La Direzione Generale del Personale, Bilancio, Servizi Strumentali e Comunicazione del MUR ha ottenuto la certificazione ISO/IEC 27001, lo standard internazionale dedicato ai Sistemi di Gestione della Sicurezza delle Informazioni (SGSI). L'audit è stato condotto dall'ente certificatore IMQ e l'annuncio è stato pubblicato dal Ministero il 17 giugno 2026.
Cosa attesta lo standard internazionale
La certificazione documenta la conformità delle procedure interne ai requisiti previsti dallo standard, che copre la gestione dei rischi informatici, il controllo degli accessi, la protezione dei dati personali, la continuità operativa e la risposta agli incidenti. Lo standard è la norma adottata da pubbliche amministrazioni e imprese private per dimostrare l'esistenza di un Sistema di Gestione della Sicurezza delle Informazioni strutturato e verificabile. Al MUR il percorso è stato gestito dall'Ufficio V della Direzione Generale, competente per la pianificazione strategica IT, la statistica, l'infrastruttura di rete e la sicurezza, guidato da Paolo Micozzi. L'implementazione tecnica del sistema e l'iter di certificazione sono stati seguiti dal funzionario Danilo Colonna. La verifica documentale e ispettiva è stata svolta dall'IMQ, organismo accreditato Accredia per la certificazione dei sistemi di gestione.
«L'ottenimento della certificazione ISO/IEC 27001 rappresenta un riconoscimento importante dell'impegno della Direzione Generale nel rafforzamento della sicurezza delle informazioni e nella protezione dei servizi digitali del Ministero», ha dichiarato il Direttore Generale della DGPBSSC, Emanuele Fidora. «Si tratta di un risultato che conferma la validità del percorso intrapreso e la capacità dell'Amministrazione di adottare standard organizzativi e tecnologici in linea con le migliori pratiche internazionali».
Il legame con la Direttiva NIS2
Il MUR colloca la certificazione nel percorso di adeguamento alla Direttiva NIS2, recepita in Italia con il Decreto Legislativo 4 settembre 2024 n. 138 e in vigore dal 16 ottobre 2024. Il provvedimento estende gli obblighi di cibersicurezza alla pubblica amministrazione che gestisce servizi essenziali, inclusi i ministeri responsabili di università, ricerca e formazione superiore. La conformità ISO/IEC 27001 è una delle leve organizzative riconosciute per dimostrare l'adozione di misure tecniche e procedurali coerenti con la norma e per documentare il presidio dei dati trattati dall'Amministrazione. La Direttiva NIS2 sostituisce la precedente normativa del 2016 e introduce sanzioni amministrative significative, anche di natura economica, per i soggetti pubblici che non garantiscono livelli adeguati di protezione delle reti e dei sistemi informativi.
Il perimetro coperto dal sistema certificato include i servizi digitali rivolti a Università, Istituzioni AFAM, studenti, ricercatori e stakeholder del sistema della formazione superiore. Si tratta di piattaforme che gestiscono dati su carriere universitarie, finanziamenti alla ricerca, abilitazioni scientifiche e procedure concorsuali. La Direzione Generale dovrà mantenere lo standard attraverso audit periodici di sorveglianza previsti dalla norma, con rinnovo a tre anni dal rilascio. Il certificato pubblicato dal MUR è disponibile sul sito istituzionale del Ministero.
Domande frequenti
Cos'è la certificazione ISO/IEC 27001 ottenuta dal MUR?
La ISO/IEC 27001 è uno standard internazionale che attesta la presenza di un Sistema di Gestione della Sicurezza delle Informazioni (SGSI) conforme ai requisiti previsti per la protezione dei dati, il controllo degli accessi, la gestione dei rischi informatici e la continuità operativa.
Quali servizi digitali del MUR sono coperti dal sistema certificato?
Il sistema certificato copre i servizi digitali rivolti a Università, Istituzioni AFAM, studenti, ricercatori e stakeholder della formazione superiore, inclusi quelli che gestiscono dati su carriere universitarie, finanziamenti, abilitazioni e procedure concorsuali.
Come si inserisce la certificazione ISO/IEC 27001 nel percorso di adeguamento alla Direttiva NIS2?
La certificazione rappresenta una delle principali leve organizzative per dimostrare l'adozione di misure tecniche e procedurali conformi alla Direttiva NIS2, che impone obblighi stringenti di cybersicurezza alle pubbliche amministrazioni che gestiscono servizi essenziali.
Chi ha gestito e seguito l’iter di certificazione all’interno del MUR?
Il percorso è stato gestito dall'Ufficio V della Direzione Generale, guidato da Paolo Micozzi, mentre l’implementazione tecnica e l’iter sono stati seguiti dal funzionario Danilo Colonna.
Quali sono le implicazioni della Direttiva NIS2 per il MUR e le altre pubbliche amministrazioni?
La Direttiva NIS2 estende gli obblighi di cybersicurezza e introduce sanzioni amministrative significative per le amministrazioni che non garantiscono adeguati livelli di protezione dei sistemi informativi, rendendo la conformità ISO/IEC 27001 uno strumento strategico per il rispetto della normativa.
Come viene mantenuta la certificazione ISO/IEC 27001 nel tempo dal MUR?
La Direzione Generale dovrà sottoporsi a audit periodici di sorveglianza e rinnovare la certificazione ogni tre anni, come previsto dalla norma.
