PROGRAMMA PER LA RESILIENZA CYBER NAZIONALE
FINALITA’ E RISULTATI DELL’OPERAZIONE
Il progetto mira a migliorare la pianificazione, il governo e il monitoraggio dell’efficacia dei sistemi ICT/IoT in conformità alle normative Network and Information Security 1/2. La fase iniziale include la definizione del piano di potenziamento contenente le attività necessarie a colmare i GAP dell’attuale gestione della governance e programmazione cyber.
Il piano dovrà essere redatto considerando che le aree coinvolte comprendono la struttura organizzativa, i processi, le policy e tutte le procedure per garantire sicurezza delle informazioni, assegnazione di ruoli e responsabilità, gestione delle informazioni, supply chain, asset, Identification & Access Management. Il risultato atteso è la produzione di report di mitigazione e la mappatura delle criticità della governance. Una volta programmate e definite le azioni per migliorare la gestione della governance e programmazione cyber dovranno essere messe in atto tutte le attività programmate, tra le quali tutte le azioni come la formazione o l’acquisizione di certificazioni. L’obiettivo è incrementare la consapevolezza delle minacce e gestire gli attacchi anche attraverso l’acquisizione di piattaforme open source per la crescita della maturità cyber con l’obiettivo primario di rendere autonoma la gestione dell’Ente su tali tematiche. Pertanto, si propone l’acquisizione di un sistema GRC open source e di una piattaforma e-Learning open source che saranno messi a disposizione di tutta la struttura organizzativa dell’Ente.
Il progetto richiede un adeguamento alle normative NIS/NIS2 in particolare riferimento ai processi di Risk Management, Business Impact Analysis e Continuità Operativa. Quindi deve essere effettuata una valutazione del rischio che coinvolge Risk Analysis, Estimation, Evaluation e Treatment. La revisione del Business Impact Analysis (B.I.A.) per assicurare la continuità operativa. I deliverable, in questa fase, includono censimento Asset, Mappa dei rischi, Piano di remediation, ecc. Il report di B.I.A. comprende censimento dei processi critici, valutazione di impatto e soluzioni per conformità normativa. Il Piano di Continuità Operativa sarà rivisto per mitigare rischi e garantire il ripristino dei Processi. Si pianifica la divulgazione delBC Plan con formazione del personale oltre che le azioni collegate alla formazione per aumentare la consapevolezza del personale su tali temi.
E’ prevista l’acquisizione di una piattaforma di Cyber Threat Intelligence per supportare la prevenzione dei rischi e la formazione del personale sui vettori di attacco. Il progetto proposto vuole colmare le carenze i competenze della struttura organizzativa, rivedere i processi in particolare quelli di risk management, BIA, gestione continuità operativa. Inoltre, vuole identificare e aggiornare le Tecnologie IT / OT di Security, e infine, particolare attenzione è data alla formazione riguardo alle tematiche della cyber security. L’attuazione di tali azioni ha l’obiettivo di raggiungere le seguenti finalità:
- Continuità Operativa
I sistemi critici saranno in grado di operare anche in presenza di minacce o problemi tecnici; - Protezione dei Dati
Abbattimento delle possibilità di data breach. Compliance Normativa: Adempiendo agli obblighi previsti dalle leggi nazionali e internazionali in materia di sicurezza informatica e protezione dei dati (GDPR e NIS2). - Hardening della Sicurezza IT
Introducendo nuove tecnologie (HW/SW) per la gestione dei rischi cyber all’interno dell’Ente, oltre che, individuando e rafforzando i punti della vulnerabilità. - Awareness Cyber Security
Effettuando formazione continua al personale dell’Ente sui diversi aspetti della cyber security piuttosto che addestramento all’utilizzo dei nuovi sistemi informatici anche attraverso certificazioni. - Gestione degli incidenti
Definendo a attuando processi per la rilevazione/gestione/risposta ai rischi.
EVIDENZIA DEL FINANZIAMENTO
Il progetto, pari ad € 1.496.787,38, è finanziato nell’ambito della Missione 1 – Componente 1 – Investimento 1.5 “Cybersecurity” del PNRR finanziato dall’Unione europea nel contesto dell’iniziativa “Next Generation EU”.
Graduatoria definitiva delle proposte progettuali ammesse e totalmente finanziabili