Le misure di sicurezza informatica declinata attraverso le prescrizioni contenute nel Piano triennale AGID per l’informatica nella P.A., 2024-2026.

Premessa

L’evoluzione delle moderne tecnologie e la conseguente possibilità di ottimizzare lo svolgimento dei procedimenti amministrativi con l’obiettivo di rendere efficace, efficiente e più economica l’azione amministrativa, ha reso sempre più necessaria la “migrazione” verso il digitale che, però, al contempo, sta portando alla luce nuovi rischi, esponendo imprese e servizi pubblici a possibili attacchi cyber.

In quest’ottica, la sicurezza e la resilienza delle reti e dei sistemi, su cui tali tecnologie poggiano, sono il baluardo necessario a garantire, nell’immediato, la sicurezza del Paese e, in prospettiva, lo sviluppo e il benessere dello Stato e dei cittadini.

Le motivazioni che hanno condotto alla costituzione dell’Agenzia per la Cybersicurezza Nazionale (ACN).

Considerato che le vulnerabilità delle reti, dei sistemi informativi, dei servizi informatici e delle comunicazioni elettroniche di soggetti pubblici e privati possono essere sfruttate al fine di provocare il malfunzionamento o l’interruzione, totali o parziali, di funzioni essenziali dello Stato e di servizi essenziali per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato, nonché di servizi di pubblica utilità, con potenziali gravi ripercussioni sui cittadini, sulle imprese e sulle pubbliche amministrazioni, sino a poter determinare un pregiudizio per la sicurezza nazionale;

Considerata la straordinaria necessità e urgenza, nell’attuale quadro normativo e a fronte della realizzazione in corso di importanti e strategiche infrastrutture tecnologiche, anche in relazione a recenti attacchi alle reti di Paesi europei e di importanti partner internazionali idonei a determinare effetti anche di natura sistemica e che sottolineano ulteriormente come il dominio cibernetico costituisca terreno di confronto con riflessi sulla sicurezza nazionale, di razionalizzare le competenze in materia, di assicurare un più efficace coordinamento, di attuare misure tese a rendere il Paese più sicuro e resiliente anche nel dominio digitale, di disporre dei più idonei strumenti di immediato intervento che consentano di affrontare con la massima efficacia e tempestività eventuali situazioni di emergenza che coinvolgano profili di cybersicurezza;

Considerata altresì la necessità e urgenza di dare attuazione al Piano nazionale di ripresa e resilienza, deliberato dal Consiglio dei ministri nella riunione del 29 aprile 2021, che prevede apposite progettualità nell’ambito della cybersicurezza, in particolare per l’istituzione di un’Agenzia di cybersicurezza nazionale, quale fattore necessario per tutelare la sicurezza dello sviluppo e della crescita dell’economia e dell’industria nazionale, ponendo la cybersicurezza a fondamento della trasformazione digitale;

Ritenuto pertanto di dover intervenire con urgenza al fine di ridefinire l’architettura italiana di cybersicurezza, prevedendo anche l’istituzione di un’apposita Agenzia per la cybersicurezza nazionale, per adeguarla all’evoluzione tecnologica, al contesto di minaccia proveniente dallo spazio cibernetico, nonché al quadro normativo europeo, e di dover raccordare, altresì, pure a tutela dell’unità giuridica dell’ordinamento, le disposizioni in materia di sicurezza delle reti, dei sistemi informativi, dei servizi informatici e delle comunicazioni elettroniche.

Il ruolo dell’Agenzia per la Cybersicurezza Nazionale (ACN).

La recente riforma dell’architettura nazionale cyber, attuata attraverso l’adozione del decreto-legge 14 giugno 2021, n. 82 che ha istituito l’Agenzia per la Cybersicurezza Nazionale (ACN), ha come obiettivo, tra gli altri, quello di sviluppare e rafforzare le capacità cyber nazionali, garantendo l’unicità istituzionale di indirizzo e azione, anche mediante la redazione e l’implementazione della Strategia nazionale di cybersicurezza, che considera cruciale, per il corretto “funzionamento” del sistema Paese, la sicurezza dell’ecosistema digitale alla base dei servizi erogati dalla Pubblica Amministrazione, con specifica attenzione ai beni ICT.

Tali beni supportano le funzioni e i servizi essenziali dello Stato e, purtroppo, come dimostrano gli ultimi rapporti di settore, sono tra i bersagli preferiti degli attacchi cyber. Per garantire lo sviluppo e il rafforzamento delle capacità cyber nazionali, con il Piano Nazionale di Ripresa e Resilienza e con i Fondi per l’attuazione e la gestione della Strategia nazionale di cybersicurezza sono state destinate significative risorse alla sicurezza cibernetica e alle misure tese a realizzare un percorso di miglioramento della postura di sicurezza del sistema Paese nel suo insieme e, in particolare, della Pubblica Amministrazione.

Gli obiettivi e i risultati attesi, definiti successivamente nel presente capitolo, sono in linea con specifici interventi realizzati dall’ACN in favore delle pubbliche amministrazioni per cui sono state individuate specifiche aree di miglioramento. In particolare, il riferimento è alla necessità di:

• prevedere dei modelli di gestione centralizzati della cybersicurezza, coerentemente con il ruolo trasversale associato;

• definire processi di gestione e mitigazione del rischio cyber, sia interni sia legati alla gestione delle terze parti di processi IT;

• promuovere attività legate al miglioramento della cultura cyber delle amministrazioni (obiettivo 7.5). All’interno di questo contesto, anche AGID collaborerà mettendo a disposizione della Pubblica Amministrazione una serie di piattaforme e di servizi, che verranno erogati tramite il proprio CERT, finalizzati alla conoscenza e al contrasto dei rischi cyber legati al patrimonio ICT della PA.

Riferimenti normativi italiani:

• Decreto legislativo 7 marzo 2005, n. 82, “Codice dell’amministrazione digitale”, articolo 51

• Decreto del Presidente del Consiglio dei ministri 17 febbraio 2017, “Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali”

• Decreto Legislativo 18 maggio 2018, n. 65, “Attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione”

• Decreto del Presidente del Consiglio dei ministri 8 agosto 2019, “Disposizioni sull’organizzazione e il funzionamento del computer security incident response team – CSIRT italiano”

• Decreto-legge 21 settembre 2019, n. 105, “Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica”

• Decreto-legge 19 luglio 2020, n. 76, “Misure urgenti per la semplificazione e l’innovazione digitale” • Decreto del Presidente del Consiglio dei ministri 14 aprile 2021, n. 81, “Regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di cui all’articolo 1, comma 2, lettera b), del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, e di misura volte a garantire elevati livelli di sicurezza”;

• Decreto-legge 14 giugno 2021 n. 82, “Disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la Cybersicurezza Nazionale”;

• Decreto legislativo 8 novembre 2021 n. 207, “Attuazione della direttiva (UE) 2018/1972 del Parlamento europeo e del Consiglio, dell’11 dicembre 2018, che istituisce il Codice europeo delle comunicazioni elettroniche (rifusione)”;

• Decreto-legge 21 marzo 2022 n. 21, “Misure urgenti per contrastare gli effetti economici e umanitari della crisi Ucraina”, articoli 27, 28 e 29;

• Decreto del Presidente del Consiglio dei ministri 17 maggio 2022, Adozione della Strategia nazionale di cybersicurezza 2022-2026 e del relativo Piano di implementazione 2022-2026;

• Misure minime di sicurezza ICT per le pubbliche amministrazioni, 18 marzo 2017;

• Linee guida sulla sicurezza nel procurement ICT, del mese di aprile 2020;

• Strategia Cloud Italia, adottata a settembre 2021

• Piano Nazionale di Ripresa e Resilienza – Investimento 1.5: “Cybersecurity”; Riferimenti normativi europei:

Riferimenti normativi comunitari:

• Direttiva 6 luglio 2016 n. 2016/1148 recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione.

• Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all’ENISA, l’Agenzia dell’Unione europea per la cybersicurezza, e alla certificazione della cybersicurezza per le tecnologie dell’informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cybersicurezza»)

• Direttiva 14 dicembre 2022 n. 2022/2555/UE relativa a misure per un livello comune elevato di cybersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2) (Testo rilevante ai fini del SEE

Linee di azione per le PA

• Da settembre 2024 – Le singole PA definiscono il modello unitario, assicurando un coordinamento centralizzato a livello dell’istituzione, di governance della cybersicurezza

• Da dicembre 2024 – Le PA adottano un modello di governance della cybersicurezza

• Da dicembre 2024 – Le PA nominano i Responsabili della cybersicurezza e delle loro strutture organizzative di supporto

• Da dicembre 2024 – Le PA formalizzano i processi e le procedure inerenti alla gestione della cybersicurezza

• Da giugno 2024 – Le PA definiscono e approvano i requisiti di sicurezza relativi al processo di approvvigionamento IT

• Da dicembre 2024 – Le PA definiscono e promuovono i processi di gestione del rischio sui fornitori e terze parti IT, la contrattualistica per i fornitori e le terze parti IT, comprensive dei requisiti di sicurezza da rispettare

• Da dicembre 2024 – Le PA definiscono e formalizzano il processo di cyber risk management e security by design, coerentemente con gli strumenti messi a disposizione da ACN

• Dicembre 2025 – Le PA promuovono il censimento dei dati e servizi della PA, identificandone la rilevanza e quindi le modalità per garantirne la continuità operativa

• Dicembre 2025 – Le PA realizzano o acquisiscono gli strumenti atti alla messa in sicurezza dell’integrità, confidenzialità e disponibilità dei servizi e dei dati, come definito dalle relative procedure

• Dicembre 2026 – Le PA integrano le attività di monitoraggio del rischio cyber, come definito dal relativo Piano, nelle normali attività di progettazione, analisi, conduzione e dismissione di applicativi e sistemi informativi

• Da dicembre 2025 – Le PA integrano le attività di monitoraggio del rischio cyber, come definito dal relativo Piano, nelle normali attività di progettazione, analisi, conduzione e dismissione di applicativi e sistemi informativi

• Da giugno 2024 – Le PA definiscono i presidi per la gestione degli eventi di sicurezza, formalizzandone i processi e le procedure

• Da dicembre 2024 – Le PA formalizzano ruoli, responsabilità e processi, nonche le capacità tecnologiche a supporto della prevenzione e gestione degli incidenti informatici

• Da dicembre 2024 – Le PA definiscono le modalità di verifica dei Piani di risposta a seguito di incidenti informatici

• Da dicembre 2025 – Le PA definiscono le modalità di aggiornamento dei Piani di risposta e ripristino a seguito dell’accadimento di incidenti informatici

• Da giugno 2024 – Le PA promuovono l’accesso e l’utilizzo di attività strutturate di sensibilizzazione e formazione in ambito cybersicurezza

• Da dicembre 2024 – Le PA definiscono piani di formazione inerenti alla cybersecurity, diversificati per ruoli, posizioni organizzative e attività delle risorse dell’organizzazione

• Da dicembre 2025 – Le PA realizzano iniziative per verificare e migliorare la consapevolezza del proprio personale

• Da dicembre 2024 * – Le PA, di cui all’all’art. 2 comma 2 del CAD, dovranno accreditarsi al CERT-AGID ed aderire al flusso di Indicatori di compromissione (Feed IoC) del CERT-AGID per la protezione della propria Amministrazione da minacce Malware e Phishing

• Da dicembre 2024 * – Le PA dovranno usufruire degli strumenti per la gestione dei rischi cyber messi a disposizione dal CERT-AGID

• Dicembre 2025 – Le PA, sulla base delle proprie esigenze, partecipano ai corsi di formazione base ed avanzato erogati dal CERT-AGID

Articoli

Categorie

Eli e Sofi: le gemelle virtuali influencer.

MARKETING: team interno vs outsourcing

Fundraising: cos’è e come nasce. Tutti i modi per fare fundraising.

L’utilizzo di sistemi di Intelligenza Artificiale in ambito lavorativo.

Il Responsabile della Conservazione Digitale: gli obblighi in capo agli enti pubblici ed ai soggetti privati.

Propaganda elettorale: Garante, no all’uso dei dati dei pazienti

Il Garante dà l’ok al nuovo sistema di fatturazione elettronica per gli operatori sanitari che andrà in vigore dal 1° gennaio 2026.

L’autenticità dei dati, quale ulteriore criterio – insieme alla riservatezza, alla integrità e alla disponibilità – per determinare il livello di sicurezza di una organizzazione.

Il Governo della Intelligenza Artificiale Generale: visto dall’altra sponda dell’Oceano. Come delineare un profilo di rischio per il futuro.

La necessità di una Governance per i sistemi di Intelligenza Artificiale.

La Determinazione 164179 del 14 aprile 2025, ACN con le specifiche di base per l’adempimento agli obblighi previsti dagli articoli 23, 24, 25, 29 e 32 del decreto NIS.

La minaccia cibernetica al settore sanitario: ACN gennaio 2023 – marzo 2025

L’istituzione scolastica e la pubblicazione di foto degli alunni su un social network senza il consenso degli alunni.

Le misure di sicurezza informatica declinata attraverso le prescrizioni contenute nel Piano triennale AGID per l’informatica nella P.A., 2024-2026.

About Author / Davide De Luca

La Progettazione dei servizi declinata attraverso la realizzazione di siti web in linea con il Piano triennale AGID per l’informatica nella P.A., 2024-2026.

Linee guida della Commissione sulle pratiche vietate di intelligenza artificiale stabilite dal Regolamento

Lascia un commento Annulla risposta

Articoli

Categorie

Le misure di sicurezza informatica declinata attraverso le prescrizioni contenute nel Piano triennale AGID per l’informatica nella P.A., 2024-2026.

About Author / Davide De Luca

La Progettazione dei servizi declinata attraverso la realizzazione di siti web in linea con il Piano triennale AGID per l’informatica nella P.A., 2024-2026.

Linee guida della Commissione sulle pratiche vietate di intelligenza artificiale stabilite dal Regolamento

Lascia un commento Annulla risposta

Potrebbe piacerti