Docs Italia beta

Documenti pubblici, digitali.

Sicurezza informatica

Scenario

L’evoluzione delle moderne tecnologie e la conseguente possibilità di ottimizzare lo svolgimento dei procedimenti amministrativi con l’obiettivo di rendere efficace, efficiente e più economica l’azione amministrativa, ha reso sempre più necessaria la «migrazione» verso il digitale che, però, al contempo, sta portando alla luce nuovi rischi, esponendo imprese e servizi pubblici a possibili attacchi cyber. In quest’ottica, la sicurezza e la resilienza delle reti e dei sistemi, su cui tali tecnologie poggiano, sono il baluardo necessario a garantire, nell’immediato, la sicurezza del Paese e, in prospettiva, lo sviluppo e il benessere dello Stato e dei cittadini.

La recente riforma dell’architettura nazionale cyber, attuata attraverso l’adozione del decreto-legge 14 giugno 2021, n. 82 che ha istituito l’Agenzia per la Cybersicurezza Nazionale (ACN), ha come obiettivo, tra gli altri, quello di sviluppare e rafforzare le capacità cyber nazionali, garantendo l’unicità istituzionale di indirizzo e azione, anche mediante la redazione e l’implementazione della Strategia nazionale di cybersicurezza, che considera cruciale, per il corretto «funzionamento» del sistema Paese, la sicurezza dell’ecosistema digitale alla base dei servizi erogati dalla Pubblica Amministrazione, con specifica attenzione ai beni ICT. Tali beni supportano le funzioni e i servizi essenziali dello Stato e, purtroppo, come dimostrano gli ultimi rapporti di settore, sono tra i bersagli preferiti degli attacchi cyber.

Per garantire lo sviluppo e il rafforzamento delle capacità cyber nazionali, con il Piano Nazionale di Ripresa e Resilienza e con i Fondi per l’attuazione e la gestione della Strategia nazionale di cybersicurezza sono state destinate significative risorse alla sicurezza cibernetica e alle misure tese a realizzare un percorso di miglioramento della postura di sicurezza del sistema Paese nel suo insieme e, in particolare, della Pubblica Amministrazione.

Gli obiettivi e i risultati attesi, definiti successivamente nel presente capitolo, sono in linea con specifici interventi realizzati dall’ACN in favore delle pubbliche amministrazioni per cui sono state individuate specifiche aree di miglioramento. In particolare, il riferimento è alla necessità di:

  • prevedere dei modelli di gestione centralizzati della cybersicurezza, coerentemente con il ruolo trasversale associato (obiettivo 7.1 di questo Piano);
  • definire processi di gestione e mitigazione del rischio cyber, sia interni sia legati alla gestione delle terze parti di processi IT (obiettivi 7.2, 7.3, 7.4);
  • promuovere attività legate al miglioramento della cultura cyber delle Amministrazioni (obiettivo 7.5).

All’interno di questo contesto, AGID metterà a disposizione della Pubblica Amministrazione una serie di piattaforme e di servizi, che verranno erogati tramite il proprio CERT, finalizzati alla conoscenza e al contrasto dei rischi cyber legati al patrimonio ICT della PA (obiettivo 7.6)

Contesto normativo e strategico

Riferimenti normativi italiani:

Riferimenti normativi europei:

Obiettivo 7.1 - Adottare una governance della cybersicurezza diffusa nella PA

RA7.1.1 - Identificazione di un modello, con ruoli e responsabilità, di gestione della cybersicurezza

  • Target 2024 - Identificare e approvare un modello unitario e centralizzato di governance della cybersicurezza, comprensivo delle linee di implementazione da parte delle PA.
  • Target 2025 - Approvare e rendere noti ruoli e responsabilità relativi alla gestione della cybersicurezza
  • Target 2026 - n.d.

RA7.1.2 - Definizione del framework documentale a supporto della gestione cyber

  • Target 2024 - n.d.
  • Target 2025 - Approvare e rendere noti i processi e le procedure inerenti alla gestione interna della cybersicurezza
  • Target 2026 - n.d.

Linee d’azione istituzionali

RA7.1.1

  • Giugno 2024 - L’Agenzia fornisce le Linee guida per l’identificazione di ruoli, competenze e organizzazione per la definizione di un modello di governance della cybersicurezza nella PA, comprensive delle linee di implementazione da parte delle PA - (ACN) - CAP7.01
  • Settembre 2024 - L’Agenzia promuove la creazione di un ruolo di Responsabile della Cybersicurezza della PA e i suoi compiti e responsabilità - (ACN) - CAP7.02

Linee di azione per le PA

RA7.1.1

  • Da settembre 2024 - Le singole PA definiscono il modello unitario, assicurando un coordinamento centralizzato a livello dell’istituzione, di governance della cybersicurezza - CAP7.PA.01
  • Da dicembre 2024 - Le PA adottano un modello di governance della cybersicurezza - CAP7.PA.02
  • Da dicembre 2024 - Le PA nominano i Responsabili della cybersicurezza e delle loro strutture organizzative di supporto - CAP7.PA.03

RA7.1.2

  • Da dicembre 2024 - Le PA formalizzano i processi e le procedure inerenti alla gestione della cybersicurezza - CAP7.PA.04

Obiettivo 7.2 - Gestire i processi di approvvigionamento IT coerentemente con i requisiti di sicurezza definiti

RA7.2.1 - Definizione del framework documentale a supporto del processo di approvvigionamento IT

  • Target 2024 - Definire ed approvare i requisiti di sicurezza nei processi di approvvigionamento IT
  • Target 2025 - Definire ed approvare processi e modalità di approvvigionamento e governo del rischio nella gestione delle terze parti
  • Target 2025 - Definire contratti e accordi con fornitori e terze parti IT per rispettare gli obiettivi di sicurezza definiti nel processo di approvvigionamento

RA7.2.2 - Definizione delle modalità di monitoraggio del processo di approvvigionamento IT

  • Target 2024 - n.d.
  • Target 2025 - Definire e formalizzare le modalità e il piano di audit e verifiche per la valutazione dei fornitori e delle terze parti IT per confermare il rispetto degli obblighi contrattuali definiti
  • Target 2026 - Definire e promuovere attività di controllo e verifica sui fornitori e sulle terze parti IT al fine di confermare gli obblighi e requisiti di sicurezza

Linee di azione istituzionali

RA7.2.1

  • Dicembre 2024 - L’Agenzia fornisce le Linee guida per la definizione dei requisiti di sicurezza nel processo di approvvigionamento IT - (ACN) - CAP7.03

RA7.2.2

  • Giugno 2025 - L’Agenzia fornisce le Linee guida per la realizzazione degli audit e delle verifiche di sicurezza sulle terze parti - (ACN) - CAP7.04

Linee di azione per le PA

RA7.2.1

  • Da giugno 2024 - Le PA definiscono e approvano i requisiti di sicurezza relativi al processo di approvvigionamento IT - CAP7.PA.05
  • Da dicembre 2024 - Le PA definiscono e promuovono i processi di gestione del rischio sui fornitori e terze parti IT, la contrattualistica per i fornitori e le terze parti IT, comprensive dei requisiti di sicurezza da rispettare - CAP7.PA.06

RA7.2.2

  • Da dicembre 2025 - Le PA realizzano le attività di controllo definite nel Piano di audit e verifica verso i fornitori e terze parti IT - CAP7.PA.07

Obiettivo 7.3 - Gestione e mitigazione del rischio cyber

RA7.3.1 - Definizione del framework per la gestione del rischio cyber

  • Target 2024 - Adottare i processi e gli strumenti per le attività di cyber risk management e security by design
  • Target 2025 - Promuovere attività di classificazione dati e servizi, identificando Piani e strumenti per garantirne la continuità operativa dei servizi offerti
  • Target 2026 - n.d.

RA7.3.2 - Definizione delle modalità di monitoraggio del rischio cyber

  • Target 2024 - n.d.
  • Target 2025 - n.d.
  • Target 2026 - Integrare attività di monitoraggio e mitigazione del rischio cyber nei normali processi di progettazione e gestione dei sistemi informativi della PA

Linee di azione istituzionali

RA7.3.1

  • Dicembre 2024 - L’Agenzia fornisce le Linee guida per la definizione dei processi di cyber risk management e security by design - (ACN) - CAP7.05

Linee di azione per le PA

RA7.3.1

  • Da dicembre 2024 - Le PA definiscono e formalizzano il processo di cyber risk management e security by design, coerentemente con gli strumenti messi a disposizione da ACN - CAP7.PA.08
  • Dicembre 2025 - Le PA promuovono il censimento dei dati e servizi della PA, identificandone la rilevanza e quindi le modalità per garantirne la continuità operativa - CAP7.PA.09
  • Dicembre 2025 - Le PA realizzano o acquisiscono gli strumenti atti alla messa in sicurezza dell’integrità, confidenzialità e disponibilità dei servizi e dei dati, come definito dalle relative procedure - CAP7.PA.10
  • Dicembre 2026 - Le PA integrano le attività di monitoraggio del rischio cyber, come definito dal relativo Piano, nelle normali attività di progettazione, analisi, conduzione e dismissione di applicativi e sistemi informativi - CAP7.PA.11

RA7.3.2

  • Da dicembre 2025 - Le PA integrano le attività di monitoraggio del rischio cyber, come definito dal relativo Piano, nelle normali attività di progettazione, analisi, conduzione e dismissione di applicativi e sistemi informativi - CAP7.PA.12

Obiettivo 7.4 - Potenziare le modalità di prevenzione e gestione degli incidenti informatici

RA7.4.1 - Definizione del framework documentale relativo alla gestione degli incidenti

  • Target 2024
    • Definire i presidi per la gestione degli eventi di sicurezza
    • Formalizzare i processi e le procedure relative alla gestione degli incidenti
  • Target 2025 - n.d.
  • Target 2026 - n.d.

RA7.4.2 - Definizione delle modalità di verifica e aggiornamento dei piani di risposta agli incidenti

  • Target 2024 - n.d.
  • Target 2025 - Definire le modalità di verifica dei piani di risposta e ripristino a seguito di incidenti informatici
  • Target 2026 - Definire le modalità di aggiornamento dei Piani di risposta e ripristino a seguito di incidenti informatici

Linee d’azione istituzionali

RA7.4.1

  • Giugno 2024 - L’Agenzia fornisce le Linee guida per la definizione dei processi e delle procedure per la gestione degli incidenti di sicurezza - (ACN) - CAP7.06

Linee di azione per le PA

RA7.4.1

  • Da giugno 2024 - Le PA definiscono i presidi per la gestione degli eventi di sicurezza, formalizzandone i processi e le procedure - CAP7.PA.13
  • Da dicembre 2024 - Le PA formalizzano ruoli, responsabilità e processi, nonché le capacità tecnologiche a supporto della prevenzione e gestione degli incidenti informatici - CAP7.PA.14

RA7.4.2

  • Da dicembre 2024 - Le PA definiscono le modalità di verifica dei Piani di risposta a seguito di incidenti informatici - CAP7.PA.15
  • Da dicembre 2025 - Le PA definiscono le modalità di aggiornamento dei Piani di risposta e ripristino a seguito dell’accadimento di incidenti informatici - CAP7.PA.16

Obiettivo 7.5 - Implementare attività strutturate di sensibilizzazione cyber del personale

RA7.5.1 - Definizione dei piani di formazione in ambito cyber

  • Target 2024 - Definire processi e procedure per la realizzazione di attività di sensibilizzazione cyber
  • Target 2025 - Definire piani di formazione diversificati per ruoli e posizioni organizzative
  • Target 2026 - n.d.

RA7.5.2 - Adozione di strumenti atti alla formazione in ambito cyber

  • Target 2024 - n.d.
  • Target 2025 - n.d.
  • Target 2026 - Acquisire strumenti informatici a supporto dei programmi formativi

Linee di azione istituzionali

RA7.5.1

  • Giugno 2024 - L’Agenzia realizza contributi a supporto dello sviluppo della consapevolezza cyber nella PA - (ACN) - CAP7.07

Linee di azione per le PA

RA7.5.1

  • Da giugno 2024 - Le PA promuovono l’accesso e l’utilizzo di attività strutturate di sensibilizzazione e formazione in ambito cybersicurezza - CAP7.PA.17
  • Da dicembre 2024 - Le PA definiscono piani di formazione inerenti alla cybersecurity, diversificati per ruoli, posizioni organizzative e attività delle risorse dell’organizzazione - CAP7.PA.18

RA7.5.2

  • Da dicembre 2025 - Le PA realizzano iniziative per verificare e migliorare la consapevolezza del proprio personale - CAP7.PA.19

Obiettivo 7.6 - Contrastare il rischio cyber attraverso attività di supporto proattivo alla PA

RA7.6.1 - Distribuzione di Indicatori di Compromissione alle PA

  • Target 2024 - Distribuzione degli IoC al 30% delle PA
  • Target 2025 - Distribuzione degli IoC al 60% delle PA
  • Target 2026 - Distribuzione degli IoC al 100% delle PA

RA7.6.2 - Fornitura di strumenti funzionali all’esecuzione dei piani di autovalutazione dei sistemi esposti

  • Target 2024 - Almeno il 20% delle PA fruiscono degli strumenti o servizi per l’autovalutazione messi a disposizione sul Portale del CERT-AGID.
  • Target 2025 - Ameno il 60% delle PA fruiscono degli strumenti o servizi per l’autovalutazione messi a disposizione sul Portale del CERT-AGID.
  • Target 2026 - Il 100% delle PA fruiscono degli strumenti o servizi per l’autovalutazione messi a disposizione sul Portale del CERT-AGID.

RA7.6.3 - Supporto formativo e informativo rivolto alle PA e in particolare agli RTD per l’aumento del livello di consapevolezza delle minacce cyber

  • Target 2024 - Pubblicazione della versione aggiornata del portale CERT-AGID con contenuti informativi relativi alle campagne malevole veicolate verso le PA
  • Target 2025 - Erogazione di due corsi di formazione, base ed avanzato, sulla sicurezza nella PA
  • Target 2026 - Fornitura di documentazione di supporto agli RTD per la gestione della sicurezza IT nelle PA in aggiunta alle attività formative

Linee di azione istituzionali

RA7.6.1

  • Gennaio 2024 - Monitoraggio proattivo delle minacce cyber nel dominio della PA, mediante la diffusione di Indicatori di Compromissione e informazioni utili all’innalzamento del livello di difesa - (AGID) - CAP7.08

RA7.6.2

  • Settembre 2024 - Messa a disposizione dei RTD di strumenti e supporto per le autovalutazioni dei sistemi esposti e per l’individuazione, l’analisi e la gestione dei rischi cyber - (AGID) - CAP7.09

RA7.6.3

  • Gennaio 2024 - Diffusione di notizie, dati statistici e tecnici sulle campagne malevole attive sul territorio nazionale attraverso il portale del CERT-AGID - (AGID) - CAP7.10
  • Marzo 2025 - Erogazione di un corso di formazione base sulla sicurezza nella PA - (AGID) - CAP7.11
  • Settembre 2025 - Erogazione di un corso di formazione avanzato sulla sicurezza nella PA - (AGID) - CAP7.12
  • Giugno 2026 - Consegna documentazione di supporto ai RTD per la parte riguardante i temi legati alla cybersecurity - (AGID) - CAP7.13

Linee di azione per le PA

RA7.6.1

  • Da febbraio 2024 - Le PA dovranno dotarsi degli strumenti idonei all’acquisizione degli IoC ed accreditarsi al CERT-AGID - CAP7.PA.20

RA7.6.2

  • Da ottobre 2024 - Le PA dovranno usufruire degli strumenti per la gestione dei rischi cyber messi a disposizione dal CERT-AGID - CAP7.PA.21

RA7.6.3

  • Dicembre 2025 - Le PA, sulla base delle proprie esigenze, partecipano ai corsi di formazione base ed avanzato erogati dal CERT-AGID - CAP7.PA.22