sicurezza

Cert regionali e sicurezza del procurement, ecco il valore delle linee guida Agid

La minaccia cyber si pone come una delle sfide più cogenti nel panorama nazionale ed internazionale. Vediamo in che modo le linee guida Agid su sicurezza nel procurement ICT e implementazione di CERT regionali risponde all’esigenza di presidiare la filiera produttiva e la dimensione territoriale con un approccio sistemico

Pubblicato il 04 Giu 2019

Alessandro Bruttini

Associazione Italiana esperti in Infrastrutture Critiche

Luisa Franchina

Presidente Associazione Italiana esperti in Infrastrutture Critiche

Andrea Lucariello

Security Analyst and Privacy Consultant

cyber security

La sicurezza del procurement ICT e lo sviluppo e la definizione del modello nazionale di riferimento per i CERT regionali sono al centro delle due Linee guida pubblicate da AgID il 14 maggio 2019 e in consultazione pubblica per un mese (fino al 13 giugno 2019) come da art. 71 del Codice dell’Amministrazione Digitale.

Obiettivo è quello di rafforzare la cyber security e, più in generale, la sicurezza delle informazioni del sistema-Paese.

Da un esame dei contenuti dei due documenti, di cui daremo conto di seguito, emerge come in entrambi i casi le Linee guida si configurino come un valido e innovativo strumento per far fronte alle sfide della minaccia cyber attraverso la definizione di presidi di controllo lungo la filiera produttiva e nella dimensione territoriale, cogliendo aspetti centrali e locali.

Le Linee guida sicurezza nel procurement ICT

Il primo, Linee guida sicurezza nel procurement ICT, frutto di un tavolo di lavoro[1] promosso dal Nucleo per la Sicurezza Cibernetica (NSC) del Dipartimento delle Informazioni per la Sicurezza della Presidenza del Consiglio dei Ministri, ha tre finalità:

  • illustrare in maniera semplice e immediatamente fruibile la problematica della sicurezza nel procurement ICT;
  • mettere a sistema, formalizzare definizioni e concetti legati alla sicurezza nel procurement ICT rendendoli coerenti con la norma e con il contesto della pubblica amministrazione;
  • presentare buone prassi, soluzioni già in uso, misure semplici da adottare per verificare il livello di sicurezza degli attuali processi di acquisizione ed eventualmente per alzare tale livello senza per questo aumentare in modo eccessivo la complessità dei processi e l’impegno necessario a condurli.

Il tema del procurement, inteso come processo in cui è insita la probabilità che si verifichi un evento di sicurezza informatica, è stato affrontato sulla base di un criterio temporale: infatti, le linee guida offrono delle indicazioni, obbligatorie per le forniture critiche e come suggerimenti per le forniture non critiche, che si traducono in azioni da svolgere prima della fase di procurement (azioni generali) durante la fase di procurement (azioni procurement) e dopo la stipula del contratto (in esecuzione e/o a posteriori). È interessante notare come le indicazioni proposte affrontino il tema della cyber security secondo un approccio trasversale, necessario al contrasto della minaccia cyber. Non solo dunque la sicurezza informatica dal punto di vista IT[2]; tali azioni si pongono anche su altri piani, come quello organizzativo[3], sui processi e sulle procedure[4], sulla awareness[5] degli addetti ai lavori, ecc.

Le linee guida per i CERT regionali

Il secondo documento, invece, Linee guida per lo sviluppo e la definizione del modello nazionale di riferimento per i CERT regionali, ha come obiettivo quello di strutturare un percorso virtuoso attraverso il quale è possibile implementare un CERT regionale che funga da anello di congiunzione tra le Pubbliche Amministrazioni Locali (PAL), le Pubbliche Amministrazioni Centrali (PAC) e il CERT-PA. A tale scopo la Linea guida fa il punto sull’organizzazione dei CERT e sulle principali attività secondo gli standard e le best practice riconosciute a livello europeo e internazionale. In secondo luogo, propone un modello funzionale di riferimento per un CERT regionale, comprensivo delle attività che deve svolgere, delle risorse necessarie e dei servizi che potrebbe – o dovrebbe – erogare. Infine, vengono forniti gli elementi utili per definire una roadmap di avviamento, ovvero quali sono gli strumenti per finanziare il progetto. Gli aspetti interessanti, tra i tanti, sono essenzialmente due: aver contribuito a definire le categorie, le mission, i modelli organizzativi e amministrativi dei CERT, nonché i vari servizi che possono offrire e la constituency di riferimento; aver ipotizzato una struttura di prossimità dei CERT attraverso cui, in virtù delle attribuzioni dei vari CERT regionali, sia possibile condividere in maniera più efficace e dettagliata le informazioni a disposizione, rispondere alla minaccia cyber in maniera coordinata, standardizzare le procedure e gli strumenti tecnici e tecnologici all’interno delle strutture di risposta di tutto il panorama nazionale.

Entrambe le Linee guida introducono elementi innovativi utili ad innalzare i profili di sicurezza cyber del sistema Paese. Tra questi, da un lato la valutazione ed analisi dei beni e servizi IT erogati dai fornitori come dispositivo di riduzione del rischio cyber, dall’altro l’approccio di prossimità nella sicurezza cibernetica che un CERT regionale può garantire.

Il procurement per la gestione del rischio cyber

Se la gestione della sicurezza di una organizzazione va approcciata in maniera Enterprise, il procurement costituisce necessariamente uno degli anelli della catena da integrare nella mission. Il che non significa soltanto “fare squadra” perché è opportuno che da questa integrazione nascano dei vantaggi per tutta l’organizzazione, considerando il ruolo trasversale che il procurement riveste nell’acquisizione di beni e servizi funzionali al business.

In riferimento alla PA, tra gli altri, ci sono due elementi che dotano il quadro di maggiore complessità: il fattore tempo e la sub-fornitura. Nel primo caso è opportuno sottolineare che le attività di approvvigionamento derivano generalmente da una gara, da appalti specifici di accordi quadro, e comprendono una o più iniziative progettuali (consequenziali o in parallelo). Quindi si sviluppano su un arco temporale esteso, anche pluriennale. Pertanto diventa decisivo impostare un percorso di accertamento e verifica del fornitore (componenti hardware e software, qualità del servizio IT, security by design e by default) e della sicurezza, latu sensu, lungo tutto il processo di fornitura. Nel secondo caso, in alcune tipologie di accordi quadro/bandi/gare è previsto il tema della sub-fornitura, come nei Raggruppamenti Temporanei di Imprese (RTI). In questa eventualità il procurement e la relativa analisi di requisiti di cyber security deve estendersi a tutta la catena di fornitura di un determinato prodotto o servizio, coinvolgendo non solo il fornitore diretto, ma anche il sub-fornitore, implicando un approccio strutturato nel processo di verifica.

Appare dunque chiaro che definire il processo di procurement secondo i requisiti delineati dalla Linea guida di AgID rappresenta un dispositivo di gestione del rischio cyber essenziale in quanto rispondente ad un tema estremamente critico: quello della cyber security della supply chain. Non è un caso che le normative e le best practice di settore internazionali e nazionali abbiano dedicato sempre maggiore attenzione a questo aspetto. Si pensi, a titolo di esempio, al Regolamento europeo per la protezione dei dati personali (Gdpr)e al ruolo del Responsabile del trattamento (art. 28). La figura, “esterna” nel nuovo panorama normativo, deve presentare – nei confronti del Titolare e del trattamento che questo gli affida – misure tecniche, organizzative e di sicurezza adeguate. Sul concetto di adeguatezza potrebbero essere spese numerose riflessioni; tuttavia, l’elemento centrale è rappresentato della scelta di tali misure, che devono essere proporzionate al rischio, frutto di un processo di analisi e valutazione dello stesso.

Inoltre, all’interno del panorama normativo europeo, è di recente approvazione il Cyber Security Act il cui scopo principale è quello di armonizzare e rafforzare i livelli di sicurezza cibernetica degli Stati membri creando un mercato unico di cyber security anche in relazione a prodotti, servizi e misure tecniche. Per raggiungere questo obiettivo, in particolare, la normativa si concentra sulle certificazioni di sicurezza affidando ad ENISA un ruolo di primo ordine nel relativo processo di gestione.

In relazione al tema delle certificazioni di sicurezza, è opportuno specificare che si possono identificare due distinte tipologie principali: le certificazioni di processo e quelle di prodotto. Le prime includono aspetti relativi alla gestione della sicurezza di tipo logico, fisico ed organizzativo, individuano quindi sia elementi tecnici che procedurali. Rispetto a quelle di prodotto, queste tipologie di certificazione risultano attualmente le più utilizzate, in virtù di due motivazioni principali. Da un lato, i grandi player di mercato hanno iniziato a richiedere tali certificazioni alla propria catena di fornitura (su tutte, si pensi alla ISO 27001) rendendo la certificazione un elemento in grado di generare competitività anche in ottica di business. In tal senso è opportuno sottolineare che l’aderenza a tali standard presenta un rapporto costo-beneficio gestibile anche per organizzazioni medio-piccole. Dall’altro lato, le certificazioni di processo possono fornire supporto nell’accountability di un’organizzazione per dimostrare la propria compliance ad una determinata normativa. Ad esempio ENISA al fine di supportare le PMI nell’adozione delle misure di sicurezza richieste dal GDPR (ex art. 32) ha definito un set di controlli per garantire la protezione dei dati personali mappati sui requisiti dell’Annex A della ISO 27001[6].

Le certificazioni di prodotto risultano meno utilizzate se non per quanto riguarda i sistemi ICT deputati al trattamento di dati classificati, dove sono obbligatorie. I prodotti commerciali infatti difficilmente affrontano il percorso di certificazione, anche in virtù del costo che comporta. In realtà, come ben evidenziato nella Linea guida di AgID la valutazione dei prodotti ICT rappresenta un aspetto decisivo nella gestione del rischio cyber.

In riferimento alle certificazioni di prodotto nel nostro Paese, è stato istituito presso l’ISCTI (Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione) del Ministero dello Sviluppo Economico il CVCN (Centro di Valutazione e Certificazione Nazionale) al fine di verificare le condizioni di sicurezza e l’assenza di vulnerabilità di prodotti, apparati, e sistemi destinati ad essere utilizzati per il funzionamento di reti, servizi e infrastrutture strategiche, nonché di ogni altro operatore per cui sussiste un interesse nazionale[7].

La Linea guida AgID si colloca in maniera coerente con gli sforzi nazionali e internazionali tesi a mitigare il rischio cyber con un approccio multidimensionale e onnicomprensivo, includendo non solo una auto-valutazione ma anche il tema della verifica dei requisiti di sicurezza dei fornitori.

L’approccio di prossimità come risposta integrata alla minaccia cyber

Attualmente la minaccia cyber si pone come una delle sfide più cogenti nel panorama nazionale ed internazionale. Tale dinamica, manifesta ormai da anni e puntualmente segnalata in report e relazioni dedicate[8], si va delineando per la concomitanza di specifici elementi quali, a titolo non esaustivo: trasversalità dei target, sofisticazione (non esclusivamente tecnologica) e persistenza dei vettori di minaccia, eterogeneità delle finalità degli attaccanti (es.: cybercrime, hactivism, cyberwarfare).

In riferimento al contesto nazionale, l’evoluzione della minaccia ha contribuito a manifestare la necessità di definire e sviluppare strategie di sicurezza cyber sempre più complesse in grado di fornire risposte efficaci su molteplici piani di gestione della cyber security. In particolare, la direzione intrapresa è stata volta alla strutturazione di un approccio sistemico per governare in modo integrato la sicurezza cyber. Hanno supportato questo sforzo contributi strategici e normativi come ad esempio il Quadro strategico nazionale per la sicurezza dello spazio cibernetico, il DPCM del 17/02/2017, il Piano nazionale per la protezione cibernetica e la sicurezza informatica, il Regolamento europeo per la protezione dei dati personali (GDPR), la Direttiva sulla Sicurezza delle Reti e delle Informazioni (NIS). Sull’impulso di tali provvedimenti si è quindi progressivamente strutturata e definita l’architettura cyber nazionale con particolare attenzione e riferimento alle dinamiche europee.

Il documento di AgID sulle Linee guida per lo sviluppo dei CERT regionali si colloca come ulteriore tassello nel mosaico della cyber security nazionale, ponendo al centro della propria proposta un elemento sino ad oggi poco indagato: la rilevanza della prossimità come valore aggiunto per la sicurezza cibernetica. Tale prossimità si declina in aspetti che sono sia fisici che virtuali, come ad esempio la possibilità di intervenire manualmente su una macchina, gestendo un guasto, un disservizio o un attacco.

Di fatto, l’idea di affrontare dinamiche globali anche attraverso un approccio locale è stata proposta come soluzione a problemi di natura estremamente diversa, in alcuni casi risultando particolarmente vincente[9]. A tal proposito, si pensi al modello della protezione civile strutturato come un vero e proprio “sistema”: il composito ambiente include diversi attori che operano in tutte le fasi dell’emergenza (previsione, prevenzione, gestione e superamento), scambiano informazioni in “tempo di pace” e in “tempo di guerra”, definiscono e organizzano le idonee modalità comunicative e, in particolare, determinano le più efficaci misure di mitigazione dei rischi e degli impatti.

Anche in ambito cyber, dimensione che a una prima analisi potrebbe ritenersi slegata da concetti di vicinanza fisica, la prossimità può rivestire un ruolo decisivo. La creazione di un CERT regionale, tra i vari benefici, potrebbe garantire la gestione della cyber security secondo il principio di sussidiarietà, ovvero identificare gli attori con responsabilità e seguire uno schema di attivazione che parte dal più prossimo fino a giungere al livello centrale. Tale principio si basa sull’assunto che l’attore più vicino sia quello con più conoscenza del contesto e quindi maggiormente in grado di identificare una minaccia, eventualmente gestirla o effettuare escalation verso il livello successivo di competenza.

La catena di prossimità e di sussidiarietà è ben identificata dalla Linea guida di AgID: l’attore più prossimo è il Referente della Sicurezza Informatica della PAL, il livello successivo è rappresentato dal CERT regionale, e quello seguente dal CERT-PA. Il processo di accreditamento delle PAL presso il CERT regionale permette di dotare quest’ultimo di un’approfondita conoscenza del patrimonio informativo e tecnologico in cui opera, garantendo l’efficacia del proprio supporto. In tal senso, prossimità e sussidiarietà presuppongono che vi sia una stretta collaborazione tra gli enti interessati, maturando awareness e capacità di info-sharing, innalzando così la capacità di risposta agli incidenti.

Inoltre, la prossimità del CERT regionale, come anello di congiunzione tra realtà locale e centrale, consente alcuni benefici:

  • attivazione di un processo virtuoso di responsabilizzazione della PAL nella gestione degli eventi di piccola intensità;
  • formalizzazione delle procedure di escalation nei casi di maggiore entità (come ben dettagliato nelle linee guida);
  • riduzione del carico di lavoro del CERT-PA, operando come un “filtro” rispetto alle segnalazioni meno rilevanti ed eventuali falsi positivi e dunque razionalizzando le risorse impiegate.

Infine, una struttura di prossimità nella cyber security, come il CERT regionale, potrebbe garantire una ulteriore funzione di raccordo fondamentale tra governo centrale e realtà territoriale, specie nell’ottica di un raggiungimento di standard elevati di sicurezza cibernetica nazionale. Tale struttura si configura infatti come punto di riferimento non solo per l’adozione operativa di adeguate prassi nella gestione degli incidenti, ma anche per la diffusione della cultura della sicurezza. La cyber security diviene così una questione di partecipazione tra vari livelli, in grado di superare l’intrinseca eterogeneità delle diverse realtà territoriali presenti nel panorama nazionale, tra eccellenze ed inadeguatezze, definendo – recuperando il parallelismo con la protezione civile – un vero e proprio “sistema” di allertamento e gestione delle emergenze.

La sicurezza tra complessità, conformità e proporzionalità

Il mondo della sicurezza si configura come una realtà composita e multiforme alla quale concorrono numerosi elementi di complessità: si pensi al piano tecnico, tecnologico, quello organizzativo e normativo. In particolare, dal quadro descritto in precedenza, appare chiaro che sono numerosi i riferimenti a regolamenti, direttive, standard, linee guida e best practice che una organizzazione deve prendere in considerazione. Tale dinamica determina la progressiva assonanza del tema della sicurezza con il concetto di conformità. Le organizzazioni dunque devono dotarsi di strumenti in grado non solo di ridurre la complessità ma anche di individuare gli obiettivi verso cui tendere.

La capacità di orientamento nel panorama delineato coinvolge due elementi fondamentali, non necessariamente da considerare a sé stanti: gli obblighi di compliance e l’approccio basato sul rischio. Nel primo caso le organizzazioni si trovano nella posizione di dover rispondere a determinati requisiti espressi in normative e regolamenti nazionali e internazionali, come ad esempio il GDPR, la NIS e le Misure Minime di sicurezza ICT per la PA; nel secondo caso, l’organizzazione identifica uno standard o una linea di riferimento al fine di determinare la propria postura di sicurezza e implementare i controlli volti a mitigare il rischio cyber (come ad esempio Framework Nazionale di Cyber Security, ISO 27001).

Entrambi gli elementi, compliance e approccio basato sul rischio, sono connessi – specie nel mondo della sicurezza – da un file rouge: l’accountability. In altre parole, se è vero che per necessità di rispondenza a requisiti normativi o di mitigazione dei rischi è opportuno dotarsi di misure minime tecniche e organizzative, è altrettanto vero che la scelta dei livelli di sicurezza verso cui tendere attraversa un processo di responsabilizzazione in capo alla singola organizzazione. Tale processo prevede un approccio critico che, a partire dagli effettivi rischi considerati e valutati, delinei la strada da seguire i relativi obiettivi da raggiungere (profilo target).

Questa riflessione, opportunamente validata e soggetta a periodici aggiornamenti, coinvolge necessariamente una valutazione specifica di proporzionalità. Il profilo a cui tendere rappresenta dunque un obiettivo coerente rispetto alle effettive minacce e a conseguente livello di rischio.

Il raggiungimento del profilo target rappresenta la sintesi di un percorso complesso che può essere declinato sia a livello di processo che a livello di prodotto. Nel primo caso il percorso parte con la selezione da parte dell’operatore della linea guida o del framework di riferimento che intende utilizzare. In seguito deve adottare la contestualizzazione[10] per il proprio settore di riferimento, ovvero selezionare i controlli di sicurezza che sono a presidio del core business del suo settore. Successivamente deve operare un ulteriore raffinamento della contestualizzazione definendo specifici livelli di maturità e priorità dei controlli, nonché identificando eventuali contromisure, sulla base della propria specifica realtà. Tale attività definisce il profilo operatore, cioè il profilo target di un operatore di un determinato settore, con il quale vengono colte le peculiarità, sulla base delle scelte strategiche dell’operatore stesso e dei costi di attuazione.

Per il raggiungimento di un profilo target nella sicurezza dei prodotti deve essere effettuata una valutazione in base a criteri oggettivi e ripetibili come stabilito ad esempio dallo standard ISO 15408 che recepisce i cosiddetti Common Criteria.

Il profilo target è quindi rappresentato da quello che i Common Criteria definiscono security target: la base di accordo tra lo sviluppatore ed il valutatore circa le proprietà di sicurezza dell’oggetto di valutazione (ODV) ed il suo ambiente di sicurezza[11]. È opportuno sottolineare che il security target riguarda le caratteristiche di sicurezza di un prodotto in generale, ma anche la garanzia di mantenimento di tali caratteristiche nel suo utilizzo in settori differenti. Il raggiungimento del profilo target, che sia un profilo operatore di un’organizzazione o un security target di un prodotto, si configura quindi come un percorso di sintesi e riduzione della complessità, che parte da controlli di sicurezza di alto livello per diventare sempre più specifico, cucendosi sulla realtà di riferimento, garantendo la maggiore efficacia possibile delle contromisure identificate.

Conclusioni

Le nuove Linee guida di AgID si pongono in continuità con i concetti di complessità, conformità e proporzionalità sopra esposti. Infatti, nel caso del procurement, è necessario che la PA svolga una accurata analisi circa i propri processi critici, determini gli eventuali profili di interazione con la catena di fornitura, valuti i requisiti di sicurezza – anche attraverso checklist opportunamente definite – e l’aderenza del fornitore agli stessi.

Nell’altro caso, il CERT regionale opera su una doppia dimensione, interna ed esterna. Sul piano “interno”, deve essere in grado di rispettare elevati standard di sicurezza al fine di trattare e gestire informazioni in modo sicuro. La Linea guida, ad esempio, elenca nel dettaglio sia standard tecnici per la classificazione e la condivisione delle informazioni, sia protocolli per l’interpretazione e la gestione delle stesse. Sul piano “esterno”, tra le altre attività, deve fornire supporto alla PAL, incentivando, come riporta la Linea guida, “l’applicazione dei processi di gestione della sicurezza, delle metodologie e delle metriche valutative per il governo della sicurezza cibernetica definite a livello nazionale”.

_________________________________________________________________

  1. Al tavolo hanno preso parte le seguenti amministrazioni pubbliche: Dipartimento della Informazioni per la Sicurezza, Dipartimento della Protezione Civile, Ministero degli Affari Esteri, Ministero dell’Interno, Ministero della Giustizia, Ministero della Difesa, Ministero dell’Economia e delle Finanze, Ministero dello Sviluppo Economico, Agenzia per l’Italia Digitale. Inoltre, in veste di centrale delle pubbliche amministrazioni, ha partecipato Consip.
  2. Tra le altre azioni, si ricordano le seguenti a titolo meramente esemplificativo: AP3 – Scegliere i requisiti di sicurezza da inserire nel capitolato; A1 – Gestire le utenze dei fornitori; A2 – Gestire l’utilizzo di dispositivi di proprietà del fornitore; A3 – Gestire l’accesso alla rete dell’amministrazione.
  3. Tra le altre azioni, si ricordano le seguenti a titolo meramente esemplificativo: AG3 – Stabilire ruoli e responsabilità; AP4 – Garantire competenze di sicurezza nella commissione di valutazione.
  4. Tra le altre azioni, si ricordano le seguenti a titolo meramente esemplificativo: AG6 – Definire una metodologia di audit e valutazione del fornitore in materia di sicurezza; A6 – Verificare il rispetto delle prescrizioni di sicurezza nello sviluppo applicativo.
  5. Tra le altre azioni, si ricordano le seguenti a titolo meramente esemplificativo: AG1 – Promuovere competenza e consapevolezza; AG2 – Raccogliere buone prassi ed esperienze.
  6. 2. ENISA (2016), Guideline for SMEs on the security of personal data processing
  7. https://www.agendadigitale.eu/sicurezza/cyber-security-nazionale-il-nuovo-panorama-cosi-litalia-si-gioca-il-proprio-ruolo-paese
  8. Cfr. Sistema di Informazione per la Sicurezza della Repubblica, Relazione sulla politica dell’informazione per la Sicurezza 2018, 2019; Clusit, Rapporto sulla sicurezza ICT in Italia, 2019.
  9. Si pensi alla rilevanza della prossimità nella letteratura socio-criminologica, come testimoniato dal concetto di “sicurezza partecipata”.
  10. Il concetto di contestualizzazione è stato utilizzato in particolare nel Framework Nazionale di Cyber Security definendolo come la selezione da parte di un’organizzazione delle Subcategory e dei relativi livelli di maturità e priorità ad esse associate. Cfr. “Un Framework Nazionale per la Cyber Security” (Cyber Security Report 2015).
  11. http://www.ocsi.isticom.it/index.php/faq/domande-sui-criteri-di-valutazione#d8

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati