Il 20 novembre sono state pubblicate da ACN - Agenzia per la cybersicurezza nazionale, le Linee guida per il rafforzamento della resilienza dei soggetti di cui all'art. 1, comma 1 della Legge n. 90/2024.

Tali Linee guida definiscono un insieme di requisiti (o controlli) previsti dal Framework nazionale per la cybersecurity e la data protection (FNSC), che rappresentano le misure minime obbligatorie che le PA nell'ambito della Legge n. 90/2024 devono implementare.

Come già detto negli articoli precedenti, le province non sono comprese nell'abito di applicazione della Legge n.90/2024, tuttavia spesso si dimentica che sono ancora vigenti le "misure minime di sicurezza ICT per le PA", emesse da AgID con Circolari n.1/2017 e n.2/2017, la cui ultima è stata pubblicata in Gazzetta Ufficiale nella Serie Generale n. 103 del 5 maggio 2017. Ai sensi di queste Circolari le PA indicate all'art. 2, comma 2 del CAD (ovvero tutte le PA sia centrali che locali, senza distinzione) dovevano implementare entro il 31 dicembre 2017 tutte le misure previste in base al livello di resilienza che si voleva adottare (le classi indicate da AgID erano "minimo", "standard", "alto").

Da una prima analisi tra i due documenti emerge un approccio comune di definire un elenco di misure o controlli che le PA, indipendentemente dalla loro organizzazione, complessità e diffusione, possono implementare sul sistema informatico gestito sia in modalità on premise che in modalità cloud. La differenze sostanziale tra i due approcci e che le misure minime ICT AgID sono principalmente:
1) Le Linee guida utilizzano come driver le misure di sicurezza come individuate dalle sottocategorie del FNSC mentre le misure minime ICT prendono in considerazione come driver i controlli SANS20 definendo gli ABSC - AgID Basic security control, mappandoli poi sulle sottocategorie del FNSC;
2) Le misure minime ICT lasciavano alla PA la scelta del livello di implementazione, mentre le Linee guida identificano direttamente tale livello.

Dato che le Misure minime sono obbligatorie dal 2017, in teoria le Province dovrebbero aver implementato quasi tutti i requisiti previsti anche dalle linee guida. Sarebbe quindi opportuno in ottica di miglioramento e rafforzamento che le Province adeguassero le misure minime ICT alle linee guida, indipendentemente dal fatto che non sono nell'ambito di applicazione della Legge n. 90/2024.

Presentiamo quali sono i requisiti previsti dalle Linee guida e quali non erano già presenti nelle misure minime.

1) Governo della cybersecurity (non presente);
2) gestione del rischio (presente);
3) gestione asset (presente);
4) gestione del rischio dei fornitori (presente);
5) gestione delle vulnerabilità (presente);
6) business continuity e disaster recovery (presente);
7) gestione degli accessi (presente);
8) sicurezza dei dati (presente);
9) manutenzione dei sistemi (presente);
10) protezione delle reti (presente);
11) monitoraggio degli eventi di sicurezza (presente);
12) risposta e ripristino degli incidenti (presente);
13) formazione del personale (non presente).

Quindi, sarebbe opportuno per tutti, anche se non presenti nell'ambito di applicazione delle Linee Guida, utilizzarle per aggiornare le misure minime ICT, che rimangono obbligatorie per tutte le PA. Come riassunto sopra infatti, se applicate bene nel 2017, l'aggiornamento non dovrebbe comportare un effort molto pesante.

La prima tematica l'abbiamo già affrontata la settimana scorsa su questo blog. Nelle prossime settimane approfondiremo anche le altre.