SOLUZIONI

Il risk treatment per la cyber-security della PA: ecco la roadmap

Non basta l’adozione di metologie standard per proteggere il sistema informativo pubblico. Servono modelli nuovi e personalizzati in grado di integrare esigenza di tutela e equilibri strategici dell’organizzazione. Ecco come funziona il “risk treatment”

08 Apr 2019
Giuseppe Arcidiacono

Responsabile Sistema Informativo at ARCEA

Cyber-security

Solo il risk treatment metterà al sicuro la PA dai pericoli informatici. Già, perché le misure di cyber security nella Pubblica amministrazione non possono basarsi unicamente su modelli standard: serve un’accurata pianificazione di processi in grado di coniugare la protezione dei dati ai complessi equilibri strategici dell’organizzazione. Ecco come il risk treatment può declinare questo tipo di orientamento.

Dopo aver affrontato, negli appuntamenti precedenti, gli aspetti fondamentali e preliminari del complesso ed articolato percorso finalizzato a proteggere la pubblica amministrazione ed il suo inestimabile patrimonio informativo dai pericoli sempre più temibili ed insidiosi del cyber-crime, nella presente “tappa” della road-map sarà approfondita una tematica, quella del cosiddetto “risk treatment”, che avvia, di fatto, l’implementazione delle contromisure da adottare in concreto e che, ancora una volta, trascende i confini tecnici e specialistici per fondersi inestricabilmente con decisioni e competenze di natura strategica, gestionale e organizzativa.

In continuità con le considerazioni già espresse nei primi passaggi, l’obiettivo principe dell’analisi che sarà di seguito sviluppata è quello di evidenziare le caratteristiche fortemente peculiari derivanti dall’applicazione in ambito pubblico di tecniche e metodologie standard che, fisiologicamente, devono essere personalizzate e plasmate ai principi ispiratori, alle regole di funzionamento ed ai compiti istituzionali propri degli enti nazionali, territoriali o locali.

La trasformazione della PA

Le pubbliche amministrazioni, infatti, si ritrovano, soprattutto in un momento di profonda trasformazione del contesto giuridico, sociale ed economico come quello attuale, a dover garantire la difficile convivenza di elementi che, pur essendo tra loro in apparente contrasto, modellano il perimetro entro il quale l’apparato della macchina statale, inteso nella sua più ampia accezione, deve necessariamente muoversi per soddisfare, secondo i dettami stabiliti dalla normativa, le esigenze dei cittadini, preservarne la sicurezza e perseguire al contempo la sostenibilità finanziaria a lungo termine dell’intero “Sistema Paese”.

WHITEPAPER
Conosci tutti gli strumenti digitali per un Employee Engagement di valore? Scoprili ora!
ERP
Risorse Umane/Organizzazione

In estrema sintesi, pertanto, è possibile affermare come amministratori, dirigenti e funzionari pubblici siano quotidianamente chiamati a ricercare il difficile punto di equilibrio tra forze, interessi divergenti (per quanto legittimi) e vincoli stratificati che non possono assolutamente essere derogati.

Si pensi, ad esempio, alle sempre più frequenti innovazioni normative che affidano, alle p.a. centrali e periferiche, nuovi e spesso gravosi adempimenti da porre in essere “senza aggravio per il bilancio dello stato”, nel rispetto della normativa sul “contenimento della spesa” (meglio nota come “Spending Review”) e dei limiti imposti da altre disposizioni di carattere generale, ponendo, di fatto, i soggetti attuatori nella difficilissima situazione di individuare soluzioni implementative che rappresentano giocoforza risposte parziali e non riescono ad affrontare il problema di riferimento con la dovuta incisività.

Tale situazione di carattere generale trova naturalmente riscontro anche nell’implementazione di un sistema di gestione della sicurezza delle informazioni e di difesa dal cyber-crime che, anche per le motivazioni sopra riportate, non può essere implementato applicando “pedissequamente” framework universalmente adottati quale la ISO/IEC 27001 o il COBIT 5 ma richiede necessariamente agli attori a vario titolo interessati di personalizzare rispetto alla situazione contingente le attività di volta in volta poste in essere, declinandole in una forma accettabile o quanto meno compatibile con il complesso contesto normativo, sociale e organizzativo che delimita e circoscrive l’azione di una pubblica amministrazione.

Le regole e i vincoli di un’organizzazione pubblica

Prima di addentrarci in questioni di carattere più propriamente tecnico, proviamo, al fine di esplicitare meglio il quadro di riferimento appena descritto, ad analizzare, a titolo esemplificativo, una delle contromisure previste dalla maggior parte dei framework internazionali, ossia quella che suggerisce ai vertici aziendali di verificare, in sede di assunzione di nuovo personale, non solo le competenze strettamente professionali ma anche il grado di affidabilità del candidato attraverso la cosiddetta attività di “background checks”, che potrebbe essere sintetizzata nell’analisi dei comportamenti pubblici della persona che si sta valutando.

E’ immediatamente intuibile che, se un’azienda privata ha piena facoltà di inserire nei propri processi valutativi anche la verifica, ad esempio, dei “post” e del materiale pubblicato sui social network, molto più difficile, se non impossibile, è l’applicazione di tale previsione nel contesto di una pubblica amministrazione.

Più semplicemente, una p.a. che voglia procedere con l’assunzione di nuovo personale deve necessariamente seguire quanto prescritto dalla normativa che disciplina le modalità di accesso al pubblico impiego, delimitando e circoscrivendo sia i requisiti di ammissibilità ad un concorso che i compiti di verifica affidati all’amministrazione, non prevedendo deroghe o gradi di flessibilità compatibili con le verifiche sopra descritte.

In tale contesto, un Dirigente pubblico dovrà necessariamente affidarsi a controlli “compensativi” (come ad esempio l’accesso al casellario giudiziario) che, rispettando i limiti ed i vincoli previsti dalla normativa, garantiscano anche l’applicazione di contromisure in grado di tutelare il patrimonio informativo della propria amministrazione adeguando nel miglior modo possibile principi di carattere generale alla complessa fisionomia dell’apparato pubblico.

In estrema sintesi, pertanto, è possibile affermare che, se nella fase del risk assessment, ossia dell’analisi e dell’individuazione dei rischi, una pubblica amministrazione sia chiamata a fare i conti con l’importanza e la complessità delle proprie funzioni e con le potenziali ricadute sulla collettività (si pensi all’esempio delle abitazioni costruite sul greto di un fiume proposto nella precedente “puntata” ed alle implicazioni anche disastrose che potrebbe insorgere da una errata o superficiale valutazione di tale situazione), nel successivo step del “risk treatment” debba, al contrario, confrontarsi soprattutto con le regole ed i vincoli che in qualche modo rendono ancora più difficoltoso il già arduo compito di difendere un’organizzazione così vasta dalle minacce cibernetiche.

I principi basilari del risk treatment

Dopo aver inquadrato l’ambito di riferimento ed aver esplorato alcuni degli aspetti che contribuiscono a rendere fortemente differente l’applicazione in ambito pubblico di tecniche utilizzate a livello planetario, proviamo a definire i concetti basilari del risk treatment che, mutuando una definizione fornita dall’ENISA, può essere inteso come il processo di selezione e implementazione di misure finalizzate a ricondurre il rischio al di sotto di una soglia di sicurezza fissata da ogni organizzazione in base ad una molteplicità di fattori esterni (norme, obblighi contrattuali, interessi degli stakeholders) ed interni quali ad esempio la cosiddetta “propensione al rischio”.

Le soluzioni implementative adottate, cui in termini tecnici ci si riferisce con il nome di “controlli”, costituiscono le colonne portanti dell’intero sistema di gestione della sicurezza delle informazioni (ISMS) e conseguentemente rappresentano il “core business” della maggior parte dei framework di sicurezza che, di fatto, forniscono un insieme di contromisure progettate per rispondere, in linea generale, ai rischi di natura informativa comuni a tutte le organizzazioni e che, naturalmente, necessitano di una forte azione di personalizzazione in relazione all’ambiente in cui devono essere adottate.

Sviluppo, approvazione e “sponsorizzazione” del piano d’azione risk treatment

Un passaggio fondamentale del risk treatment è sicuramente rappresentato dalla predisposizione e successiva approvazione da parte della Direzione Generale di un’amministrazione di un piano d’azione strutturato ed organico, nel quale siano presenti, oltre alla descrizione delle modalità implementative delle opzioni prescelte, almeno i seguenti elementi:

  • Azioni, priorità e tempi previsti;
  • Risorse umane ed economiche necessarie;
  • Ruoli e responsabilità di tutte le parti coinvolte nelle azioni proposte;
  • Indicatori di misurazione dell’efficienza e dell’efficacia;
  • Modalità di verifica e monitoraggio.

Un elemento fortemente caratterizzante di un Piano di Azione, in grado di orientarne in maniera decisiva le sorti, è certamente rappresentato dal coinvolgimento, anche nelle fasi iniziali, e soprattutto dalla sponsorizzazione da parte del top management che deve necessariamente imprimere a tutto il processo di gestione del rischio il “crisma” dell’ufficialità con il fine di diffondere, a tutti i livelli dell’organizzazione, la cultura e la predisposizione verso la sicurezza delle informazioni.

A tal proposito, è importante sottolineare come un indicatore universalmente utilizzato per misurare il grado di attenzione prestato verso i rischi di natura informativa è rappresentato dal numero di segnalazioni di eventi anomali o situazioni “borderline” riportate da dipendenti e collaboratori di una determinata realtà aziendale, che, statisticamente, aumentano in situazioni nelle quali l’imprimatur proviene direttamente dai vertici aziendali. Tale aspetto, invero, è ancora più rilevante e determinante in realtà come le pubbliche amministrazioni in cui le gerarchie organizzative continuano ad avere un peso rilevante ed essere improntate a profili di formalità sempre meno riscontrabili in ambiti privati anche di grandi dimensioni.

In particolare, un fattore discriminante che caratterizza sostanzialmente, ancora una volta, gli enti pubblici, rispetto ad altre tipologie di organizzazioni, è rappresentato dal profilo “autoritativo” del top management che, oltre al ruolo di dirigente o legale rappresentante, riveste spesso anche funzioni istituzionali, politiche e di rappresentanza di una collettività che travalica i confini stessi dell’organizzazione. Si pensi, ad esempio, al caso di un sindaco che non può essere semplicemente considerato come il vertice di un’amministrazione comunale perché investito, grazie al mandato ricevuto, di un ruolo ben più ampio e articolato, da cui discendono ulteriori poteri e responsabilità.

Analoga considerazione può essere riproposta per un Dirigente Apicale, quale ad esempio il Direttore Generale dell’INPS o dell’Agenzia delle Entrate, che, pur non assumendo cariche elettive o di tipo politico, deve comunque assumere decisioni in grado di incidere in maniera diretta sulla sfera personale di una vasta platea di individui e cittadini.

Security by design e rischio residuo

Riprendendo un concetto che negli ultimi mesi sta riscuotendo, grazie all’entrata in vigore del Regolamento Generale per la Protezione dei Dati Personali, grande risonanza anche mediatica, è opportuno sottolineare come l’effettiva attuazione delle misure previste dal Piano d’azione, al fine di garantire risultati concreti, debba necessariamente seguire il principio della cosiddetta “security by design, ossia debba puntare ad una profonda integrazione con le attività “ordinarie” svolte a tutti i livelli dell’amministrazione in maniera tale che le contromisure adottate diventino elementi essenziali e connaturati in tutti i contesti organizzativi e non siano, al contrario, considerate sovrastrutture ortogonali se non proprio “ultronee” rispetto al core business di un ente pubblico.

Premettendo, inoltre, che il risk treatment è per sua natura un’attività ciclica e destinata ripetersi nel tempo, è possibile definire quale attività finale del processo la misurazione del cosiddetto “rischio residuo”, ossia delle aree di vulnerabilità ancora potenzialmente attaccabili in seguito all’applicazione di tutti i controlli di sicurezza.

In merito a tale elemento, è necessario effettuare due differenti considerazioni in ordine al raggiungimento degli obiettivi prefissati in fase di pianificazione delle azioni di gestione del rischio ed alla propensione verso il miglioramento continuo dell’intero processo, che richiede di ripartire iterativamente dai risultati ottenuti nelle sessioni precedenti. In prima battuta, è fondamentale sottolineare come, non essendo possibile, nemmeno idealmente, eliminare ogni area di rischio, la valutazione della situazione “ex post”, ossia successiva all’applicazione di tutte le contromisure previste dal Piano di azione, debba essere effettuata in rapporto alle soglie accettabili stabilite, a priori, dal top management.

In sostanza, è possibile affermare che l’intero processo di risk treatment può essere considerato concluso con successo se il valore del rischio residuo sia inferiore ai livelli massimi “sopportabili” da una determinata organizzazione, ossia risulti compatibile con il cosiddetto “risk appetite” che, in estrema sintesi, può essere definito come la propensione al rischio fissata, direttamente o implicitamente, dai vertici aziendali.

Soluzioni implementative

Dopo aver ripercorso, seppur sinteticamente, i principali aspetti teorici del risk treatment ed aver provato a declinare nel contesto della pubblica amministrazione alcune nozioni di carattere basilare, è necessario, ora, affrontare la tematica da un punto di vista maggiormente operativo, attraverso anche la proposizione di alcuni strumenti e metodologie applicabili a differenti contesti organizzativi.

Proseguendo il cammino iniziato nella fase di identificazione dei rischi, anche l’implementazione del processo di risk treatment utilizzerà quale base di partenza il framework VERA (Very Easy Risk Assessment), elaborato da Cesare Gallotti, che, come anticipato in precedenza, si presta, grazie anche alle continue evoluzioni proposte dal suo autore ed al tipo di licenza aperta con cui viene distribuita, ad essere riadattato alle esigenze di singole realtà professionali pubbliche e private.

La dichiarazione di applicabilità

Il primo passo del percorso è rappresentato dalla valutazione delle modalità implementative dei singoli controlli proposti dalla ISO/IEC 27001, con particolare riferimento a quanto descritto nell’Allegato A, che fornisce un insieme di contromisure “preconfezionate” in grado di rispondere, se implementate e soprattutto adeguate in maniera opportuna rispetto al contesto di riferimento, ai principali rischi emersi dalla precedente fase di assessment.

I principi contenuti nella norma rappresentano, infatti, un valido modello di riferimento in grado di guidare le organizzazioni nel complesso percorso di adozione di un sistema di gestione della sicurezza delle informazioni efficace, efficiente ed allineato con quelle che sono ritenute le migliori pratiche universalmente adottate.

Le attività appena descritte, inoltre, permettono anche di preparare e redigere la cosiddetta “Dichiarazione di Applicabilità” (o Statement of Applicability) prevista dallo standard che, in estrema sintesi, rappresenta lo strumento attraverso il quale ogni organizzazione esplicita sia la compatibilità dei controlli con la propria realtà organizzativa sia, in maniera sommaria, le modalità operative con le quali i diversi punti sono effettivamente concretizzati, consentendo di ottenere una visione olistica dell’intero processo di gestione della sicurezza.

Come avremo modo di vedere in dettaglio successivamente, il livello di maturità raggiunto da un’amministrazione nella realizzazione delle attività correlate ad un controllo consentirà di determinare la qualità della risposta alle diverse minacce e, conseguentemente, anche il rischio residuo.

In particolare, mutuando la seguente scala di valori proposta dal VERA, i controlli possono essere classificati in 4 macro-aree:

LivelloLinee guida per la valutazione
1- InadeguatoIl controllo non è previsto o è assente nella pratica.
2- Parzialmente adeguatoIl controllo è applicato sporadicamente o in modo completamente inadeguato, non garantendone quindi l’efficacia.
3- Quasi adeguatoSono state rilevate mancanze al controllo, soprattutto di tipo formale (per esempio, inesattezze nelle procedure relative).
4- AdeguatoIl controllo è sistematicamente applicato e non sono state rilevate inadeguatezze al controllo.

Si riporta di seguito, a titolo esemplificativo, uno stralcio della tabella in cui ad ogni contromisura è correlata una valutazione, una descrizione, seppur sommaria, delle attività implementate e l’eventuale giustificazione nel caso in cui un determinato controllo non sia considerato attinente o applicabile al proprio contesto:

ControlloValutazione controlloAttività ImplementataGiustificazione per mancata implementazione
A.05.01.01 Politiche per la sicurezza delle informazioni4Redazione ed approvazione di un documento di Security Policyn.a.
A.05.01.02 Riesame delle politiche per la sicurezza delle informazioni4Le politiche di sicurezza sono riviste con cadenza almeno annuale all’interno del Comitato per la Sicurezza delle Informazionin.a.
A.07.02.01 Responsabilità della direzione4I compiti e le responsabilità della Direzione sono esplicitati nel Documento di Security Policyn.a.
A.07.02.02 Consapevolezza, istruzione, formazione e addestramento sulla sicurezza delle informazioni4Con cadenza almeno annuale, il Comitato per la sicurezza delle informazioni approva un Piano di formazione e sensibilizzazione del personalen.a.
A.08.02.02 Etichettatura delle informazioni3Tale aspetto è trattato nel Documento di “Classificazione delle informazioni”n.a.

Una volta che la precedente attività di analisi è stata completata, è necessario procedere, come anticipato, con l’associazione tra i controlli valutati nel passo precedente ed i rischi intercettati e mitigati attraverso la loro implementazione.

Anche in questo caso, sarà utilizzata una tabella di correlazione mutuata dal VERA che permette di calcolare, in maniera semplice e diretta, il rischio residuo in rapporto alle soglie identificate dal Top Management, alla robustezza di ogni contromisura e alle vulnerabilità presenti nella nostra infrastruttura di sicurezza.

Invero, il quadro sinottico, di cui è riportata, a titolo esemplificativo, una porzione, rappresenta un importante strumento gestionale e strategico in quanto permette di comprendere in maniera semplice e diretta gli ambiti di intervento e le minacce direttamente affrontate da un controllo della norma ISO/IEC 27001 che, se applicato in maniera automatica e non connessa al contesto organizzativo di riferimento, rischia di perdere gran parte del proprio significato ed essere, conseguentemente, percepito da tutto il personale come un onere o una sovrastruttura inutile se non addirittura controproducente.

Danni fisici
MinacciaIncendioAllagamentoPolvere, corrosione, congelamento.Distruzione di strumentazione da parte di persone malintenzionateAttacchi (bombe, terroristi)
Valore11222
ParametriIDDDDD
ControlloVal. contr.Vulnerab.Base di rischio ->4,004,008,008,008,00
A.05.01.01 Politiche per la sicurezza delle informazioni414,004,008,008,008,00
A.05.01.02 Riesame delle politiche per la sicurezza delle informazioni414,004,008,008,008,00
A.06.01.01 Ruoli e responsabilità per la sicurezza delle informazioni414,004,008,008,008,00
A.06.01.02 Separazione dei compiti418,00
A.06.01.03 Contatti con le autorità414,008,008,00
A.06.01.04 Contatti con gruppi specialistici414,008,008,00
A.06.01.05 Sicurezza delle informazioni nella gestione dei progetti328,008,0016,0016,0016,00
A.06.02.01 Politica per i dispositivi portatili418,00
A.06.02.02 Telelavoro418,00
A.07.01.01 Screening414,008,008,00
A.07.01.02 Termini e condizioni di impiego414,008,00
A.07.02.01 Responsabilità della direzione414,008,00

E’ necessario precisare come i valori numerici contenuti nella tabella rappresentino il risultato quantitativo di operazioni algebriche derivanti da operazioni descritte in precedenza. In particolare, il livello di rischio determinato dall’incrocio di una minaccia ed un controllo è derivato dalla moltiplicazione della vulnerabilità della contromisura (intesa come l’inverso della robustezza valutata in sede di “Applicazione di Applicabilità”) per la base di rischio associata alla minaccia intercettata (a sua volta calcolata durata la fase di “risk assessment”).

E’ del tutto evidente come, in maniera perfettamente analoga, sia possibile calcolare anche il cosiddetto “rischio inerente”, ossia il livello fisiologicamente presente nel nostro sistema prima dell’implementazione dei presidi di sicurezza.

Dopo aver effettuato entrambe le misurazioni, infine, si avrà la possibilità di valutare l’effetto concreto delle contromisure effettivamente poste in essere, confrontando tra loro i valori iniziali e quelli finali dei rischi (ossia, utilizzando le definizioni tecniche, il rischio inerente con quello residuo), secondo quanto descritto nella tabella di seguito riportata.

ControlloTipo controlloAnalisiAzioniRischio inerenteRischio Residuo
A.06.01.05 Sicurezza delle informazioni nella gestione dei progettiSICUREZZAIl rischio è accettabileRevisione del controllo entro ________60,0024,00
A.08.02.02 Etichettatura delle informazioniSICUREZZAIl rischio è accettabileRevisione del controllo entro ________60,0024,00
A.11.01.01 Perimetro di sicurezza fisicaSICUREZZAIl rischio è accettabileRevisione del controllo entro ________40,0016,00

Alla luce di quanto finora esposto, è possibile affermare come un primo fondamentale risultato del risk-treatment, eseguito secondo la metodologia proposta, sarà quello di ottenere una valutazione quantitativa dell’adeguatezza delle soluzioni già adottate o progettate in relazione alla postura di rischio della propria organizzazione e, conseguentemente, di guidare le successive attività di gestione della sicurezza delle informazioni.

Una volta definite le aree in cui è necessario focalizzare maggiormente la propria attenzione, infatti, sarà possibile implementare le ulteriori macro-fasi del processo di costruzione di un adeguato sistema di gestione della sicurezza delle informazioni, che saranno descritte nei prossimi interventi e possono essere così classificate:

  • Implementazione dei controlli di primo livello: rappresentano tutte le contromisure direttamente finalizzate a garantire la mitigazione di un rischio attraverso azioni in grado di ridurre la probabilità di accadimento (controlli preventivi), l’impatto in caso di concretizzazione di una minaccia (controlli correttivi) o di rafforzare l’azione di un altro presidio (controlli compensativi); si pensi, ad esempio, alle procedure di backup, di sensibilizzazione del personale, di gestione dei cambiamenti, etc.
  • Progettazione e costruzione dei sistemi di secondo livello: si tratta di processi che devono innescarsi ogni qualvolta i controlli primari non riescono, per qualsiasi motivazione, a raggiungere l’obiettivo per il quale sono stati creati. Rientrano in tale ambito, tra le altre, le procedure di Incident Management, il cui obiettivo principe è quello di gestire, e dove possibile tamponare, gli eventuali incidenti di sicurezza, o di Problem Management, il cui fine invece è quello di ricercare e risolvere le cause principali di incidenti per evitare la loro reiterazione nel tempo;
  • Ideazione ed attuazione delle procedure di emergenza: nel caso in cui i controlli di primo e secondo livello non riescano a riportare la situazione in uno stato di controllo, si rende necessario attivare processi di natura eccezionale, che permettano la prosecuzione delle attività vitali di un’amministrazione sia dal punto di vista organizzativo ed amministrativo (la cosiddetta Business Continuity) che da quello informatico (Il “Disaster Recovery”).

Conclusioni

E’ possibile affermare che il risk-treatment rappresenti, all’interno dell’articolato percorso di implementazione di un sistema di gestione della sicurezza delle informazioni, una vera e propria pietra miliare perché avvia, di fatto, la costruzione e la messa in esercizio di presidi e contromisure finalizzati a proteggere il patrimonio informativo dalle vulnerabilità interne e dalle minacce esterne, sempre più pericolose, complesse ed in grado di provocare danni anche irreparabili se non affrontate in maniera opportuna.

Per le metodologie implementative, come quella proposta nella nostra road-map, basate sullo standard ISO/IEC 27001, inoltre, le attività condotte in questa fase permettono anche di valutare per la prima volta in maniera organica e quantitativa il livello di maturità, affidabilità ed applicabilità delle contromisure e dei controlli previsti dalla norma che, come abbiamo avuto modo di approfondire in precedenza, devono comunque essere adeguatamente declinati e personalizzati in base al contesto di riferimento ed allo stesso tempo devono essere selezionati, attraverso la cosiddetta “Dichiarazione di Applicabilità”, in base alla loro effettiva utilità ed efficacia nella realtà organizzativa di ogni singola amministrazione.

In continuità con quanto analizzato nelle precedenti “puntate”, infine, anche la discussione sul risk-treatment conferma la presenza di quei tratti estremamente peculiari che rendono ancora più complesso, laborioso e per nulla lineare il compito di proteggere organizzazioni di natura pubblica, che, accanto alle caratteristiche comuni di ogni contesto aziendale, presentano sfaccettature e sfumature difficilmente rinvenibili in altri ambienti e che, pertanto, richiedono gradi di introspezione, personalizzazione e adeguamento delle tecniche conosciute tali da condurre alla creazione di modelli di riferimento completamente nuovi e profondamente differenti rispetto alle best practice adottate in ambito internazionale.

WHITEPAPER
Una guida completa per le nuove direttive sull'affidamento degli appalti del PNRR
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati