Le oltre 23mila Pubbliche Amministrazioni dovranno: definire la governance della cybersicurezza, gestire il rischio cyber, con un framework dettagliato, e gli incidenti informatici con relativi piani di risposta, individuare i requisiti per la supply chain e terze parti e diffondere la cultura cyber. Ecco come sarà incrementata la sicurezza cibernetica.
L’Agenzia per l’Italia Digitale ha pubblicato il Piano triennale per l’informatica nella Pa 2024-2026, il documento di programmazione strategica per la Pubblica amministrazione, esito di un’approfondita di concertazione tra amministrazioni e soggetti istituzionali. Al suo interno, le PA e le imprese interessate troveranno tutte le informazioni e le azioni da mettere in campo per concorrere allo sviluppo della maturità digitale del Paese nel prossimo triennio.
Trasformazione digitale dell’Italia
Spiega il Sottosegretario per l’Innovazione tecnologica e la digitalizzazione, Alessio Butti: “Il nuovo Piano triennale per l’informatica nella Pubblica amministrazione rappresenta un passo cruciale verso la trasformazione digitale del nostro Paese”. E ancora, “è uno strumento strategico che guida l’evoluzione digitale della Pa, definendo obiettivi chiari e risultati attesi, focalizzandosi sull’efficacia dell’azione amministrativa e garantendo che ogni aspetto della digitalizzazione sia orientato al miglioramento dei servizi pubblici e alla realizzazione di un sistema più efficiente e accessibile per tutti i cittadini”.
Le novità dell’edizione 2024-2026
La nuova edizione del Piano triennale per l’informatica nella Pa si caratterizza per una maggiore attenzione agli aspetti di governance e per un approccio fortemente orientato ai servizi digitali, che devono essere interoperabili, sempre più facili da utilizzare per i cittadini e le imprese e più accessibili. Soprattutto, viene ampliata e attualizzata la strategia, tramite l’aggiornamento dei principi guida, vengono allineati i contenuti agli obiettivi del PNRR e viene posta maggiore attenzione al tema del monitoraggio, con la revisione degli indicatori, per renderli sempre più significativi rispetto al loro impatto.
E ancora, per la prima volta, il Piano triennale per l’informatica nella Pa affronta il tema dell’Intelligenza Artificiale, fornendo indicazioni e principi generali che dovranno essere adottati dalle amministrazioni e declinati in fase di applicazione, tenendo in considerazione lo scenario in rapida evoluzione. Infine, una rilevante novità è l’introduzione di un’intera sezione che contiene diversi strumenti operativi che le amministrazioni possono prendere a riferimento come modelli di supporto, esempi di buone pratiche o check-list per pianificare i propri interventi.
Adottare una governance della cybersicurezza diffusa nella PA
Identificazione di un modello, con ruoli e responsabilità, di gestione della cybersicurezza
- Target 2024 – Identificare e approvare un modello unitario e centralizzato di governance della cybersicurezza, comprensivo delle linee di implementazione da parte delle PA.
- Target 2025 – Approvare e rendere noti ruoli e responsabilità relativi alla gestione della cybersicurezza.
- Target 2026 – n.d.
Definizione del framework documentale a supporto della gestione cyber
- Target 2024 – n.d.
- Target 2025 – Approvare e rendere noti i processi e le procedure inerenti alla gestione interna della cybersicurezza.
- Target 2026 – n.d.
Linee d’azione istituzionali
- Giugno 2024 – L’Agenzia fornisce le Linee guida per l’identificazione di ruoli, competenze e organizzazione per la definizione di un modello di governance della cybersicurezza nella PA, comprensive delle linee di implementazione da parte delle PA – (ACN).
- Settembre 2024 – L’Agenzia promuove la creazione di un ruolo di Responsabile della cybersicurezza della PA e i suoi compiti e responsabilità – (ACN).
Linee di azione per le PA
- Da settembre 2024 – Le singole PA definiscono il modello unitario, assicurando un coordinamento centralizzato a livello dell’istituzione, di governance della cybersicurezza.
- Da dicembre 2024 – Le PA adottano un modello di governance della cybersicurezza.
- Da dicembre 2024 – Le PA nominano i Responsabili della cybersicurezza e delle loro strutture organizzative di supporto.
- Da dicembre 2024 – Le PA formalizzano i processi e le procedure inerenti alla gestione della cybersicurezza.
Gestire i processi di approvvigionamento IT coerentemente con i requisiti di sicurezza definiti
Definizione del framework documentale a supporto del processo di approvvigionamento IT
- Target 2024 – Definire ed approvare i requisiti di sicurezza nei processi di approvvigionamento IT.
- Target 2025 – Definire ed approvare processi e modalità di approvvigionamento e governo del .rischio nella gestione delle terze parti.
- Target 2025 – Definire contratti e accordi con fornitori e terze parti IT per rispettare gli obiettivi di sicurezza definiti nel processo di approvvigionamento.
Definizione delle modalità di monitoraggio del processo di approvvigionamento IT
- Target 2024 – n.d.
- Target 2025 – Definire e formalizzare le modalità e il piano di audit e verifiche per la valutazione dei fornitori e delle terze parti IT per confermare il rispetto degli obblighi contrattuali definiti.
- Target 2026 – Definire e promuovere attività di controllo e verifica sui fornitori e sulle terze parti IT al fine di confermare gli obblighi e requisiti di sicurezza.
Linee di azione istituzionali
- Dicembre 2024 – L’Agenzia fornisce le Linee guida per la definizione dei requisiti di sicurezza nel processo di approvvigionamento IT – (ACN).
- Giugno 2025 – L’Agenzia fornisce le Linee guida per la realizzazione degli audit e delle verifiche di sicurezza sulle terze parti – (ACN).
Linee di azione per le PA
- Da giugno 2024 – Le PA definiscono e approvano i requisiti di sicurezza relativi al processo di approvvigionamento IT.
- Da dicembre 2024 – Le PA definiscono e promuovono i processi di gestione del rischio sui fornitori e terze parti IT, la contrattualistica per i fornitori e le terze parti IT, comprensive dei requisiti di sicurezza da rispettare.
- Da dicembre 2025 – Le PA realizzano le attività di controllo definite nel Piano di audit e verifica verso i fornitori e terze parti IT.
Gestione e mitigazione del rischio cyber
Definizione del framework per la gestione del rischio cyber
- Target 2024 – Adottare i processi e gli strumenti per le attività di cyber risk management e security by design.
- Target 2025 – Promuovere attività di classificazione dati e servizi, identificando Piani e strumenti per garantirne la continuità operativa dei servizi offerti.
- Target 2026 – n.d.
Definizione delle modalità di monitoraggio del rischio cyber
- Target 2024 – n.d.
- Target 2025 – n.d.
- Target 2026 – Integrare attività di monitoraggio e mitigazione del rischio cyber nei normali processi di progettazione e gestione dei sistemi informativi della PA.
Linee di azione istituzionali
- Dicembre 2024 – L’Agenzia fornisce le Linee guida per la definizione dei processi di cyber risk management e security by design – (ACN).
Linee di azione per le PA
- Da dicembre 2024 – Le PA definiscono e formalizzano il processo di cyber risk management e security by design, coerentemente con gli strumenti messi a disposizione da ACN.
- Dicembre 2025 – Le PA promuovono il censimento dei dati e servizi della PA, identificandone la rilevanza e quindi le modalità per garantirne la continuità operativa.
- Dicembre 2025 – Le PA realizzano o acquisiscono gli strumenti atti alla messa in sicurezza dell’integrità, confidenzialità e disponibilità dei servizi e dei dati, come definito dalle relative procedure.
- Dicembre 2026 – Le PA integrano le attività di monitoraggio del rischio cyber, come definito dal relativo Piano, nelle normali attività di progettazione, analisi, conduzione e dismissione di applicativi e sistemi informativi.
- Da dicembre 2025 – Le PA integrano le attività di monitoraggio del rischio cyber, come definito dal relativo Piano, nelle normali attività di progettazione, analisi, conduzione e dismissione di applicativi e sistemi informativi.
Potenziare le modalità di prevenzione e gestione degli incidenti informatici
Definizione del framework documentale relativo alla gestione degli incidenti
- Target 2024 – Definire i presidi per la gestione degli eventi di sicurezza; Formalizzare i processi e le procedure relative alla gestione degli incidenti.
- Target 2025 – n.d.
- Target 2026 – n.d.
Definizione delle modalità di verifica e aggiornamento dei piani di risposta agli incidenti
- Target 2024 – n.d.
- Target 2025 – Definire le modalità di verifica dei piani di risposta e ripristino a seguito di incidenti informatici.
- Target 2026 – Definire le modalità di aggiornamento dei Piani di risposta e ripristino a seguito di incidenti informatici.
Linee d’azione istituzionali
- Giugno 2024 – L’Agenzia fornisce le Linee guida per la definizione dei processi e delle procedure per la gestione degli incidenti di sicurezza – (ACN).
Linee di azione per le PA
- Da giugno 2024 – Le PA definiscono i presidi per la gestione degli eventi di sicurezza, formalizzandone i processi e le procedure.
- Da dicembre 2024 – Le PA formalizzano ruoli, responsabilità e processi, nonché le capacità tecnologiche a supporto della prevenzione e gestione degli incidenti informatici.
- Da dicembre 2024 – Le PA definiscono le modalità di verifica dei Piani di risposta a seguito di incidenti informatici.
- Da dicembre 2025 – Le PA definiscono le modalità di aggiornamento dei Piani di risposta e ripristino a seguito dell’accadimento di incidenti informatici.
Implementare attività strutturate di sensibilizzazione cyber del personale
Definizione dei piani di formazione in ambito cyber
- Target 2024 – Definire processi e procedure per la realizzazione di attività di sensibilizzazione cyber.
- Target 2025 – Definire piani di formazione diversificati per ruoli e posizioni organizzative.
- Target 2026 – n.d.
Adozione di strumenti atti alla formazione in ambito cyber
- Target 2024 – n.d.
- Target 2025 – n.d.
- Target 2026 – Acquisire strumenti informatici a supporto dei programmi formativi.
Linee di azione istituzionali
- Giugno 2024 – L’Agenzia realizza contributi a supporto dello sviluppo della consapevolezza cyber nella PA – (ACN).
Linee di azione per le PA
- Da giugno 2024 – Le PA promuovono l’accesso e l’utilizzo di attività strutturate di sensibilizzazione e formazione in ambito cybersicurezza.
- Da dicembre 2024 – Le PA definiscono piani di formazione inerenti alla cybersecurity, diversificati per ruoli, posizioni organizzative e attività delle risorse dell’organizzazione.
- Da dicembre 2025 – Le PA realizzano iniziative per verificare e migliorare la consapevolezza del proprio personale.
Contrastare il rischio cyber attraverso attività di supporto proattivo alla PA
Distribuzione di Indicatori di Compromissione alle PA
- Target 2024 – Distribuzione degli IoC al 30% delle PA.
- Target 2025 – Distribuzione degli IoC al 60% delle PA.
- Target 2026 – Distribuzione degli IoC al 100% delle PA.
Fornitura di strumenti funzionali all’esecuzione dei piani di autovalutazione dei sistemi esposti
- Target 2024 – Almeno il 20% delle PA fruiscono degli strumenti o servizi per l’autovalutazione messi a disposizione sul Portale del CERT-AGID.
- Target 2025 – Ameno il 60% delle PA fruiscono degli strumenti o servizi per l’autovalutazione messi a disposizione sul Portale del CERT-AGID.
- Target 2026 – Il 100% delle PA fruiscono degli strumenti o servizi per l’autovalutazione messi a disposizione sul Portale del CERT-AGID.
Supporto formativo e informativo rivolto alle PA e in particolare agli RTD per l’aumento del livello di consapevolezza delle minacce cyber
- Target 2024 – Pubblicazione della versione aggiornata del portale CERT-AGID con contenuti informativi relativi alle campagne malevole veicolate verso le PA.
- Target 2025 – Erogazione di due corsi di formazione, base ed avanzato, sulla sicurezza nella PA.
- Target 2026 – Fornitura di documentazione di supporto agli RTD per la gestione della sicurezza IT nelle PA in aggiunta alle attività formative.
Linee di azione istituzionali
- Gennaio 2024 – Monitoraggio proattivo delle minacce cyber nel dominio della PA, mediante la diffusione di Indicatori di Compromissione e informazioni utili all’innalzamento del livello di difesa – (AGID).
- Settembre 2024 – Messa a disposizione dei RTD di strumenti e supporto per le autovalutazioni dei sistemi esposti e per l’individuazione, l’analisi e la gestione dei rischi cyber – (AGID).
- Gennaio 2024 – Diffusione di notizie, dati statistici e tecnici sulle campagne malevole attive sul territorio nazionale attraverso il portale del CERT-AGID – (AGID).
- Marzo 2025 – Erogazione di un corso di formazione base sulla sicurezza nella PA – (AGID).
- Settembre 2025 – Erogazione di un corso di formazione avanzato sulla sicurezza nella PA – (AGID).
- Giugno 2026 – Consegna documentazione di supporto ai RTD per la parte riguardante i temi legati alla cybersecurity – (AGID).
Linee di azione per le PA
- Da febbraio 2024 – Le PA dovranno dotarsi degli strumenti idonei all’acquisizione degli IoC ed accreditarsi al CERT-AGID.
- Da ottobre 2024 – Le PA dovranno usufruire degli strumenti per la gestione dei rischi cyber messi a disposizione dal CERT-AGID.
- Dicembre 2025 – Le PA, sulla base delle proprie esigenze, partecipano ai corsi di formazione base ed avanzato erogati dal CERT-AGID.
Strumenti per l’attuazione del Piano
Servizi Cyber nazionali già attivati e in fase di attivazione da parte di ACN. In particolare, si evidenziano i seguenti servizi:
- HyperSOC: sistema nazionale di monitoraggio delle vulnerabilità e fattori di rischio per la constituency nazionale.
- Portale Servizi Agenzia (ACN) e servizi informativi dello CSIRT Italia: sistema nazionale di infosharing tecnico e operativo a supporto dell’identificazione, analisi e mitigazione di minacce e incidenti.
- Servizi di gestione del rischio cyber: strumenti e sistemi a supporto dell’identificazione, analisi e valutazione del rischio cyber.
Linee guida e contenuti informativi pubblicati di ACN.
Piattaforma Syllabus per lo sviluppo di ulteriori competenze nella PA.
Risorse e fonti di finanziamento
- PNRR Missione 1 Componente 1 – Investimento 1.5 “Cybersecurity”.
- Fondo per l’attuazione della Strategia nazionale di cybersicurezza, articolo 1, comma 899, lettera a), della legge 29 dicembre 2022 n. 197.
- Fondo per la gestione della Strategia nazionale di cybersicurezza, articolo 1, comma 899, lettera b), della legge 29 dicembre 2022 n. 197.