PA, AgID: “Serve approccio olistico alla cybersecurity con un’architettura zero trust”. Cosa prevede il nuovo piano triennale per l’informatica

1 year ago 283

È online il nuovo Piano triennale per l’informatica pubblicato da AgID che contiene riferimenti ai progetti PNRR e altre novità. Scarica il documento.

L’Agenzia per l’Italia Digitale ha pubblicato l’edizione 2022-2024 del Piano triennale per l’informatica nella Pubblica Amministrazione, redatto in collaborazione con numerosi stakeholder con specifiche competenze sui vari ambiti (Dipartimento per la Trasformazione Digitale, Ministero dell’Economia e delle Finanze, Dipartimento della Funzione Pubblica, Agenzia per la Cybersicurezza Nazionale, Istituto Poligrafico e Zecca dello Stato S.p.A., PagoPA S.p.A., Consip S.p.A.), e acquisendo le osservazioni della Commissione Innovazione Tecnologica e Digitalizzazione della Conferenza delle Regioni e delle Province Autonome, dell’Associazione Nazionale Comuni Italiani (ANCI) e dell’Unione delle Province d’Italia (UPI).

Le novità dell’edizione 2022-2024

Il Piano, adottato il 22 dicembre 2022, con decreto del Sottosegretario di Stato alla Presidenza del Consiglio con delega all’innovazione tecnologica e alla transizione digitale, è in attesa registrazione da parte della Corte dei Conti.

L’aggiornamento 2022-2024 del Piano Triennale recepisce in maniera sempre più estesa i contenuti del Piano Nazionale di Ripresa e Resilienza (PNRR), che rappresenta una straordinaria opportunità di accelerazione della fase di execution della trasformazione digitale della PA: nel Piano Triennale sono infatti presenti il riferimento ai target e alle linee di azione del PNRR, oltre all’indicazione degli Investimenti e degli Avvisi pubblicati, soprattutto nell’ambito della Missione 1.

Tra le novità presenti nel Piano:

  • la revisione del contesto normativo e strategico, in linea con gli ultimi interventi legislativi e le più recenti linee guida adottate;
  • l’adeguamento di obiettivi, risultati attesi e linee di azione per gli anni 2022, 2023 e 2024, sulla base degli esiti del monitoraggio 2021, con l’integrazione di riferimenti diretti a target e investimenti previsti dal PNRR;
  • il mantenimento delle Linee di azione attribuite alle PA, presenti nelle precedenti edizioni del Piano e ancora attuali, collocate all’interno della sezione “Linee di azione ancora vigenti”;
  • la riformulazione e ripianificazione delle linee di azione del Piano Triennale 2021-2023 che non hanno raggiunto la naturale conclusione.

Nella nuova edizione sono confermati il Modello strategico di evoluzione del sistema informativo della Pubblica Amministrazione, la Strategia e i principi guida, nonché la struttura complessiva della precedente edizione.

Piano triennale e sicurezza informatica

Per l’AgID appare infatti essenziale garantire servizi digitali non solo efficienti e facilmente accessibili, ma anche sicuri e resilienti sotto il profilo informatico, così da accrescerne l’affidabilità e l’utilizzo anche
da parte di utenti meno avvezzi all’impiego di tecnologie digitali.

“La crescente risonanza e copertura mediatica data ad incidenti e ad attacchi cyber, se da un lato contribuisce ad accrescere il livello di consapevolezza sui rischi dello spazio cibernetico, dall’altro può ingenerare un senso di insicurezza nell’impiego dello strumento digitale”, spiega AgID nel piano.

“Per superare tali timori – continua – è quindi essenziale un approccio olistico alla cybersecurity, attraverso una gestione continuativa ed automatizzata del rischio cyber, che contempli un’architettura “zero trust”, per la cui implementazione è essenziale la collaborazione degli utenti, interni ed esterni alla PA, ma anche dei fornitori di beni e servizi ICT”.

Gli obiettivi di AgID sulla cyber

Aumentare la consapevolezza del rischio cyber (Cyber Security Awareness) nelle PA

  • R.A.6.1a – Incremento del livello di Cyber Security Awareness misurato tramite questionari di self-assessment ai RTD e ai loro uffici
  • Monitoraggio 2021:
  1. RTD: Conoscenza normativa di riferimento (55%), Conoscenza strumenti di
    prevenzione attacchi (82%), Conoscenza minacce cyber verso la PA (83%).
  2. Baseline uffici: rilevazione del livello di Cyber Security Awareness.
    individuazione baseline del livello di Cyber Security Awareness – Conoscenza
    normativa di riferimento (38%), Conoscenza strumenti prevenzione attacchi
    (61%), Conoscenza minacce cyber verso la PA (74%)

OB.6.2 – Aumentare il livello di sicurezza informatica dei portali istituzionali della Pubblica
Amministrazione

  • R.A.6.2a – Incremento del numero dei portali istituzionali che utilizzano il protocollo HTTPS only, misurato tramite tool di analisi specifico
  • Monitoraggio 2021 – 340 portali istituzionali senza HTTPS abilitato (2%), 10.092
  • Portali con gravi problemi di sicurezza (53%), 4.549 con canale HTTPS mal configurato (23%), 4.149 con canale HTTPS sicuro (22%).
  • ▪ R.A.6.2b – Massimizzare il numero dei Content Management System (CMS) con versione aggiornata utilizzati nei portali istituzionali delle PA, misurato tramite tool di analisi specifico
  • Monitoraggio 2021 – 1.426 CMS con versione aggiornata (8%) 5.183 CMS con versione non aggiornata (30%) 1.680 CMS con versione non rilevata (10%) 8.914 con CMS non rilevati (52%).

Cosa devono fare le PA

OB.6.1 – Aumentare la consapevolezza del rischio cyber (Cyber Security Awareness) nelle PA
Linee di azione ancora vigenti:

  • Le PA nei procedimenti di acquisizione di beni e servizi ICT devono far riferimento alle Linee guida sulla sicurezza nel procurement ICT – CAP6.PA.LA01
  • Le PA devono fare riferimento al documento tecnico Cipher Suite protocolli TLS minimi per la comunicazione tra le PA e verso i cittadini – CAP6.PA.LA02
  • Le PA continuano a seguire le Misure minime di sicurezza ICT per le pubbliche amministrazioni – CAP6.PA.LA06

Linee di azione 2022-2024

  • Entro dicembre 2022 – Le PA possono definire, in funzione delle proprie necessità, all’interno dei piani di formazione del personale, interventi sulle tematiche di Cyber Security Awareness
  • CAP6.PA.LA05

OB.6.2 – Aumentare il livello di sicurezza informatica dei portali istituzionali della Pubblica Amministrazione

Linee di azione ancora vigenti

  • Le PA devono mantenere costantemente aggiornati i propri portali istituzionali e applicare le correzioni alle vulnerabilità – CAP6.PA.LA08
  • Le PA, in funzione delle proprie necessità, possono utilizzare il tool di self assessment per il controllo del protocollo HTTPS e la versione del CMS messo a disposizione da AGID – CAP6.PA.LA09

Per approfondire

Read Entire Article