L’art. 50-bis c. 3, l. b del D.Lgs. N. 82/2005 (Codice dell’Amministrazione Digitale CAD) e s.m.i. “Continuità operativa”, come modificato dal D.Lgs. 235/10, obbliga tutte le PA ad adottare il Piano di Continuità Operativa ovvero punta a fornire alle PA gli strumenti utili ad adottare le giuste misure che assicurino la continuità delle operazioni indispensabili per il servizio e il ritorno al normale funzionamento attraverso la predisposizione di piani di emergenza.
Le Linee Guida AgID individuano alcuni dei ruoli specifici all’interno delle PA tra cui il Responsabile della Continuità Operativa, posizione dirigenziale all’interno dell’Ente che si occupa, principalmente, della predisposizione e della trasmissione a AgID dello Studio di Fattibilità Tecnica (SFT).
In aggiunta, le Linee Guida individuano anche un organo di vertice al quale sono affidate le principali decisioni relative all’applicazione dei Piani di Continuità e di DR e la supervisione delle attività delle risorse coinvolte: al Comitato di Gestione della Crisi, costituito da figure apicali e di vertice, con poteri decisionali e di indirizzo in materia organizzativa ed economica, spetta la direzione strategica dell’intera struttura in occasione dell’apertura della crisi e ha la responsabilità di garanzia e controllo sull’intero progetto.
Le Linee Guida, per quanto riguarda le PA coinvolte nella gestione di Infrastrutture Critiche, ritengono indispensabile integrare le strutture organizzative anche mediante l’istituzione di un Comitato Strategico per la Sicurezza, dotato di competenza apicale, autonomia e responsabilità, che presiede il governo della politica di sicurezza ICT dell’Ente, assicurando una visione unitaria e in grado di valutare sia il rischio operativo complessivo sia le necessarie misure di sicurezza da attuare.