Partiamo da un presupposto: le province non sono nell'ambito di applicazione della legge n. 90/2024 e del d. lgs 138/2024 di recepimento della NIS2. Tuttavia, questo non significa che non sia necessario predisporre un percorso per incrementare il livello di cybersecurity, anche se in presenza di poche risorse economiche e umane. 

I riferimenti principali che valgono per tutte le Amministrazioni, indipendentemente se siano incluse o no nel perimetro di sicurezza cibernetico o nell'ambito di applicazione del d. lgs 138/2024, sono:

• art. 51 del CAD - Codice dell'Amministrazione digitale che al comma 2 recita: i documenti informatici delle pubbliche amministrazioni devono essere custoditi e controllati con modalità tali da ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato o non consentito o non conforme alle finalità della raccolta;
• art. 25 e 32 del GDPR - Regolamento Generale sulla protezione dei dati personali, sulla protezione dei dati (e dei trattamenti) sin dalla progettazione e per impostazione predefinita e sulle misure tecniche ed organizzative sulla sicurezza dei trattamenti. 

I punti fondamentali per iniziare a costruire un solido percorso di resilienza digitale sono essenzialmente tre e sono applicabili a tutte le Amministrazioni indipendentemente dalla loro dimensione e dal loro budget:

1. creare un'organizzazione cyber mediante formazione e competenze del personale e definizione delle responsabilità;
2. costruire un framework semplice ma efficace, con poche ma essenziali procedure di gestione del rischio e degli incidenti;
3. forte coinvolgimento dell'Amministrazione con i propri fornitori nella gestione della cybersicurezza.

Vediamo come sia possibile definire tale percorso. Useremo come framework di riferimento la norma internazionale ISO 27001:2022, ma può essere utilizzato senza particolari problemi anche il Framework Nazionale per la Cyber Security e la Data Protection del CINI - Università degli Studi La Sapienza.

In questo articolo ci concentreremo sul primo punto: l'organizzazione.

 

Organizzazione, competenze e responsabilità

Il primo passo per un percorso di costruzione o potenziamento del livello di resilienza è definire in modo chiaro l'organizzazione e le relative responsabilità in ambito cybersecurity.

Ai sensi del comma 1, lett. c) dell'art. 17 del CAD, sono assegnate all'Ufficio della Transizione al Digitale i compiti relativi all'indirizzo, pianificazione, coordinamento e monitoraggio della sicurezza informatica relativamente ai dati, ai sistemi e alle infrastrutture. Quindi un'organizzazione interna per la cybersecurity è già prevista nel nostro ordinamento, sotto il coordinamento del Responsabile della Transizione al Digitale. Inoltre, per le Amministrazioni nell'ambito di applicazione della legge n. 90/2024, è necessaria la nomina del Referente per la cybersecurity con il ruolo di coordinamento delle attività. 

E' fondamentale quindi che ogni PA definisca ruoli e responsabilità specifiche di questa organizzazione, sia che sia interna all'Ufficio per la Transizione al Digitale, sia che sia esterna ad esso. Un esempio semplice e minimale di organizzazione della cybersecurity è la seguente.

Questo esempio riporta le principali responsabilità e competenze necessarie per una efficiente organizzazione della cybersecurity. Non è detto che siano persone distinte o che siano tutte interne, ma sarebbe opportuno che tali competenze siano disponibili a disposizione dell'Amministrazione. Puntare sulla crescita delle competenze interne è sempre una scelta vincente, ma non sempre è un opzione possibile. Ricordiamo che è disponibile l'avviso FormezPA per i percorsi professionalizzanti, finalizzato alla crescita del personale delle Amministrazioni.

Vediamo le competenze specifiche di queste figure.

Referente cybersecurity: Coordina il team di gestione della cybersicurezza, definendo gli obiettivi e le politiche. Ha come obiettivo quello di garantire la protezione delle infrastrutture, degli asset IT, delle informazioni e dei dati personali dell'Amministrazione, assicurandosi che vengano adottate le misure di sicurezza adeguate a prevenire attacchi informatici e minimizzare i rischi associati. Tra le sue principali responsabilità:

• fungere da punto di contatto con le autorità in ambito cybersecurity;
• definire la politica di sicurezza dell'Amministrazione, nonché validare procedure e approcci metodologici  nell’ambito delle attività di gestione della sicurezza ICT;
• definire il modello di sistema di gestione della sicurezza cyber e dei principali obiettivi che tale modello dovrebbe raggiungere e i relativi KPI - key performance indicator;
• promuovere attività di formazione e sensibilizzazione al personale sull'importanza della sicurezza informatica e sulle politiche di sicurezza dell'Amministrazione;
• supportare i responsabili da lui coordinati nell'esercizio delle attività a loro assegnate;
• riuscire ad ottenere un budget per le attività di cybersecurity.

Responsabile Analisi del rischio: ha il compito di valutare e gestire i rischi legati alla sicurezza informatica che l’Amministrazione potrebbe incontrare durante le sue attività. Tra le sue principali responsabilità:

• identificare, analizzare e valutare i rischi relativi agli asset IT potenzialmente critici su cui procedere con l’analisi del rischio per la Sicurezza delle Informazioni, e mantenerlo aggiornato (eventualmente con il supporto di fornitori esterni);
• definire un piano di trattamento del rischio che sia effettivo ed efficace, basato sulle esigenze dell'Amministrazione, sul budget e sulle risorse effettivamente disponibili e mantenerlo aggiornato (eventualmente con il supporto di fornitori esterni);
• supportare l'analisi del rischio in ambito privacy (DPIA).

Responsabile della gestione degli incidenti: ha il compito di coordinare la gestione degli incidenti che si verificano nel contesto delle attività IT dell'Amministrazione, garantendo il corretto e continuo funzionamento dei sistemi e delle applicazioni IT. Tale figura coordina risorse interne e/o esterne responsabili delle attività tecniche di risoluzione degli incidenti. Tra le sue principali responsabilità:

• gestione e aggiornamento del registro degli incidenti dell'Amministrazione (obbligatorio);
• definire le opportune procedure di gestione degli incidenti e dei dati breach e definire i relativi KPI;
• coordinare le attività di gestione degli incidenti da parte del personale tecnico incaricato (interno e/o esterno) e verifica dei KPI;
• supportare il DPO nelle attività previste in caso di data breach;
• collaborare con il Responsabile dell'Analisi del rischio e con il responsabile della sicurezza applicativa ed infrastrutturale per le attività di competenze;
• supportare il responsabile della continuità operativa in caso di disastro;
• valutare le attività dei fornitori esterni.

Responsabile della sicurezza applicativa ed infrastrutturale: ha il compito di definire le politiche e le procedure di gestione della sicurezza sia applicativa che infrastrutturale, nel rispetto dei principi del GDPR e degli obiettivi dell'Amministrazione e di monitorarne l'applicazione da parte del personale interno e/o esterno incaricato. Tra le sue principali responsabilità:

• definire le opportune politiche e le procedure di gestione della sicurezza ict e definire i relativi KPI (eventualmente con il supporto di fornitori esterni);
• identificare ed implementare (anche mediante risorse esterne) le opportune misure tecniche ed organizzative di sicurezza e difesa per proteggere gli asset e il patrimonio informativo dell'Amministrazione;
• assicurare un adeguato presidio per la corretta applicazione delle misure di sicurezza informatica mediante la predisposizione ed esecuzione di attività di monitoraggio e controllo continuo delle infrastrutture, delle applicazioni e degli accessi;
• svolgere specifiche attività di VA&PT (vulnerability assessment & Penetration Test) sui servizi e sull'infrastruttura dell'Amministrazione;
• collaborare con il Responsabile dell'Analisi del rischio e con il responsabile degli incidenti per le attività di competenze;
• supportare il responsabile della continuità operativa in caso di disastro;
• supportare le attività di analisi di impatto privacy in caso di trattamento di dati personali;
• valutare le attività dei fornitori esterni.

Responsabile della continuità operativa: ha il compito di predisporre il Piano di continuità operativa (PCO) dell'Amministrazione, di coordinare le attività in caso di disastro e di svolgere opportune esercitazioni. Tra le sue principali responsabilità:

• assicurare l’individuazione dei processi/servizi potenzialmente critici per la continuità operativa, in aderenza agli obiettivi prefissati dall'Amministrazione, anche mediante l'esecuzione di una BIA (Business impact analysis);
• definire il PCO e mantenerlo aggiornato, nonché svolgere specifiche esercitazioni periodiche per valutarne l'efficacia e l'efficienza;
• coordinare le attività di continuità operativa in caso di disastro mediante risorse interne ed esterne, come previsto dal PCO;
• supportare il DPO nelle attività previste in caso di data breach;
• valutare le attività dei fornitori esterni.

 

Alcune osservazioni ed accorgimenti

Non tutte le Amministrazioni, per dimensioni, organico e budget, si possono permettere di avere un team di almeno 5 persone dedicate alla cybersecurity. Fatta questa premessa, è opportuno precisare quanto detto sopra: non si parla di teste, ma di competenze. Ovvero, queste sono le competenze minime che ogni organizzazione (PA, enti pubblici o privati, grandi aziende e PMI) dovrebbero avere.

Nei vari modelli di gestione dell'IT pubblico (gestione interna, gestione esterna o ibrida) è fondamentale che alcune responsabilità e competenze siano gestite da risorse interne e non da fornitori esterni. Non è possibile affrontare la transizione digitale (Cloud, nuove tecnologie, IA) senza che l'Amministrazione tenga conto degli impatti della cybersecurity sulle sue attività quotidiane ed abbia nei suoi ranghi almeno una o più risorse in grado di governare tali processi.

Tornando al modello semplificato sopra riportato, possiamo benissimo avere un'unica figura che svolga le attività sopra riportate. E' tuttavia necessario che tale figura sia supportata dall'Amministrazione con formazione specialistica ad hoc e che non sia anche oberata da altre mille responsabilità amministrative.