PA, ecco come sarà rafforzata la postura cyber. Le 3 linee di azioni fino al 2026

1 month ago 77

Le oltre 23mila Pubbliche Amministrazioni dovranno: definire la governance della cybersicurezza, gestire il rischio cyber, con un framework dettagliato, e gli incidenti informatici con relativi piani di risposta, individuare i requisiti per la supply chain e terze parti e diffondere la cultura cyber. Ecco come sarà incrementata la sicurezza cibernetica secondo le linee guida e le azioni previste nel nuovo Piano per la PA digitale. Ruolo da pivot da parte di ACN.

L’Agenzia per l’Italia Digitale ha pubblicato il Piano triennale per l’informatica nella Pa 2024-2026, il documento di programmazione strategica per la Pubblica amministrazione, esito di un’approfondita di concertazione tra amministrazioni e soggetti istituzionali. Al suo interno, le PA e le imprese interessate troveranno tutte le informazioni e le azioni da mettere in campo per concorrere allo sviluppo della maturità digitale del Paese nel prossimo triennio.

Trasformazione digitale dell’Italia

Spiega il Sottosegretario per l’Innovazione tecnologica e la digitalizzazione, Alessio Butti: “Il nuovo Piano triennale per l’informatica nella Pubblica amministrazione rappresenta un passo cruciale verso la trasformazione digitale del nostro Paese”. E ancora, “è uno strumento strategico che guida l’evoluzione digitale della Pa, definendo obiettivi chiari e risultati attesi, focalizzandosi sull’efficacia dell’azione amministrativa e garantendo che ogni aspetto della digitalizzazione sia orientato al miglioramento dei servizi pubblici e alla realizzazione di un sistema più efficiente e accessibile per tutti i cittadini”.

Le novità dell’edizione 2024-2026

La nuova edizione del Piano triennale per l’informatica nella Pa si caratterizza per una maggiore attenzione agli aspetti di governance e per un approccio fortemente orientato ai servizi digitali, che devono essere interoperabili, sempre più facili da utilizzare per i cittadini e le imprese e più accessibili. Soprattutto, viene ampliata e attualizzata la strategia, tramite l’aggiornamento dei principi guida, vengono allineati i contenuti agli obiettivi del PNRR e viene posta maggiore attenzione al tema del monitoraggio, con la revisione degli indicatori, per renderli sempre più significativi rispetto al loro impatto. 

E ancora, per la prima volta, il Piano triennale per l’informatica nella Pa affronta il tema dell’Intelligenza Artificiale, fornendo indicazioni e principi generali che dovranno essere adottati dalle amministrazioni e declinati in fase di applicazione, tenendo in considerazione lo scenario in rapida evoluzione. Infine, una rilevante novità è l’introduzione di un’intera sezione che contiene diversi strumenti operativi che le amministrazioni possono prendere a riferimento come modelli di supporto, esempi di buone pratiche o check-list per pianificare i propri interventi. 

Adottare una governance della cybersicurezza diffusa nella PA

Identificazione di un modello, con ruoli e responsabilità, di gestione della cybersicurezza

  • Target 2024 – Identificare e approvare un modello unitario e centralizzato di governance della cybersicurezza, comprensivo delle linee di implementazione da parte delle PA.
  • Target 2025 – Approvare e rendere noti ruoli e responsabilità relativi alla gestione della cybersicurezza.
  • Target 2026 – n.d.

Definizione del framework documentale a supporto della gestione cyber

  • Target 2024 – n.d.
  • Target 2025 – Approvare e rendere noti i processi e le procedure inerenti alla gestione interna della cybersicurezza.
  • Target 2026 – n.d.

Linee d’azione istituzionali

  • Giugno 2024 – L’Agenzia fornisce le Linee guida per l’identificazione di ruoli, competenze e organizzazione per la definizione di un modello di governance della cybersicurezza nella PA, comprensive delle linee di implementazione da parte delle PA – (ACN).
  • Settembre 2024 – L’Agenzia promuove la creazione di un ruolo di Responsabile della cybersicurezza della PA e i suoi compiti e responsabilità – (ACN).

Linee di azione per le PA

  • Da settembre 2024 – Le singole PA definiscono il modello unitario, assicurando un coordinamento centralizzato a livello dell’istituzione, di governance della cybersicurezza.
  • Da dicembre 2024 – Le PA adottano un modello di governance della cybersicurezza.
  • Da dicembre 2024 – Le PA nominano i Responsabili della cybersicurezza e delle loro strutture organizzative di supporto.
  • Da dicembre 2024 – Le PA formalizzano i processi e le procedure inerenti alla gestione della cybersicurezza.

Gestire i processi di approvvigionamento IT coerentemente con i requisiti di sicurezza definiti

Definizione del framework documentale a supporto del processo di approvvigionamento IT

  • Target 2024 – Definire ed approvare i requisiti di sicurezza nei processi di approvvigionamento IT.
  • Target 2025 – Definire ed approvare processi e modalità di approvvigionamento e governo del .rischio nella gestione delle terze parti.
  • Target 2025 – Definire contratti e accordi con fornitori e terze parti IT per rispettare gli obiettivi di sicurezza definiti nel processo di approvvigionamento.

Definizione delle modalità di monitoraggio del processo di approvvigionamento IT

  • Target 2024 – n.d.
  • Target 2025 – Definire e formalizzare le modalità e il piano di audit e verifiche per la valutazione dei fornitori e delle terze parti IT per confermare il rispetto degli obblighi contrattuali definiti.
  • Target 2026 – Definire e promuovere attività di controllo e verifica sui fornitori e sulle terze parti IT al fine di confermare gli obblighi e requisiti di sicurezza.

Linee di azione istituzionali

  • Dicembre 2024 – L’Agenzia fornisce le Linee guida per la definizione dei requisiti di sicurezza nel processo di approvvigionamento IT – (ACN).
  • Giugno 2025 – L’Agenzia fornisce le Linee guida per la realizzazione degli audit e delle verifiche di sicurezza sulle terze parti – (ACN).

Linee di azione per le PA

  • Da giugno 2024 – Le PA definiscono e approvano i requisiti di sicurezza relativi al processo di approvvigionamento IT.
  • Da dicembre 2024 – Le PA definiscono e promuovono i processi di gestione del rischio sui fornitori e terze parti IT, la contrattualistica per i fornitori e le terze parti IT, comprensive dei requisiti di sicurezza da rispettare.
  • Da dicembre 2025 – Le PA realizzano le attività di controllo definite nel Piano di audit e verifica verso i fornitori e terze parti IT.

Gestione e mitigazione del rischio cyber

Definizione del framework per la gestione del rischio cyber

  • Target 2024 – Adottare i processi e gli strumenti per le attività di cyber risk management e security by design.
  • Target 2025 – Promuovere attività di classificazione dati e servizi, identificando Piani e strumenti per garantirne la continuità operativa dei servizi offerti.
  • Target 2026 – n.d.

Definizione delle modalità di monitoraggio del rischio cyber

  • Target 2024 – n.d.
  • Target 2025 – n.d.
  • Target 2026 – Integrare attività di monitoraggio e mitigazione del rischio cyber nei normali processi di progettazione e gestione dei sistemi informativi della PA.

Linee di azione istituzionali

  • Dicembre 2024 – L’Agenzia fornisce le Linee guida per la definizione dei processi di cyber risk management e security by design – (ACN).

Linee di azione per le PA

  • Da dicembre 2024 – Le PA definiscono e formalizzano il processo di cyber risk management e security by design, coerentemente con gli strumenti messi a disposizione da ACN.
  • Dicembre 2025 – Le PA promuovono il censimento dei dati e servizi della PA, identificandone la rilevanza e quindi le modalità per garantirne la continuità operativa.
  • Dicembre 2025 – Le PA realizzano o acquisiscono gli strumenti atti alla messa in sicurezza dell’integrità, confidenzialità e disponibilità dei servizi e dei dati, come definito dalle relative procedure.
  • Dicembre 2026 – Le PA integrano le attività di monitoraggio del rischio cyber, come definito dal relativo Piano, nelle normali attività di progettazione, analisi, conduzione e dismissione di applicativi e sistemi informativi.
  • Da dicembre 2025 – Le PA integrano le attività di monitoraggio del rischio cyber, come definito dal relativo Piano, nelle normali attività di progettazione, analisi, conduzione e dismissione di applicativi e sistemi informativi.

Potenziare le modalità di prevenzione e gestione degli incidenti informatici

Definizione del framework documentale relativo alla gestione degli incidenti

  • Target 2024 – Definire i presidi per la gestione degli eventi di sicurezza; Formalizzare i processi e le procedure relative alla gestione degli incidenti.
  • Target 2025 – n.d.
  • Target 2026 – n.d.

Definizione delle modalità di verifica e aggiornamento dei piani di risposta agli incidenti

  • Target 2024 – n.d.
  • Target 2025 – Definire le modalità di verifica dei piani di risposta e ripristino a seguito di incidenti informatici.
  • Target 2026 – Definire le modalità di aggiornamento dei Piani di risposta e ripristino a seguito di incidenti informatici.

Linee d’azione istituzionali

  • Giugno 2024 – L’Agenzia fornisce le Linee guida per la definizione dei processi e delle procedure per la gestione degli incidenti di sicurezza – (ACN).

Linee di azione per le PA

  • Da giugno 2024 – Le PA definiscono i presidi per la gestione degli eventi di sicurezza, formalizzandone i processi e le procedure.
  • Da dicembre 2024 – Le PA formalizzano ruoli, responsabilità e processi, nonché le capacità tecnologiche a supporto della prevenzione e gestione degli incidenti informatici.
  • Da dicembre 2024 – Le PA definiscono le modalità di verifica dei Piani di risposta a seguito di incidenti informatici.
  • Da dicembre 2025 – Le PA definiscono le modalità di aggiornamento dei Piani di risposta e ripristino a seguito dell’accadimento di incidenti informatici.

Implementare attività strutturate di sensibilizzazione cyber del personale

Definizione dei piani di formazione in ambito cyber

  • Target 2024 – Definire processi e procedure per la realizzazione di attività di sensibilizzazione cyber.
  • Target 2025 – Definire piani di formazione diversificati per ruoli e posizioni organizzative.
  • Target 2026 – n.d.

Adozione di strumenti atti alla formazione in ambito cyber

  • Target 2024 – n.d.
  • Target 2025 – n.d.
  • Target 2026 – Acquisire strumenti informatici a supporto dei programmi formativi.

Linee di azione istituzionali

  • Giugno 2024 – L’Agenzia realizza contributi a supporto dello sviluppo della consapevolezza cyber nella PA – (ACN).

Linee di azione per le PA

  • Da giugno 2024 – Le PA promuovono l’accesso e l’utilizzo di attività strutturate di sensibilizzazione e formazione in ambito cybersicurezza.
  • Da dicembre 2024 – Le PA definiscono piani di formazione inerenti alla cybersecurity, diversificati per ruoli, posizioni organizzative e attività delle risorse dell’organizzazione.
  • Da dicembre 2025 – Le PA realizzano iniziative per verificare e migliorare la consapevolezza del proprio personale.

Contrastare il rischio cyber attraverso attività di supporto proattivo alla PA

Distribuzione di Indicatori di Compromissione alle PA

  • Target 2024 – Distribuzione degli IoC al 30% delle PA.
  • Target 2025 – Distribuzione degli IoC al 60% delle PA.
  • Target 2026 – Distribuzione degli IoC al 100% delle PA.

Fornitura di strumenti funzionali all’esecuzione dei piani di autovalutazione dei sistemi esposti

  • Target 2024 – Almeno il 20% delle PA fruiscono degli strumenti o servizi per l’autovalutazione messi a disposizione sul Portale del CERT-AGID.
  • Target 2025 – Ameno il 60% delle PA fruiscono degli strumenti o servizi per l’autovalutazione messi a disposizione sul Portale del CERT-AGID.
  • Target 2026 – Il 100% delle PA fruiscono degli strumenti o servizi per l’autovalutazione messi a disposizione sul Portale del CERT-AGID.

Supporto formativo e informativo rivolto alle PA e in particolare agli RTD per l’aumento del livello di consapevolezza delle minacce cyber

  • Target 2024 – Pubblicazione della versione aggiornata del portale CERT-AGID con contenuti informativi relativi alle campagne malevole veicolate verso le PA.
  • Target 2025 – Erogazione di due corsi di formazione, base ed avanzato, sulla sicurezza nella PA.
  • Target 2026 – Fornitura di documentazione di supporto agli RTD per la gestione della sicurezza IT nelle PA in aggiunta alle attività formative.

Linee di azione istituzionali

  • Gennaio 2024 – Monitoraggio proattivo delle minacce cyber nel dominio della PA, mediante la diffusione di Indicatori di Compromissione e informazioni utili all’innalzamento del livello di difesa – (AGID).
  • Settembre 2024 – Messa a disposizione dei RTD di strumenti e supporto per le autovalutazioni dei sistemi esposti e per l’individuazione, l’analisi e la gestione dei rischi cyber – (AGID).
  • Gennaio 2024 – Diffusione di notizie, dati statistici e tecnici sulle campagne malevole attive sul territorio nazionale attraverso il portale del CERT-AGID – (AGID).
  • Marzo 2025 – Erogazione di un corso di formazione base sulla sicurezza nella PA – (AGID).
  • Settembre 2025 – Erogazione di un corso di formazione avanzato sulla sicurezza nella PA – (AGID).
  • Giugno 2026 – Consegna documentazione di supporto ai RTD per la parte riguardante i temi legati alla cybersecurity – (AGID).

Linee di azione per le PA

  • Da febbraio 2024 – Le PA dovranno dotarsi degli strumenti idonei all’acquisizione degli IoC ed accreditarsi al CERT-AGID.
  • Da ottobre 2024 – Le PA dovranno usufruire degli strumenti per la gestione dei rischi cyber messi a disposizione dal CERT-AGID.
  • Dicembre 2025 – Le PA, sulla base delle proprie esigenze, partecipano ai corsi di formazione base ed avanzato erogati dal CERT-AGID.

Strumenti per l’attuazione del Piano

Servizi Cyber nazionali già attivati e in fase di attivazione da parte di ACN. In particolare, si evidenziano i seguenti servizi:

  • HyperSOC: sistema nazionale di monitoraggio delle vulnerabilità e fattori di rischio per la constituency nazionale.
  • Portale Servizi Agenzia (ACN) e servizi informativi dello CSIRT Italia: sistema nazionale di infosharing tecnico e operativo a supporto dell’identificazione, analisi e mitigazione di minacce e incidenti.
  • Servizi di gestione del rischio cyber: strumenti e sistemi a supporto dell’identificazione, analisi e valutazione del rischio cyber.

Linee guida e contenuti informativi pubblicati di ACN.

Piattaforma Syllabus per lo sviluppo di ulteriori competenze nella PA.

Risorse e fonti di finanziamento

  • PNRR Missione 1 Componente 1 – Investimento 1.5 “Cybersecurity”.
  • Fondo per l’attuazione della Strategia nazionale di cybersicurezza, articolo 1, comma 899, lettera a), della legge 29 dicembre 2022 n. 197.
  • Fondo per la gestione della Strategia nazionale di cybersicurezza, articolo 1, comma 899, lettera b), della legge 29 dicembre 2022 n. 197.

Per approfondire

Read Entire Article