La Direzione Generale del Personale, Bilancio, Servizi Strumentali e Comunicazione del MUR ha ottenuto la certificazione ISO/IEC 27001, lo standard internazionale dedicato ai Sistemi di Gestione della Sicurezza delle Informazioni (SGSI). L'audit è stato condotto dall'ente certificatore IMQ e l'annuncio è stato pubblicato dal Ministero il 17 giugno 2026.
Cosa attesta lo standard internazionale
La certificazione documenta la conformità delle procedure interne ai requisiti previsti dallo standard, che copre la gestione dei rischi informatici, il controllo degli accessi, la protezione dei dati personali, la continuità operativa e la risposta agli incidenti. Lo standard è la norma adottata da pubbliche amministrazioni e imprese private per dimostrare l'esistenza di un Sistema di Gestione della Sicurezza delle Informazioni strutturato e verificabile. Al MUR il percorso è stato gestito dall'Ufficio V della Direzione Generale, competente per la pianificazione strategica IT, la statistica, l'infrastruttura di rete e la sicurezza, guidato da Paolo Micozzi. L'implementazione tecnica del sistema e l'iter di certificazione sono stati seguiti dal funzionario Danilo Colonna. La verifica documentale e ispettiva è stata svolta dall'IMQ, organismo accreditato Accredia per la certificazione dei sistemi di gestione.
«L'ottenimento della certificazione ISO/IEC 27001 rappresenta un riconoscimento importante dell'impegno della Direzione Generale nel rafforzamento della sicurezza delle informazioni e nella protezione dei servizi digitali del Ministero», ha dichiarato il Direttore Generale della DGPBSSC, Emanuele Fidora. «Si tratta di un risultato che conferma la validità del percorso intrapreso e la capacità dell'Amministrazione di adottare standard organizzativi e tecnologici in linea con le migliori pratiche internazionali».
Il legame con la Direttiva NIS2
Il MUR colloca la certificazione nel percorso di adeguamento alla Direttiva NIS2, recepita in Italia con il Decreto Legislativo 4 settembre 2024 n. 138 e in vigore dal 16 ottobre 2024. Il provvedimento estende gli obblighi di cibersicurezza alla pubblica amministrazione che gestisce servizi essenziali, inclusi i ministeri responsabili di università, ricerca e formazione superiore. La conformità ISO/IEC 27001 è una delle leve organizzative riconosciute per dimostrare l'adozione di misure tecniche e procedurali coerenti con la norma e per documentare il presidio dei dati trattati dall'Amministrazione. La Direttiva NIS2 sostituisce la precedente normativa del 2016 e introduce sanzioni amministrative significative, anche di natura economica, per i soggetti pubblici che non garantiscono livelli adeguati di protezione delle reti e dei sistemi informativi.
Il perimetro coperto dal sistema certificato include i servizi digitali rivolti a Università, Istituzioni AFAM, studenti, ricercatori e stakeholder del sistema della formazione superiore. Si tratta di piattaforme che gestiscono dati su carriere universitarie, finanziamenti alla ricerca, abilitazioni scientifiche e procedure concorsuali. La Direzione Generale dovrà mantenere lo standard attraverso audit periodici di sorveglianza previsti dalla norma, con rinnovo a tre anni dal rilascio. Il certificato pubblicato dal MUR è disponibile sul sito istituzionale del Ministero.