Sicurezza digitale nella PA, finanziamenti UE e resilienza cibernetica: i temi al centro della rubrica ACN

A FORUM PA 2025, l’Agenzia per la Cybersicurezza Nazionale ha curato una rubrica con quattro appuntamenti chiave. Si è esplorata la sicurezza digitale nella PA, dall’utilizzo sicuro delle tecnologie emergenti alla gestione dell’identità digitale. Emersi nuovi orizzonti di finanziamento UE in cybersicurezza, si è fatta luce sull’implementazione della direttiva NIS 2. Infine, un focus sulla resilienza cibernetica ha rivelato strategie per un futuro digitale sicuro e coordinato.

Ora è possibile rivedere tutte le puntate della Rubrica PA di FORUM PA 2025.

Rivedi la puntata Sicurezza digitale nella PA. L’Agenzia per la cybersicurezza nazionale ha approfondito l’utilizzo sicuro delle nuove tecnologie nelle attività pubbliche trattando i temi dell’identità digitale, della certificazione e delle tecnologie emergenti. Il portafoglio europeo di identità digitale (EUD Wallet), introdotto da eIDAS 2 e in vigore da maggio 2024, promette di semplificare l’interazione dei cittadini con servizi pubblici e privati. Richiede una certificazione di sicurezza elevata per proteggere l’identità digitale e prevenire conseguenze disastrose da compromissioni. L’Italia sta già sperimentando con il sistema IT Wallet. La crittografia post-quantistica è una priorità. Di fronte alla minaccia dei computer quantistici capaci di violare gli attuali algoritmi di crittografia a chiave pubblica, si sta lavorando per sviluppare e implementare nuovi algoritmi resistenti. L’ACN punta a un piano di transizione nazionale entro il 2026. Infine, l’intelligenza artificiale offre enormi opportunità per la PA, dall’automazione alla semplificazione amministrativa. Tuttavia, presenta rischi legati ad affidabilità, trasparenza e complessità della sua “supply chain” di sicurezza. L’AI Act europeo stabilisce un quadro regolatorio basato sul rischio per sistemi IA affidabili, con ACN attivamente coinvolta nella governance.

Rivedi la puntata Info Day NCC-IT: le opportunità di finanziamento UE in cybersicurezza ed i progetti in corso. L’ACN, come Centro Nazionale di Coordinamento (NCC), funge da punto di contatto per l’accesso ai bandi europei, in particolare quelli gestiti dal Centro di Competenza Europeo in Cybersicurezza (ECCC) nell’ambito dei programmi Digital Europe e Horizon Europe. Durante l’incontro si è sottolineata l’importanza di questi fondi per la trasformazione digitale, il rafforzamento della resilienza cyber e il supporto alla compliance normativa, come il nuovo Cyber Resilience Act. La PA italiana si posiziona al quarto posto tra i paesi europei per il numero di sovvenzioni (finanziamenti) ricevute dall’Unione Europea. L’ammontare totale dei finanziamenti ammonta a 10,5 milioni di euro, dei quali 7 milioni sono stati finanziati direttamente dall’Unione Europea. L’Italia vanta un tasso di successo del 93% per le proposte presentate. Questo dato è particolarmente significativo, soprattutto nel programma Digital Europe, che, essendo relativamente nuovo e meno competitivo rispetto a Horizon Europe, offre maggiori opportunità di successo se le proposte rispettano i requisiti. È stato presentato il progetto SECUREM come esempio pratico, che mira a sostenere le PMI nell’adeguamento ai requisiti di cybersicurezza, con l’apertura di bandi annuali dedicati (la prima call a settembre). In pratica, sono state illustrate le opportunità di finanziamento dell’Unione Europea nel campo della cybersicurezza, rivolte sia al settore pubblico che a quello privato.

Rivedi la puntata NIS 2: cosa succede nella seconda fase di implementazione. Entra nel vivo la seconda fase di implementazione della Direttiva NIS 2, recepita a ottobre 2024. La sua attuazione ha ampliato enormemente la platea dei soggetti coinvolti (oltre 80 tipologie, incluse PA e nuovi settori come la raccolta rifiuti), estendendo le prescrizioni all’intera infrastruttura digitale. Entro il 31 maggio, le organizzazioni interessate, oltre 20.000, hanno dovuto aggiornare le informazioni già fornite ad ACN in fase di registrazione. È stato delineato un percorso graduale per l’implementazione: 18 mesi per le misure di sicurezza (scadenza ottobre 2026) e 9 mesi per le notifiche di incidente (scadenza gennaio 2026). L’approccio si basa sui principi di proporzionalità e gradualità, distinguendo tra soggetti essenziali e importanti e adattando gli obblighi al rischio. Le 43 specifiche di base per le misure di sicurezza, definite dall’ACN, sono prevalentemente organizzative e procedurali, non richiedendo acquisizioni tecnologiche complesse. Sono previste 4 tipologie di incidenti significativi da notificare, con tempistiche di 24 e 72 ore.

Rivedi la puntata Resilienza Cibernetica, un approccio sistemico alla cybersicurezza: minacce, notifiche e gestione del rischio. La minaccia cibernetica è sempre più complessa e pervasiva, alimentata da attori dotati di elevate capacità e risorse. L’ACN monitora numerose tipologie di attacchi, tra cui DDoS, ransomware, data leakage, esfiltrazioni e phishing. Contrastare queste minacce impone un approccio sistemico che vada oltre le competenze tecniche, includendo aspetti organizzativi e di processo, con particolare attenzione al fattore umano. Raccomandazioni includono l’autenticazione multifattore e la formazione, per superare problematiche come l’obsolescenza tecnologica e la mancanza di organizzazione. Il CSIRT Italia (ACN) riveste un ruolo fondamentale nel coordinamento nazionale delle risposte agli incidenti cyber, attraverso monitoraggio proattivo e alert, promuovendo la circolazione tempestiva delle informazioni e supportando la gestione coordinata degli eventi con analisi tecniche e supporto in loco/remoto. Una corretta gestione del rischio cibernetico da parte dei soggetti italiani rappresenta un pilastro essenziale per lo sviluppo di una postura di sicurezza resiliente, capace di coniugare prevenzione, risposta e continuità operativa in un ambiente digitale in costante evoluzione.