ART A Agenzia Regionale Toscana Erogazioni Agricoltura (L.R. 19 novembre 1999, n. 60) SETTORE GESTIONE SISTEMI INFORMATICI E FINANZIARI ED ESECUZIONE PAGAMENTI Decreto n. 53 del 15 maggio 2018 Oggetto: Acquisizione di Servizi di assessment e successivo affiancamento per certificazione ISO 27001 e conformità con la normativa vigente in materia di privacy tramite R.D.O su Mercato Elettronico della P.A. (MePA) del Ministero dell Economia e delle Finanze. CIG 7466786AB9 Allegati: Dirigente responsabile: Leonardo Danza Estensore: Leonardo Danza Atto soggetto a controllo dei Sindaci Revisori ai sensi dell art. 11, comma 3 della L.R. 60/99 Pubblicità/Pubblicazione: Atto soggetto a pubblicazione sulla Banca Dati degli atti amministrativi dell ARTEA (PBD) Atto soggetto a pubblicazione sul sito di ARTEA nella sezione Amministrazione trasparente
IL DIRIGENTE Vista la legge regionale 19 novembre 1999 n. 60, istitutiva dell Agenzia Regionale Toscana per le Erogazioni in Agricoltura (ARTEA); Visto il decreto del Direttore di ARTEA n. 160 del 21 dicembre 2012, così come modificato dal decreto 106 del 29 ottobre 2014, con il quale il sottoscritto è stato nominato Dirigente responsabile del settore "Gestione sistemi informatici e finanziari ed Esecuzione Pagamenti"; Visti i decreti del Direttore n. 66 del 29 giugno 2016 di revisione dell assetto delle strutture dirigenziali di ARTEA e n. 131 del 30/12/2016 con il quale si conferma il precedente incarico; Visto che gli Organismi pagatori dei fondi strutturali CE FEAGA/FEASR devono seguire specifici standard per la sicurezza dei sistemi di informazione; Visto in particolare l Art. 3 informazione e comunicazione dell Allegato 1 al Regolamento (UE) n. 907/2014 relativo ai criteri di riconoscimento degli Organismi Pagatori, punto B Sicurezza dei sistemi d informazione i) Fatto salvo il punto ii) di seguito, la sicurezza dei sistemi d informazione si basa sui criteri definiti in una versione applicabile, nell esercizio finanziario di cui trattasi, di una delle seguenti norme: - International Standards Organisation (Organizzazione internazionale per la standardizzazione) 27002: Code of practice for Information Security controls (ISO) (codice di buona pratica per i controlli sulla sicurezza delle informazioni), - Bundesamt für Sicherheit in der Informationstechnik: IT-Grundschutzhandbuch/Manuale di sicurezza informatica di base (BSI), - Information Systems Audit and Control Association: Control Objectives for Information and related Technology (COBIT) (obiettivi di controllo nel campo dell informazione e delle tecnologie correlate). ii) A decorrere dal 16 ottobre 2016 la sicurezza dei sistemi d informazione è certificata in conformità con l Organizzazione internazionale per la standardizzazione 27001: Sistemi di gestione della sicurezza delle informazioni Requisiti (ISO). La Commissione può autorizzare gli Stati membri a certificare la sicurezza dei loro sistemi d informazione in conformità con altre norme riconosciute se tali norme garantiscono un livello di sicurezza almeno equivalente a quello previsto dalla norma ISO 27001. Per gli organismi pagatori responsabili della gestione e del controllo di una spesa annuale dell Unione non superiore a 400 milioni di EUR, gli Stati membri possono decidere di non applicare le disposizioni di cui al primo comma. In tale caso, gli Stati membri continuano ad applicare le disposizioni di cui al punto i). Essi comunicano la loro decisione alla Commissione. Considerato quindi che, secondo quanto esposto al precedente capoverso, ARTEA, in qualità di Organismo Pagatore dei fondi FEAGA e FEASR, non superando la spesa annuale di 400 M erogati, non è al momento obbligata a certificarsi secondo lo standard ISO 27001; Dato atto che questa pubblica amministrazione ha scelto sin dal 2004 di basare la valutazione dei propri sistemi sul Framework CobIT (attualmente alla versione 5) Control Objectives for Information and related Technology ovvero obiettivi di controllo nel campo dell informazione e delle tecnologie correlate, che mostra una buona corrispondenza con ISO 27001 (standard rivolto ad un ambito più strettamente IT) ma costituisce un telaio concettuale orizzontale più ampio che prende in considerazione l intera gestione (corporate management) dell IT coerentemente con gli obiettivi strategici posti dalla direzione dell organizzazione, quindi un insieme di obiettivi rivolti all IT governance oltre che all IT management. Preso atto che gli altri organismi pagatori italiani sono orientati per la certificazione ISO 27001 e che in particolare l organismo pagatore nazionale e gli organismi pagatori regionali di Lombardia, Veneto, Emilia Romagna, Piemonte sono già certificati; Considerato che l art 2 comma 2 del DM 162/2015 richiede per i nuovi Organismi Pagatori l obbligo, dal 2016, di attuare la certificazione delle informazioni secondo la norma ISO/IEC 27001.
Preso atto del verbale dell incontro del Comitato Strategico per la sicurezza Informatica di ARTEA del 14/11/2017, agli atti presso questa pubblica amministrazione, che indica tendenza favorevole, anche da parte della Direzione, ad intraprendere un percorso di certificazione ISO 27001; Preso atto che ARTEA ha operato riguardo la normativa in ambito privacy e trattamento dei dati personali seguendo in particolare l ambito sicurezza informatica, tuttavia necessita di adeguarsi alla nuova disciplina della Privacy ai sensi del Reg. UE 679/2016 (GDPR General Data Protection Regulation) che diverrà definitivamente applicabile il prossimo 25 maggio; Considerato che: - l art. 24 nel regolamento GDPR specifica che il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento dei dati personali è effettuato conformemente al Regolamento (principio di accountability), - l art. 32 sicurezza del trattamento prevede che il titolare ed il responsabile del trattamento mettano in atto misure tecniche ed organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, vale a dire quindi misure di sicurezza delle informazioni; Considerato opportuno effettuare da uno stesso operatore economico l acquisizione di servizi specialistici di supporto sia in ambito ISO 27001 che in ambito protezione delle persone fisiche con riguardo al trattamento dei dati personali poiché entrambe gli ambiti condividono un vasto insieme di regole e procedure operative; Ritenuto quindi, per le motivazioni sopra esposte, necessario acquisire servizi specialistici in ambito certificazione ISO 27001 e adempimenti in ambito protezione dei dati personali con particolare riferimento al GDPR (General Data Protection Regulation - Regolamento UE 2016/679) ed in particolare: - valutazione del sistema di gestione della sicurezza delle informazioni (SGSI) che definisca in dettaglio gli scostamenti attuali rispetto a quanto necessario per la certificazione secondo lo standard ISO 27001; - attività di affiancamento al personale interno per portare a termine il programma di lavoro definito nella fase di valutazione allo scopo di essere idonei alla certificazione ISO 27001; - assistenza al personale interno durante la certificazione da parte di idoneo ed autonomo soggetto; - valutazione della conformità della realtà organizzativa di ARTEA alla nuova disciplina della Privacy Reg. UE 679/2016, così da pianificare gli interventi necessari ad adempiere alle novità in materia di privacy; - attività di affiancamento privacy al personale di ARTEA per portare a termine il programma di lavoro definito nella fase di valutazione allo scopo di essere conformi alla normativa vigente in materia di privacy; - assistenza per i seguenti adempimenti: - valutazione d impatto sulla protezione dei dati (Privacy Impact Assessment) e il governo della privacy - elaborazione dell informativa privacy come richiesta dal nuovo Regolamento - assistenza e consulenza giuridico legale, interventi formativi propedeutici al corretto svolgimento delle attività - collaborazione con il Responsabile della Protezione dei Dati ( Data Protection Officer ) e per la istituzione del Registro delle attività di trattamento e relativa tenuta Visto l art. 26, comma 3 della Legge 23 dicembre 1999, n.488 - Disposizioni per la formazione del bilancio annuale e pluriennale dello Stato. (Legge finanziaria 2000) che prevede che: Le amministrazioni pubbliche possono ricorrere alle convenzioni stipulate ai sensi del comma 1, ovvero ne utilizzano i parametri di prezzo-qualità, come limiti massimi, per l'acquisto di beni e servizi comparabili oggetto delle stesse ( ); Vista la Legge 6 luglio 2012, n. 94, di conversione del Decreto Legge 7 maggio 2012, n. 52, che prevede l obbligo per le Amministrazioni pubbliche di cui all articolo 1 del D.Lgs. 30 marzo 2001, n. 165, di
acquisire beni e servizi di importo inferiore alla soglia comunitaria mediante il ricorso al Mercato Elettronico della Pubblica Amministrazione (MePa) ovvero ad altri mercati elettronici di cui all articolo 328 del D.P.R. 207/2010 nonché vista la Legge 7 agosto 2012, n. 135, di conversione del Decreto Legge 6 luglio 2012, n. 95, che stabilisce che i contratti stipulati successivamente alla data di entrata in vigore della legge di conversione stessa (15 agosto 2012) in violazione dell articolo 26, comma 3 della Legge 23 dicembre 1999, n. 488 e in violazione degli obblighi di approvvigionarsi attraverso gli strumenti di acquisto messi a disposizione da Consip S.p.A., sono nulli, costituiscono illecito disciplinare e sono causa di responsabilità amministrativa; Vista la Legge 27 dicembre 2006 n. 296 in cui all art. 1 comma 450 è previsto che le altre amministrazioni pubbliche di cui all articolo 1 del decreto legislativo 30 marzo 2001, n. 165, nonché le autorità indipendenti, per gli acquisti di beni e servizi di importo inferiore alla soglia di rilievo comunitario sono tenute a fare ricorso al mercato elettronico della pubblica amministrazione ovvero ad altri mercati elettronici istituiti ai sensi del medesimo articolo 328 ovvero al sistema telematico messo a disposizione dalla centrale regionale di riferimento per lo svolgimento delle relative procedure Richiamati gli art. 36 comma b del D.Lgs 50/2016 recante il codice di disciplina dei contratti di appalto e di concessione delle amministrazioni aggiudicatrici e degli enti aggiudicatori aventi ad oggetto l acquisizione di servizi, forniture, lavori e opere, nonché i concorsi pubblici di progettazione e con riferimento all articolo 328 del D.P.R. 207/2010 Regolamento di esecuzione ed attuazione del D.Lgs. 12 aprile 2006, n.163; Considerato che il D.lgs. 50/2016 ha ridisegnato la disciplina dei contratti sotto soglia, superando le acquisizioni in economia e la relativa disciplina così come previste nella previgente normativa ed individuando, in un ottica di semplificazione e celerità delle procedure di affidamento di forniture e servizi di importo inferiore alle soglie di rilevanza comunitaria, una modalità simile a quella prevista dalla normativa regionale per le acquisizioni in economia mediante cottimo fiduciario; Vista la Legge Regionale n. 38 del 13/07/2007 ed il relativo Regolamento di Attuazione n. 30/R del 27/05/2008, parte I e parte III; Visto il Regolamento per l acquisizione in economia di lavori, forniture e servizi in applicazione dell art. 125 del D.Lgs. 163/2006 e per le funzioni di Provveditorato ed Economato, approvato con Decreto del Direttore n. 104 del 1 ottobre 2015; Visto l art. 36 del Regolamento di Amministrazione e Contabilità approvato con Decreto del Direttore di ARTEA n. 103 del 01 ottobre 2015 che richiama la normativa nazionale e regionale in materia per procedere all acquisizione di beni e servizi; Provveduto in data 09/04/2018 ad effettuare mediante il portale Consip- mercato elettronico un acquisto tramite Richiesta Di Offerta (R.D.O. n. 1916617) ai sensi dell art. 36, comma 2, lettera b e comma 6 del D.Lgs. 18 aprile 2016 n. 50 e s.m.i. per lo svolgimento di servizi di valutazione dello stato di avanzamento iniziale e successivo affiancamento per certificazione ISO 27001 e conformità con la normativa vigente in materia di privacy e trattamenti di dati personali per un importo complessivo massimo a base di gara pari ad 47.000 (euro quarantasettemila/00) oltre IVA nei termini di legge, invitando le ditte sotto elencate: Ragione sociale Partita iva Codice Fiscale Comune(PR) Regione ERNST & YOUNG S.P.A. 00891231003 00434000584 ROMA(RM) LAZIO DELOITTE & TOUCHE S.P.A. 03049560166 03049560166 MILANO(MI) LOMBARDIA GALGANO & ASSOCIATI CONSULTING 06808460965 06808460965) MILANO(MI LOMBARDIA KPMG SPA 00709600159 00709600159 MILANO(MI) LOMBARDIA PRICEWATERHOUSECOOPERS S.P.A. 12979880155 12979880155 MILANO(MI) LOMBARDIA SGS ITALIA 11370520154 04112680378 MILANO(MI) LOMBARDIA
L acquisizione è effettuata avvalendosi della iniziativa "SERVIZI" attiva sul Mercato Elettronico della centrale di acquisto MEPA / CONSIP e ricade nella seguente categoria merceologica: Categoria di Abilitazione Servizi di supporto specialistico Riferimenti atto su MEPA: Capitolato d'oneri SERVIZI Dic. 2017 All. 15 - Capitolato Tecnico Servizi di supporto specialistico Servizio specifico da eseguire 6.3.7 Supporto specialistico in materia di audit 6.3.11 Supporto specialistico giuridico in ambito organizzativo, gestionale e amministrativo Dato atto che si è indicato agli operatori economici concorrenti di quotare i servizi richiesti, ivi compreso quantità indicative di giorni uomo dei profili professionali di assistenza specialistica in modo da ottenere un prezzo offerto complessivo, oggetto della valutazione ai fini di stabilire il concorrente vincitore dell appalto, come da tabella a seguire: Descrizione del servizio prezzo max. ( ) q.ta Netto con IVA attività di valutazione del nostro sistema di gestione della sicurezza delle informazioni (SGSI) che definisca in dettaglio gli scostamenti attuali rispetto a quanto necessario per la certificazione secondo lo standard ISO 27001 e proponga in merito un programma di lavoro (completo di attività e tempi). attività di affiancamento ISO 27001 al personale di ARTEA per: valutazione allo scopo di essere idonei alla certificazione. - assistere il personale di ARTEA durante la certificazione da parte di idoneo ed autonomo soggetto. Valutazione della conformità della realtà organizzativa di ARTEA alla nuova disciplina della Privacy Reg. UE 679/2016, così da pianificare gli interventi necessari ad adempiere alle novità in materia di privacy. 34.000,00 1 34.000,00 41.480,00 attività di affiancamento privacy al personale di ARTEA per: valutazione allo scopo di essere conformi alla normativa vigente in materia di privacy. prezzo unitario per giorno uomo di consulente iunior ISO 27001 per prezzo unitario per giorno uomo di consulente iunior privacy per prezzo unitario per giorno uomo di consulente senior ISO 27001 per prezzo unitario per giorno uomo di consulente senior privacy per 450,00 5 2.250,00 2.745,00 450,00 5 2.250,00 2.745,00 850,00 5 4.250,00 5.185,00 850,00 5 4.250,00 5.185,00 totali: 47.000,00 57.340,00
Preso atto che, in seguito a tale richiesta è stata presentata offerta solo dal seguente operatore economico GALGANO & ASSOCIATI CONSULTING - Via della Moscova 10-20121 Milano P.IVA 06808460965, per un importo di 38.400,00 (trentottomilaquattrocento/00) IVA esclusa, offerta dettagliata nella tabella a seguire: Descrizione del servizio attività di valutazione del nostro sistema di gestione della sicurezza delle informazioni (SGSI) che definisca in dettaglio gli scostamenti attuali rispetto a quanto necessario per la certificazione secondo lo standard ISO 27001 e proponga in merito un programma di lavoro (completo di attività e tempi). attività di affiancamento ISO 27001 al personale di ARTEA per: valutazione allo scopo di essere idonei alla certificazione. - assistere il personale di ARTEA durante la certificazione da parte di idoneo ed autonomo soggetto. Valutazione della conformità della realtà organizzativa di ARTEA alla nuova disciplina della Privacy Reg. UE 679/2016, così da pianificare gli interventi necessari ad adempiere alle novità in materia di privacy. attività di affiancamento privacy al personale di ARTEA per: valutazione allo scopo di essere conformi alla normativa vigente in materia di privacy. prezzo unitario per giorno uomo di consulente iunior ISO 27001 per prezzo unitario per giorno uomo di consulente iunior privacy per prezzo unitario per giorno uomo di consulente senior ISO 27001 per prezzo unitario per giorno uomo di consulente senior privacy per prezzo unitario. ( ) q.ta Netto con IVA 34.000,00 1 26.400,00 32.208,00 400,00 5 2.000,00 2.440,00 400,00 5 2.000,00 2.440,00 800,00 5 4.000,00 4.880,00 800,00 5 4.000,00 4.880,00 totali: 38.400,00 46.848,00 Considerato che l offerta presentata dalla Ditta GALGANO & ASSOCIATI CONSULTING risulta congrua rispetto ai prezzi osservati per analoghe acquisizioni di altri Organismi Pagatori e che di conseguenza si è proceduto alla convalida dell offerta stessa; Atteso che: per la fornitura in oggetto il sistema ANAC ha rilasciato il codice CIG 7466786AB9 la medesima Autorità prevede a carico della stazione appaltante, ai sensi dell articolo 1 della deliberazione n. 1377 del 21/12/2016, il versamento della somma di. 30,00 (euro trenta/00) in relazione all importo posto a base dell affidamento Visti gli esiti positivi dei controlli ex DPR 445/2000 effettuati dall ufficio e depositati agli atti presso l ufficio del Dirigente Responsabile del contratto, compreso il DURC, come previsto dalla normativa vigente;
Preso atto: che la ditta GALGANO & ASSOCIATI CONSULTING è soggetta agli obblighi a proprio carico disposti dalla legge 136/2010; che il mancato rispetto degli obblighi di tracciabilità dei flussi finanziari, oltre alle sanzioni specifiche, comporta la nullità assoluta del contratto, nonché l esercizio da parte della Stazione Appaltante della facoltà risolutiva espressa da attivarsi in tutti i casi in cui le transazioni siano state eseguite senza avvalersi di banche o della società Poste Italiane SpA; che questa stazione appaltante procederà all immediata risoluzione del rapporto contrattuale, informandone contestualmente la Prefettura - ufficio territoriale del Governo territorialmente competente, qualora venisse a conoscenza dell inadempimento della propria controparte rispetto agli obblighi di tracciabilità finanziaria di cui di cui all art. 3 legge 136/2010; che qualora nel prosieguo del rapporto contrattuale si dovessero registrare modifiche rispetto ai dati di cui sopra, la ditta si impegna a darne comunicazione alla Stazione Appaltante entro 7 giorni. Preso atto che ai sensi del D.M. MEF n. 55 del 03/04/2013 e dell art. 25 del D.L. n. 66/2014 convertito in L. 89/2014, ARTEA può accettare e pagare soltanto fatture ricevute in forma elettronica utilizzando i seguenti codici da riportare in fattura: Codice Univoco Ufficio (CUU) di ARTEA = UFULEM Denominazione dell ufficio = Uff_e FatturaPA Codice CIG = 7466786AB9 Tenuto conto che per la fornitura richiesta non sussistono rischi interferenti per i quali si rende necessario adottare relative misure di sicurezza e che pertanto non è stato redatto il DUVRI e non sussistono di conseguenza costi della sicurezza; Preso atto che per quanto previsto dall art. 1 del D.L. 24 aprile 2017 n. 50 ARTEA può accettare soltanto fatture in regime di split-payment; Visto il bilancio economico preventivo per l anno 2018 adottato con decreto del direttore n. 147 del 30 novembre 2017 ed approvato con DGR n. 383 del 09 aprile 2018;
DECRETA 1. di acquisire in via presuntiva, per i motivi espressi in narrativa, presso acquisti on-line della pubblica amministrazione attivato dal Ministero del Tesoro, del Bilancio e delle Programmazione Economica, i seguenti servizi: Descrizione del servizio attività di valutazione del nostro sistema di gestione della sicurezza delle informazioni (SGSI) che definisca in dettaglio gli scostamenti attuali rispetto a quanto necessario per la certificazione secondo lo standard ISO 27001 e proponga in merito un programma di lavoro (completo di attività e tempi). attività di affiancamento ISO 27001 al personale di ARTEA per: valutazione allo scopo di essere idonei alla certificazione. - assistere il personale di ARTEA durante la certificazione da parte di idoneo ed autonomo soggetto. Valutazione della conformità della realtà organizzativa di ARTEA alla nuova disciplina della Privacy Reg. UE 679/2016, così da pianificare gli interventi necessari ad adempiere alle novità in materia di privacy. prezzo unitario. ( ) q.ta Netto con IVA 34.000,00 1 26.400,00 32.208,00 attività di affiancamento privacy al personale di ARTEA per: valutazione allo scopo di essere conformi alla normativa vigente in materia di privacy. prezzo unitario per giorno uomo di consulente iunior ISO 27001 per prezzo unitario per giorno uomo di consulente iunior privacy per prezzo unitario per giorno uomo di consulente senior ISO 27001 per prezzo unitario per giorno uomo di consulente senior privacy per 400,00 5 2.000,00 2.440,00 400,00 5 2.000,00 2.440,00 800,00 5 4.000,00 4.880,00 800,00 5 4.000,00 4.880,00 totali: 38.400,00 46.848,00 dalla ditta GALGANO & ASSOCIATI CONSULTING - Via della Moscova 10-20121 Milano P.IVA 06808460965 per un importo complessivo presunto di euro 57.370 desumibile dalla tabella che segue. 57.340,00 (euro cinquantasettemilatrecentoquaranta/00) comprensiva di IVA nei termini di legge, corrispondente all importo netto di 47.000,00 dichiarato in fase di richiesta del CIG 30,00 Versamento importo ANAC 57.370,00 (euro cinquantasettemilatrecentosettanta/00) Importo totale presunto Resta inteso che in sede di esecuzione del servizio saranno ordinati progressivamente i necessari giorni uomo di assistenza specialistica nei diversi profili sino ad eventuale esaurimento dell importo complessivo presunto;
2. di imputare e successivamente liquidare l importo complessivo di 57.370,00 (euro cinquantasettemilatrecentosettanta/00), comprensiva di IVA nei termini di legge agli appositi conti del bilancio economico preventivo per l anno 2018; 3. di incaricare il responsabile della Posizione Organizzativa Funzionamento dell Agenzia di provvedere, dopo l apposizione del visto da parte del sottoscritto, al pagamento di tali spese alle scadenze indicate. Il presente atto, è pubblicato integralmente sulla banca dati degli atti amministrativi di ARTEA ai sensi dell art. 18 della L.R. 23/2007, Il presente atto è soggetto a pubblicità sulla rete internet ai sensi del D.Lgs. 33/2013 ed è pertanto pubblicato sul sito istituzionale di Artea all indirizzo www.artea.toscana.it nella sezione "Amministrazione trasparente". Il Dirigente (Leonardo Danza) Documento informatico firmato digitalmente ai sensi del testo unico D.P.R. 28 dicembre 2000,n. 445, del D.Lgs. 7 marzo 2005, n. 82 e norme collegate, il quale sostituisce il testo cartaceo e la firma autografa.