PA, ecco come sarà rafforzata la postura cyber. Le 3 linee di azioni fino al 2026

13 Febbraio 2024
,

Le oltre 23mila Pubbliche Amministrazioni dovranno: definire la governance della cybersicurezza, gestire il rischio cyber, con un framework dettagliato, e gli incidenti informatici con relativi piani di risposta, individuare i requisiti per la supply chain e terze parti e diffondere la cultura cyber. Ecco come sarà incrementata la sicurezza cibernetica.

L’Agenzia per l’Italia Digitale ha pubblicato il Piano triennale per l’informatica nella Pa 2024-2026, il documento di programmazione strategica per la Pubblica amministrazione, esito di un’approfondita di concertazione tra amministrazioni e soggetti istituzionali. Al suo interno, le PA e le imprese interessate troveranno tutte le informazioni e le azioni da mettere in campo per concorrere allo sviluppo della maturità digitale del Paese nel prossimo triennio.

Trasformazione digitale dell’Italia

Spiega il Sottosegretario per l’Innovazione tecnologica e la digitalizzazione, Alessio Butti: “Il nuovo Piano triennale per l’informatica nella Pubblica amministrazione rappresenta un passo cruciale verso la trasformazione digitale del nostro Paese”. E ancora, “è uno strumento strategico che guida l’evoluzione digitale della Pa, definendo obiettivi chiari e risultati attesi, focalizzandosi sull’efficacia dell’azione amministrativa e garantendo che ogni aspetto della digitalizzazione sia orientato al miglioramento dei servizi pubblici e alla realizzazione di un sistema più efficiente e accessibile per tutti i cittadini”.

Le novità dell’edizione 2024-2026

La nuova edizione del Piano triennale per l’informatica nella Pa si caratterizza per una maggiore attenzione agli aspetti di governance e per un approccio fortemente orientato ai servizi digitali, che devono essere interoperabili, sempre più facili da utilizzare per i cittadini e le imprese e più accessibili. Soprattutto, viene ampliata e attualizzata la strategia, tramite l’aggiornamento dei principi guida, vengono allineati i contenuti agli obiettivi del PNRR e viene posta maggiore attenzione al tema del monitoraggio, con la revisione degli indicatori, per renderli sempre più significativi rispetto al loro impatto. 

E ancora, per la prima volta, il Piano triennale per l’informatica nella Pa affronta il tema dell’Intelligenza Artificiale, fornendo indicazioni e principi generali che dovranno essere adottati dalle amministrazioni e declinati in fase di applicazione, tenendo in considerazione lo scenario in rapida evoluzione. Infine, una rilevante novità è l’introduzione di un’intera sezione che contiene diversi strumenti operativi che le amministrazioni possono prendere a riferimento come modelli di supporto, esempi di buone pratiche o check-list per pianificare i propri interventi. 

Adottare una governance della cybersicurezza diffusa nella PA

Identificazione di un modello, con ruoli e responsabilità, di gestione della cybersicurezza

  • Target 2024 – Identificare e approvare un modello unitario e centralizzato di governance della cybersicurezza, comprensivo delle linee di implementazione da parte delle PA.
  • Target 2025 – Approvare e rendere noti ruoli e responsabilità relativi alla gestione della cybersicurezza.
  • Target 2026 – n.d.

Definizione del framework documentale a supporto della gestione cyber

  • Target 2024 – n.d.
  • Target 2025 – Approvare e rendere noti i processi e le procedure inerenti alla gestione interna della cybersicurezza.
  • Target 2026 – n.d.

Linee d’azione istituzionali

  • Giugno 2024 – L’Agenzia fornisce le Linee guida per l’identificazione di ruoli, competenze e organizzazione per la definizione di un modello di governance della cybersicurezza nella PA, comprensive delle linee di implementazione da parte delle PA – (ACN).
  • Settembre 2024 – L’Agenzia promuove la creazione di un ruolo di Responsabile della cybersicurezza della PA e i suoi compiti e responsabilità – (ACN).

Linee di azione per le PA

  • Da settembre 2024 – Le singole PA definiscono il modello unitario, assicurando un coordinamento centralizzato a livello dell’istituzione, di governance della cybersicurezza.
  • Da dicembre 2024 – Le PA adottano un modello di governance della cybersicurezza.
  • Da dicembre 2024 – Le PA nominano i Responsabili della cybersicurezza e delle loro strutture organizzative di supporto.
  • Da dicembre 2024 – Le PA formalizzano i processi e le procedure inerenti alla gestione della cybersicurezza.

Gestire i processi di approvvigionamento IT coerentemente con i requisiti di sicurezza definiti

Definizione del framework documentale a supporto del processo di approvvigionamento IT

  • Target 2024 – Definire ed approvare i requisiti di sicurezza nei processi di approvvigionamento IT.
  • Target 2025 – Definire ed approvare processi e modalità di approvvigionamento e governo del .rischio nella gestione delle terze parti.
  • Target 2025 – Definire contratti e accordi con fornitori e terze parti IT per rispettare gli obiettivi di sicurezza definiti nel processo di approvvigionamento.

Definizione delle modalità di monitoraggio del processo di approvvigionamento IT

  • Target 2024 – n.d.
  • Target 2025 – Definire e formalizzare le modalità e il piano di audit e verifiche per la valutazione dei fornitori e delle terze parti IT per confermare il rispetto degli obblighi contrattuali definiti.
  • Target 2026 – Definire e promuovere attività di controllo e verifica sui fornitori e sulle terze parti IT al fine di confermare gli obblighi e requisiti di sicurezza.

Linee di azione istituzionali

  • Dicembre 2024 – L’Agenzia fornisce le Linee guida per la definizione dei requisiti di sicurezza nel processo di approvvigionamento IT – (ACN).
  • Giugno 2025 – L’Agenzia fornisce le Linee guida per la realizzazione degli audit e delle verifiche di sicurezza sulle terze parti – (ACN).

Linee di azione per le PA

  • Da giugno 2024 – Le PA definiscono e approvano i requisiti di sicurezza relativi al processo di approvvigionamento IT.
  • Da dicembre 2024 – Le PA definiscono e promuovono i processi di gestione del rischio sui fornitori e terze parti IT, la contrattualistica per i fornitori e le terze parti IT, comprensive dei requisiti di sicurezza da rispettare.
  • Da dicembre 2025 – Le PA realizzano le attività di controllo definite nel Piano di audit e verifica verso i fornitori e terze parti IT.

Gestione e mitigazione del rischio cyber

Definizione del framework per la gestione del rischio cyber

  • Target 2024 – Adottare i processi e gli strumenti per le attività di cyber risk management e security by design.
  • Target 2025 – Promuovere attività di classificazione dati e servizi, identificando Piani e strumenti per garantirne la continuità operativa dei servizi offerti.
  • Target 2026 – n.d.

Definizione delle modalità di monitoraggio del rischio cyber

  • Target 2024 – n.d.
  • Target 2025 – n.d.
  • Target 2026 – Integrare attività di monitoraggio e mitigazione del rischio cyber nei normali processi di progettazione e gestione dei sistemi informativi della PA.

Linee di azione istituzionali

  • Dicembre 2024 – L’Agenzia fornisce le Linee guida per la definizione dei processi di cyber risk management e security by design – (ACN).

Linee di azione per le PA

  • Da dicembre 2024 – Le PA definiscono e formalizzano il processo di cyber risk management e security by design, coerentemente con gli strumenti messi a disposizione da ACN.
  • Dicembre 2025 – Le PA promuovono il censimento dei dati e servizi della PA, identificandone la rilevanza e quindi le modalità per garantirne la continuità operativa.
  • Dicembre 2025 – Le PA realizzano o acquisiscono gli strumenti atti alla messa in sicurezza dell’integrità, confidenzialità e disponibilità dei servizi e dei dati, come definito dalle relative procedure.
  • Dicembre 2026 – Le PA integrano le attività di monitoraggio del rischio cyber, come definito dal relativo Piano, nelle normali attività di progettazione, analisi, conduzione e dismissione di applicativi e sistemi informativi.
  • Da dicembre 2025 – Le PA integrano le attività di monitoraggio del rischio cyber, come definito dal relativo Piano, nelle normali attività di progettazione, analisi, conduzione e dismissione di applicativi e sistemi informativi.

Potenziare le modalità di prevenzione e gestione degli incidenti informatici

Definizione del framework documentale relativo alla gestione degli incidenti

  • Target 2024 – Definire i presidi per la gestione degli eventi di sicurezza; Formalizzare i processi e le procedure relative alla gestione degli incidenti.
  • Target 2025 – n.d.
  • Target 2026 – n.d.

Definizione delle modalità di verifica e aggiornamento dei piani di risposta agli incidenti

  • Target 2024 – n.d.
  • Target 2025 – Definire le modalità di verifica dei piani di risposta e ripristino a seguito di incidenti informatici.
  • Target 2026 – Definire le modalità di aggiornamento dei Piani di risposta e ripristino a seguito di incidenti informatici.

Linee d’azione istituzionali

  • Giugno 2024 – L’Agenzia fornisce le Linee guida per la definizione dei processi e delle procedure per la gestione degli incidenti di sicurezza – (ACN).

Linee di azione per le PA

  • Da giugno 2024 – Le PA definiscono i presidi per la gestione degli eventi di sicurezza, formalizzandone i processi e le procedure.
  • Da dicembre 2024 – Le PA formalizzano ruoli, responsabilità e processi, nonché le capacità tecnologiche a supporto della prevenzione e gestione degli incidenti informatici.
  • Da dicembre 2024 – Le PA definiscono le modalità di verifica dei Piani di risposta a seguito di incidenti informatici.
  • Da dicembre 2025 – Le PA definiscono le modalità di aggiornamento dei Piani di risposta e ripristino a seguito dell’accadimento di incidenti informatici.

Implementare attività strutturate di sensibilizzazione cyber del personale

Definizione dei piani di formazione in ambito cyber

  • Target 2024 – Definire processi e procedure per la realizzazione di attività di sensibilizzazione cyber.
  • Target 2025 – Definire piani di formazione diversificati per ruoli e posizioni organizzative.
  • Target 2026 – n.d.

Adozione di strumenti atti alla formazione in ambito cyber

  • Target 2024 – n.d.
  • Target 2025 – n.d.
  • Target 2026 – Acquisire strumenti informatici a supporto dei programmi formativi.

Linee di azione istituzionali

  • Giugno 2024 – L’Agenzia realizza contributi a supporto dello sviluppo della consapevolezza cyber nella PA – (ACN).

Linee di azione per le PA

  • Da giugno 2024 – Le PA promuovono l’accesso e l’utilizzo di attività strutturate di sensibilizzazione e formazione in ambito cybersicurezza.
  • Da dicembre 2024 – Le PA definiscono piani di formazione inerenti alla cybersecurity, diversificati per ruoli, posizioni organizzative e attività delle risorse dell’organizzazione.
  • Da dicembre 2025 – Le PA realizzano iniziative per verificare e migliorare la consapevolezza del proprio personale.

Contrastare il rischio cyber attraverso attività di supporto proattivo alla PA

Distribuzione di Indicatori di Compromissione alle PA

  • Target 2024 – Distribuzione degli IoC al 30% delle PA.
  • Target 2025 – Distribuzione degli IoC al 60% delle PA.
  • Target 2026 – Distribuzione degli IoC al 100% delle PA.

Fornitura di strumenti funzionali all’esecuzione dei piani di autovalutazione dei sistemi esposti

  • Target 2024 – Almeno il 20% delle PA fruiscono degli strumenti o servizi per l’autovalutazione messi a disposizione sul Portale del CERT-AGID.
  • Target 2025 – Ameno il 60% delle PA fruiscono degli strumenti o servizi per l’autovalutazione messi a disposizione sul Portale del CERT-AGID.
  • Target 2026 – Il 100% delle PA fruiscono degli strumenti o servizi per l’autovalutazione messi a disposizione sul Portale del CERT-AGID.

Supporto formativo e informativo rivolto alle PA e in particolare agli RTD per l’aumento del livello di consapevolezza delle minacce cyber

  • Target 2024 – Pubblicazione della versione aggiornata del portale CERT-AGID con contenuti informativi relativi alle campagne malevole veicolate verso le PA.
  • Target 2025 – Erogazione di due corsi di formazione, base ed avanzato, sulla sicurezza nella PA.
  • Target 2026 – Fornitura di documentazione di supporto agli RTD per la gestione della sicurezza IT nelle PA in aggiunta alle attività formative.

Linee di azione istituzionali

  • Gennaio 2024 – Monitoraggio proattivo delle minacce cyber nel dominio della PA, mediante la diffusione di Indicatori di Compromissione e informazioni utili all’innalzamento del livello di difesa – (AGID).
  • Settembre 2024 – Messa a disposizione dei RTD di strumenti e supporto per le autovalutazioni dei sistemi esposti e per l’individuazione, l’analisi e la gestione dei rischi cyber – (AGID).
  • Gennaio 2024 – Diffusione di notizie, dati statistici e tecnici sulle campagne malevole attive sul territorio nazionale attraverso il portale del CERT-AGID – (AGID).
  • Marzo 2025 – Erogazione di un corso di formazione base sulla sicurezza nella PA – (AGID).
  • Settembre 2025 – Erogazione di un corso di formazione avanzato sulla sicurezza nella PA – (AGID).
  • Giugno 2026 – Consegna documentazione di supporto ai RTD per la parte riguardante i temi legati alla cybersecurity – (AGID).

Linee di azione per le PA

  • Da febbraio 2024 – Le PA dovranno dotarsi degli strumenti idonei all’acquisizione degli IoC ed accreditarsi al CERT-AGID.
  • Da ottobre 2024 – Le PA dovranno usufruire degli strumenti per la gestione dei rischi cyber messi a disposizione dal CERT-AGID.
  • Dicembre 2025 – Le PA, sulla base delle proprie esigenze, partecipano ai corsi di formazione base ed avanzato erogati dal CERT-AGID.

Strumenti per l’attuazione del Piano

Servizi Cyber nazionali già attivati e in fase di attivazione da parte di ACN. In particolare, si evidenziano i seguenti servizi:

  • HyperSOC: sistema nazionale di monitoraggio delle vulnerabilità e fattori di rischio per la constituency nazionale.
  • Portale Servizi Agenzia (ACN) e servizi informativi dello CSIRT Italia: sistema nazionale di infosharing tecnico e operativo a supporto dell’identificazione, analisi e mitigazione di minacce e incidenti.
  • Servizi di gestione del rischio cyber: strumenti e sistemi a supporto dell’identificazione, analisi e valutazione del rischio cyber.

Linee guida e contenuti informativi pubblicati di ACN.

Piattaforma Syllabus per lo sviluppo di ulteriori competenze nella PA.

Risorse e fonti di finanziamento

  • PNRR Missione 1 Componente 1 – Investimento 1.5 “Cybersecurity”.
  • Fondo per l’attuazione della Strategia nazionale di cybersicurezza, articolo 1, comma 899, lettera a), della legge 29 dicembre 2022 n. 197.
  • Fondo per la gestione della Strategia nazionale di cybersicurezza, articolo 1, comma 899, lettera b), della legge 29 dicembre 2022 n. 197.

Per approfondire

PrecedenteSuccessivo

Related Posts

INPS Servizi S.p.a sotto attacco ransomware

21 Novembre 2024
,

ACN pubblica le linee guida per il rafforzamento della resilienza per le PA

21 Novembre 2024

C’è la cybergang cinese Salt Typhoon dietro l’imponente data breach alle telco Usa

21 Novembre 2024

Guasto al cavo sottomarino C-Lion1: collegamenti tra Finlandia e Germania interrotti. Sabotaggio o incidente?

19 Novembre 2024

Ultime news