Nel contesto attuale caratterizzato da minacce informatiche in continua evoluzione e aumento, la protezione delle…
Strategia nazionale di Cybersicurezza 2022-2026
La Strategia nazionale di Cybersicurezza 2022-2026 contempla una serie di azioni volte a rafforzare la cybersecurity delle Pa, sia intervenendo a livello tecnico, sia accrescendo la consapevolezza e le competenze dei pubblici dipendenti e degli utenti.
I documenti
I documenti di riferimento sono disponibili sul sito dell’Agenzia:
- Strategia nazionale di Cybersicurezza 2022-2026
- Piano di implementazione Strategia nazionale di Cybersicurezza 2022-2026
- Manuale operativo implementazione misura #82 Strategia nazionale di Cybersicurezza 2022-2026
Strategia nazionale di Cybersicurezza
Il primo documento è la strategia che spiega, a livello discorsivo, quali sono gli obiettivi che si dà l’Acn. Riportiamo alcuni passaggi della prefazione, firmata dall’allora Presidente del Consiglio Mario Draghi:
Le nuove forme di competizione strategica che caratterizzano lo scenario geopolitico impongono all’Italia di proseguire e, dove possibile, incrementare le iniziative in materia di cybersicurezza. Dobbiamo tenere fede agli impegni assunti nell’ambito delle organizzazioni internazionali a cui l’Italia partecipa (…). È dunque necessaria una puntuale rivisitazione nella concezione e nella visione strategica dell’architettura nazionale di cybersicurezza. La strategia italiana per la cybersicurezza unisce sicurezza e sviluppo, nel rispetto dei valori della nostra Costituzione.
È in linea con quanto previsto dalla Strategia dell’Unione europea per la cybersicurezza del dicembre 2020, dalla Bussola strategica per la sicurezza e la difesa dell’UE del marzo 2022 e dai recenti indirizzi strategici della Nato. Per realizzare questa nuova visione, l’Italia ha costruito un ecosistema di cybersicurezza fondato sulla collaborazione tra i settori pubblico e privato.
(…)
I produttori e fornitori di beni e servizi Ict svolgono un ruolo di primo piano. A loro è richiesto di fornire prodotti e soluzioni tecnologiche che soddisfino adeguati requisiti di cybersicurezza. L’obiettivo è rafforzare la resilienza di dispositivi e apparati Ict, a partire dal 5G e dal cloud, anche al fine di aumentare la fiducia dei cittadini. È nostra intenzione intensificare i progetti di sviluppo tecnologico per arrivare a disporre di un adeguato livello di autonomia strategica nel settore e quindi garantire la nostra sovranità digitale. Per farlo, sarà cruciale stanziare fondi adeguati, con continuità.
Piano di implementazione
Il secondo documento riguarda le misure che l’Acn vuole attuare per rendere più “cybersicuro” il Paese. Le misure previste sono 82. Il piano di implementazione riporta, per ciascuno degli obiettivi della Strategia nazionale di Cybersicurezza – protezione, risposta e sviluppo – le misure da porre in essere per il loro conseguimento, suddivise per aree tematiche, per ognuna delle quali sono indicati gli attori responsabili per la loro attuazione e gli altri soggetti a vario titolo interessati.
Manuale operativo
Infine, la versione operativa del Piano di implementazione della Strategia nazionale di Cybersicurezza 2022-2026. Il suo scopo è declinare, per ogni misura, le metriche e gli indicatori di misurazione individuati, l’anno di prevalente implementazione delle stesse, e le relative linee guida.
Tra le misure si trovano:
Misura #6
Introdurre norme giuridiche che valorizzino l’inclusione di elementi di sicurezza cibernetica nelle attività di procurement Ict della Pa, fornendo indicazioni per garantire che i beni e i servizi informatici, acquistati dai soggetti pubblici rispondano ad adeguati livelli di cybersicurezza.
Misura #10
Pubblicare linee guida sulla cybersecurity per le amministrazioni pubbliche, con differenti gradi di cogenza, anche in riferimento alla transizione al cloud e favorendo una gestione continuativa e automatizzata del rischio cyber, secondo un approccio “zero trust”.
Misura #11
Porre in essere iniziative di sensibilizzazione per favorire l’applicazione del “Framework nazionale per la Cybersecurity e la Data protection” e dei “Controlli essenziali di cybersecurity”, opportunamente aggiornati in linea con il quadro della minaccia, da parte della Pa, delle imprese e delle Pmi.
Misura #14
Coordinare interventi di potenziamento delle capacità di identificazione, monitoraggio e controllo del rischio cyber nella Pa per la messa in sicurezza dei dati e dei servizi.
Misura #19
Implementare i servizi di monitoraggio di vulnerabilità e configurazioni erronee dei servizi digitali esposti su Internet di interesse della Pa, attuando politiche di early warning.
Misura #20
Promuovere l’utilizzo delle migliori pratiche di gestione dei domini di posta elettronica della Pa, implementando un servizio di monitoraggio e protezione contro campagne di phishing o abusi.
Misura #55
Promuovere la digitalizzazione e l’innovazione, nonché rafforzare la sicurezza nella Pa, anche mediante l’impiego delle risorse del Pnrr.
Misura #59
Potenziare lo sviluppo di percorsi formativi dedicati con diversi livelli di specializzazione in cybersecurity (dalla scuola primaria ai corsi universitari di laurea, dottorati di ricerca e master, fino alle scuole di formazione delle Pubbliche amministrazioni) – anche investendo nella formazione del personale docente – per allineare l’offerta educativa alla domanda del mercato del lavoro.
Misura #70
Promuovere, per tutti i lavoratori, inclusi quelli di livello apicale, il costante aggiornamento professionale, anche attraverso percorsi di formazione in materia di sicurezza cibernetica, pure nell’ottica di riqualificare il personale già in organico.
Misura #71
Avviare iniziative e campagne di sensibilizzazione volte a promuovere le competenze degli utenti e i comportamenti responsabili nello spazio cibernetico, contrastando la disattenzione digitale e accrescendo la consapevolezza sui rischi derivanti dall’uso delle tecnologie informatiche e su come proteggere la propria privacy online. E questo considerando anche le esigenze di particolari fasce della popolazione, come le persone anziane e diversamente abili, ma anche di alcune categorie di pubblici dipendenti (come, ad esempio, i magistrati). Ciò, attraverso la diffusione di informazioni facilmente comprensibili dai non addetti ai lavori sulle vulnerabilità di sicurezza di prodotti e servizi Ict di largo impiego.
I fondi per l’attuazione
A supporto dell’attuazione delle misure previste dalla strategia nazionale di cybersicurezza si identificano vari strumenti di finanziamento, sia nazionaie che europei che corrispondono all’1,2% degli investimenti nazionali lordi su base annuale.
Tali risorse saranno dedicate a specifiche progettualità, per il conseguimento dell’autonomia tecnologica in ambito digitale, e l’ulteriore innalzamento dei livelli di cybersicurezza dei sistemi informativi nazionali.
Articoli correlati
