiore vulnerabilità dell’intero spazio cibernetico. Molte aziende stanno iniziando a considerare la Cyber Security come un rischio d’impresa sempre più importante e di conseguenza si sono messe alla ricerca di metodi per assicurare la continuità del proprio business in caso di attacchi informatici. Il tema dell’analisi del rischio rappresenta un punto critico nel processo di analisi e riduzione dei rischi cui un’azienda può incorrere nella conduzione della propria attività. Data la larga diffusione di tecnologie e modelli di business sempre più basati sulla rete, dove vengono possedute e scambiate informazioni sensibili, l’adozione di efficienti ed efficaci strumenti di gestione del cyber-rischio (cyber risk management) assume rilevanza cruciale, in quanto da essa possono dipendere le sorti stesse dell’impresa.

Gli accadimenti, riportati dalla stampa, sui rischi e sulle conseguenze derivanti dagli attacchi hacker a strutture elaborative, hanno evidenziato quanto siano strategici i Sistemi Informativi di ogni Azienda, e che come tali debbano essere tutelati con tutti gli strumenti possibili. 

I recenti attacchi verso altre amministrazioni regionali italiane, e soprattutto il  recentissimo subito dall’Azienda Sanitaria Euganea che ne ha gravemente compromesso l’operatività e l’erogazione dei servizi sanitari mettendo anche a rischio i dati dei propri assistiti, hanno dimostrato che le linee di difesa di cybersicurezza  non possono essere trascurate, neanche in questa fase  in cui tutte le risorse dovrebbero essere orientate nella gestione dell’emergenza Sanitaria. Quanto successo nel Paese, e in particolare osservando i recenti accadimenti avvenuti alla Sanità Veneta, evidenziano la necessità di continuare ad investire per migliorare i livelli di sicurezza dei sistemi Regionali coerentemente anche con le più recenti disposizioni impartite a livello nazionale derivanti dalla costituzione dell’Agenzia Nazionale per la Cybersicurezza. Tali disposizioni, evidenziano che per fronteggiare questi pericoli in modo efficace e tempestivo non si tratta solo di ammodernare, aggiornare ed integrare i sistemi informatici già in dotazione al datacenter regionale ma anche adeguare i processi e le procedure organizzative per ridurre al minimo la possibilità di errore umano, e attuare le azioni opportune ed efficaci per la continuità dei servizi in caso di incidenti

Ciò posto, Regione del Veneto, riconosce che la sicurezza dei propri sistemi non sia più un'opportunità, ma un dovere istituzionale, pertanto, in continuità con le scelte già intraprese, necessita di completare la fase di riconoscimento del proprio Data Center come Polo Strategico Nazionale.

A tal fine sono state individuate le seguenti attività essenziali:

• adottare procedure per la gestione dei servizi IT, della Business Continuity, della sicurezza IT, delle emissioni dei gas prodotti e dell’energia consumata dal Data Center;
•  definire le policy in termini di cyber sicurezza del Data center al fine di procedere:
  • alla proceduralizzazione per la corretta gestione di incidenti informatici e di sicurezza;
  • alla certificazione dei processi e delle infrastrutture informatiche allo scopo di assicurare all’Amministrazione Regionale la continuità dell’esecuzione di attività «mission critical», garantendo la stabilità dell’organizzazione in caso di un impatto sulle infrastrutture IT e gestire con processi robusti gli eventi che impattano le attività di business;
  • all’assessment operativo e individuazione dei GAP di sicurezza: analisi del livello di sicurezza dei sistemi e individuazione dei GAP da colmare per raggiungere un livello di sicurezza forte;
  • al remediation plan: per affrontare l’eventualità di un «security breach», con l'azione di un piano di remediation;
  • all’utilizzo della metodologia DevSecOps: introduzione di metodologie e strumenti moderni per  integrare la sicurezza delle applicazioni e dell'infrastruttura fin dall'inizio del ciclo di sviluppo.

Tali azioni rappresentano, peraltro, la base per declinare un piano di attività propedeutico al raggiungimento dei livelli di certificazione previsti nella Circolare AGID n. 1/2019.

In aggiunta a quanto sopra descritto, una delle principali sfide individuate dalle strategie di ripresa delineate dal Piano Nazionale di Ripresa e Resilienza (PNRR) è rappresentata dalla digitalizzazione della PA.

Il PNRR, infatti, destina circa il 25% a investimenti in tecnologie, infrastrutture e processi digitali finalizzati a promuovere la competitività del sistema Paese. Tra queste risorse, più di 6 miliardi di euro vengono destinati in maniera specifica a interventi volti a trasformare la pubblica amministrazione in chiave digitale. Tali interventi sono condensati nella prima componente della Missione 1 dedicata a “Digitalizzazione, innovazione e sicurezza nella PA” (M1C1). Tale componente si articola a sua volta in tre ambiti di intervento, il primo dei quali è dedicato in maniera specifica a “Digitalizzazione PA”.

Complessivamente, la M1C1 individua 7 ambiti di investimento e 3 assi di riforma nel quadro degli interventi previsti per promuovere la digitalizzazione della PA.

Tali misure si muovono in sostanziale continuità con le direttrici di intervento già individuate dalla strategia italiana per la PA digitale, in particolare quelle delineate dalle diverse edizioni del Piano triennale per l’informatica nelle pubbliche amministrazioni. Infatti, gran parte degli investimenti previsti vanno a innestarsi sulle componenti tecnologiche del c.d. “Modello strategico di evoluzione del sistema informativo della PA”, prevedendo il completamento o il rafforzamento delle diverse progettualità avviate nel corso degli ultimi anni.

In particolare, tra le risorse previste dal PNRR per M1C1.1 – “Digitalizzazione PA”, figurano due importanti obiettivi:

• investimento 1.1 - Infrastrutture digitali: si focalizza sulla realizzazione del Polo Strategico Nazionale (PSN), un’infrastruttura ad alta affidabilità localizzata sul territorio nazionale che ospiterà i dati ed i servizi strategici di PA centrali, locali e strutture sanitarie, secondo quanto previsto dall’art. 33-septies del D.l. n. 179/2012, come modificato dall’articolo 35 del D.l. n. 76/2020 (c.d. Decreto “Semplificazioni”).
• Investimento 1.5 – Cybersecurity: contiene importanti misure di rafforzamento delle difese cibernetiche del paese, in linea con la normativa di settore emanata nel corso degli ultimi anni, anche sulla scia di importanti provvedimenti a livello Europeo (es. Direttiva NIS). In particolare, le azioni previste mirano a garantire la piena attuazione della disciplina in materia di Perimetro di Sicurezza Nazionale Cibernetica (PSNC), contenuta nel Decreto-legge 21 settembre 2019, n. 105 e nei relativi DPCM attuativi.

L’amministrazione Regionale pertanto, nei prossimi mesi  si troverà  nella necessità di preparare progettualità ed iniziative coerenti con le azioni e i programmi già definiti nel PNRR in particolare nell’ambito della Missione 1 sulla digitalizzazione della pubblica amministrazione.

La Direzione ICT e Agenda Digitale, tuttavia, a causa della ridotta dotazione organica e della mancanza da parte del proprio personale di alcune delle competenze tecniche necessarie in relazione alle specifiche tematiche oggetto delle sopra riportate attività, ha la necessità di avvalersi di professionalità esterne che possano validamente supportarla nello svolgimento ottimale delle stesse.

Il percorso di scelta del soggetto di cui avvalersi per la realizzazione delle attività sopra riportate ha individuato quale operatore in possesso di adeguate competenze, Veneto Innovazione S.p.A., società costituita dalla Regione in attuazione della L.R. 6 settembre 1988, n. 45 recante disposizioni per la "Costituzione di una società a partecipazione regionale per lo sviluppo dell'innovazione e collaborazione con il CNR per studi e ricerche in materia di interesse regionale". In particolare tale scelta è motivata dalla pluriennale esperienza di Veneto Innovazione nell’attuazione e nel supporto delle strategie regionali in ambito di Agenda Digitale collegata con la loro originaria natura di favorire il trasferimento tecnologico dal mondo della ricerca a quello applicativo, cruciale per i temi oggetto del seguente accordo.

A tal fine, in risposta alla richiesta formulata dalla Direzione ICT e Agenda Digitale nota n. 0556317 del 26/11/2021, Veneto Innovazione S.p.A. ha trasmesso all’Amministrazione regionale, con nota n. 1377/2021/MA/ag del 07/12/2021, registrata al protocollo regionale in pari data al n. 574726, il proprio preventivo di spesa pari ad € 870.485,01, IVA inclusa per 18 mesi.

Con la succitata nota, Veneto Innovazione spa ha proposto di svolgere le seguenti attività:

a. attività di audit per verificare la rispondenza del Data Center regionale ai requisiti Agid, i punti di forza e i punti di debolezza. Successivamente, verrà pianificata la proceduralizzazione sistematica delle attività previste per quei requisiti che richiedono la rispondenza a specifiche norme ISO, ovvero:

1. Conformità alla norma ISO 27000, al processo di risk analisys e alla conseguente predisposizione delle procedure di sistema integrato;

2. Conformità alle norme ISO 22301, ISO 20000-1;

3. Conformità alle norme per la gestione delle emissioni dei gas prodotti dal data center (es. ISO 14064) o per la gestione dell’energia dei data center (es. ISO 50001, o per la gestione ambientale dei data center (es. ISO 14001).

Per tali attività, Veneto Innovazione spa prevede una fase formativa del personale impiegato nel Data center per la conoscenza delle normative di riferimento e il rispetto delle procedure implementate; saranno inoltre previsti degli audit periodici di verifica della sussistenza del rispetto delle condizioni “Agid” e per implementare azioni di risoluzione di eventuali non conformità riscontrate e di miglioramento delle procedure e delle performance del sistema.

b. Definizione delle policy in termini di cyber sicurezza del data center regionale, attraverso interventi di gap analisys ed eventualmente anche affiancando l’Amministrazione regionale nell’adeguamento delle soluzioni e sistemi.
 Nello specifico, Veneto Innovazione spa ipotizza un processo in tre step:

1. identificazione e valutazione degli asset, individuazione dei dati e dei dispositivi fisici che li ospitano per avere una mappa dei punti critici;

2. valutazione degli impatti, ovvero determinare gli impatti derivanti da eventuali distruzioni, indisponibilità, divulgazioni o modifiche non desiderate dei dati e di stimarne i relativi effetti;

3. misura del rischio, ovvero si identificano le potenziali minacce e le relative vulnerabilità degli asset a tali minacce. In base a tali informazioni verrà calcolato il relativo rischio informatico.

Al termine, verrà redatto da Veneto Innovazione spa un documento di analisi delle minacce e delle vulnerabilità e di valutazione degli impatti con indicazioni di un piano di reazione per identificare le azioni più opportune da intraprendere in funzione delle situazioni che si dovessero manifestare.

c. Predisposizione di progettualità ed iniziative coerenti con le azioni e i programmi già definiti nel PNRR in particolare nell’ambito della Missione 1 sulla digitalizzazione della Pubblica Amministrazione. Veneto Innovazione spa, in affiancamento alla Direzione regionale ICT e Agenda Digitale, presterà supporto alle progettualità per il PNRR, attraverso la costituzione di un team di risorse con diversi livelli di seniority e competenze per gestire la pluralità di situazioni progettuali che si potranno presentare nello sviluppo di progetti per enti e amministrazioni pubbliche.

Il preventivo di spesa di Veneto Innovazione S.p.A (che comprende i costi di personale e gli altri costi che la Società prevede di dover sostenere per l'acquisizione di servizi informatici e specialistici e per l'effettuazione di missioni da parte del proprio personale) sottoposto ad una verifica effettuata ai sensi dall'articolo 3, comma 2 della L.R. 24 dicembre 2013, n. 39, è risultato conveniente rispetto ai costi medi di mercato praticati dalle società che forniscono servizi di analogo contenuto. Tale convenienza risulta inoltre confermata, confrontando il costo totale del personale per le giornate lavorative previste nel sopra citato preventivo di spesa, rispetto a quello risultante valorizzando lo stesso numero di giornate lavorative in base ai costi medi risultanti dalla tabella di Benchmark allegata alla Convenzione attivata da Consip S.p.a, per l'erogazione di servizi di "supporto tecnico" alle Autorità di Gestione e di Certificazione per l'attuazione dei Programmi Operativi 2014-2020; convenzione a cui ha aderito anche la Regione, in base al disposto della deliberazione n. 456 del 10 aprile 2018.

In ordine alla legittimità dell'affidamento a Veneto Innovazione S.p.A. (ex art. 5 e 192 del D.Lgs. n. 50/2016) si precisa che a seguito della domanda ID 395, protocollo ANAC n. 61969 del 13/07/2018, ANAC con delibera n. 1010 del 30 ottobre 2019 ha disposto l'iscrizione di Veneto Innovazione S.p.A. nell'Elenco delle Amministrazioni aggiudicatrici e degli enti aggiudicatori che operano mediante affidamenti diretti nei confronti di proprie società in house di cui all'articolo 192, comma 1, del decreto legislativo 18 aprile 2016, n. 50.

La Società Veneto Innovazione S.p.A. risulta interamente partecipata dalla Regione, la quale esercita sulla stessa un "controllo analogo" a quello esercitato sui propri uffici e verso la quale, con provvedimento n. 2609 del 23 dicembre 2014, ha adottato specifiche linee guida operative in tema di ricerca e innovazione.

In considerazione di quanto sopra esposto, Veneto Innovazione S.p.A., a totale partecipazione pubblica, si configura quindi quale soggetto in linea con i principi dettati dall'articolo 192 del decreto legislativo n. 50/2016 e questo, sia per quanto riguarda le attività gestionali svolte, sia per i modelli di governance che essa presenta e sia per le relazioni organizzative e funzionali in essere con l'Amministrazione regionale.

Sempre in base a quanto sopra riportato sussistono inoltre, ai fini dell'affidamento "in house", i requisiti previsti dal sopracitato articolo 192 del decreto legislativo 18 aprile 2016, n. 50, in tema di possesso delle necessarie competenze, ed inoltre di efficienza, di economicità, di qualità del servizio reso, di convenienza economica e di ottimale impiego delle risorse pubbliche previste dal decreto legislativo 50/2016, art. 192 e dalla L.R. 39/2013 art. 3.

Lo schema di convenzione, da stipulare tra la Regione e Veneto Innovazione S.p.A., che disciplina i contenuti e le modalità operative conseguenti all'incarico da affidare, della durata di 18 mesi, nell'ambito dell'attuazione delle sopra citate linee guida, è riportato all'Allegato A), parte sostanziale e integrante del presente provvedimento.

Ai fini della copertura finanziaria della spesa prevista, pari complessivamente ad euro 870.485,01, oneri fiscali inclusi, si attesta che la stessa sarà esigibile a decorrere dall'esercizio 2022 e la relativa copertura si rinviene nel Bilancio pluriennale 2022-2024 in fase di approvazione. Alla sottoscrizione della convenzione e all'assunzione della predetta obbligazione provvederà con propri atti il Direttore della Direzione ICT e Agenda Digitale.

Il relatore conclude la propria relazione e propone all'approvazione della Giunta regionale il seguente provvedimento.

LA GIUNTA REGIONALE

UDITO il relatore, il quale dà atto che la struttura competente ha attestato, con i visti rilasciati a corredo del presente atto, l'avvenuta regolare istruttoria della pratica, anche in ordine alla compatibilità con la vigente legislazione statale e regionale, e che successivamente alla definizione di detta istruttoria non sono pervenute osservazioni in grado di pregiudicare l'approvazione del presente atto;

- VISTO il D.Lgs. n. 82 del 07/03/2005 (CAD);

- VISTO il DPCM n. 109 del 23 agosto 2013;

- VISTO il Piano Triennale dell’Informatica 2017/2019;

- VISTO il Piano Triennale dell’Informatica 2020/2022;

- VISTA la DGR n. 880/2021 che autorizza l’avvio del percorso per l’aggiornamento del documento programmatico “Linee Guida per l’Agenda Digitale del Veneto 2025”;

- VISTO il D.Lgs. n. 118/2011 e ss.mm.ii.;

- VISTO l’art. 2, comma 2, della Legge Regionale n. 54 del 31/12/2012;

- VISTO il D.Lgs. n. 33 del 14/03/2013.

delibera

1. di considerare le premesse parte integrante e sostanziale del presente atto;
2. di autorizzare il conferimento a Veneto Innovazione S.p.a. dell’incarico per attività di supporto nel percorso di attuazione del polo Strategico Nazionale dell’Amministrazione regionale, descritte in premessa, secondo lo schema di convenzione di cui all’Allegato A) che si approva;
3. di determinare in euro 870.485,01 (IVA compresa), l’importo massimo delle obbligazioni di spesa derivanti dal presente provvedimento a carico della Regione del Veneto, alla cui assunzione provvederà con propri provvedimenti il Direttore della Direzione ICT e Agenda Digitale;
4. di dare atto che la spesa di cui al punto 3) sarà esigibile a decorrere dall'esercizio 2022 e la relativa copertura si rinviene nel Bilancio pluriennale 2022-2024 in fase di approvazione;
5. di demandare al Direttore della Direzione ICT e Agenda Digitale l’adozione di ogni atto connesso, consequenziale e comunque necessario a dar corso all’iniziativa di cui al presente provvedimento ivi inclusa la sottoscrizione della Convenzione;
6. di incaricare il Direttore della Direzione ICT e Agenda Digitale dell’esecuzione del presente atto;
7. di dare atto che il presente provvedimento è soggetto a pubblicazione ai sensi dell’articolo 23 del decreto legislativo 14 marzo 2013, n. 33;
8. di pubblicare la presente deliberazione sul Bollettino Ufficiale della Regione.

(seguono allegati)

Torna indietro