Gestione del rischio cyber

NIS2 e regolamento DORA: cosa devono fare le aziende per allinearsi alle nuove norme UE

Nonostante il cyber framework europeo sia ancora in fase embrionale è fondamentale che le aziende, pubbliche e private, interessate dall’applicazione delle normative NIS2 e DORA prendano seriamente in considerazione l’adozione di misure tecnico-organizzative adeguate a mitigare i rischi. Ecco come fare

Pubblicato il 02 Mar 2023

Tommaso Mauri

Dipartimento Data Protection Rödl & Partner

ucraina difesa cyber

Alla luce dell’entrata in vigore della Direttiva (UE) 2022/2555 (di seguito, “Direttiva NIS 2”) e del Digital Operational Resilience Act (di seguito, “Regolamento DORA”), emergono nuovi e importanti adempimenti legati alla gestione degli eventi informatici.

In ragione, peraltro, della crescente ondata di minacce informatiche che mirano a destabilizzare le attività di produzione e di fornitura di servizi essenziali per il pubblico – in particolare – nel settore finanziario e in quelli strategicamente rilevanti, occorre che le aziende impattate da tali eventi siano al corrente delle misure che si rende necessario implementare, sia a livello di governance che a livello operativo.

La Cyber security che verrà: l’evoluzione normativa in Italia e Ue

Più specificatamente, i soggetti interessati dall’applicazione della Direttiva NIS 2 e dal Regolamento DORA sono chiamati a sposare un approccio di gestione fondato sulla identificazione, valutazione e mitigazione del rischio cyber, ossia di tutti quegli eventi informatici in grado potenzialmente di produrre conseguenze catastrofiche per il core business aziendale.

Esaminiamo allora gli adempimenti necessari per rendere resilienti le società interessate dall’applicazione della Direttiva NIS 2 e del Regolamento DORA, con un particolare focus mirato all’esposizione dell’attività di gestione del rischio quale paradigma di governance e di prevenzione degli eventi informatici distruttivi.

Il nuovo framework Ue sulla sicurezza informatica

Con l’entrata in vigore della Direttiva NIS 2 e del Regolamento DORA, il legislatore europeo ha introdotto un vero e proprio framework di normative a disciplina della sicurezza informatica dei soggetti operanti nel mercato unico, fornendo importanti indicazioni sulla strategia che l’Unione Europea ha inteso adottare per far fronte alla sempre più crescente ondata di attacchi e incidenti di natura informatica. In particolare, la novità maggiormente significativa è rappresentata dall’innovativo approccio di rischio introdotto per la gestione e mitigazione degli incidenti informatici, sia interni all’organizzazione che presso i fornitori strategici, in grado di minacciare la sicurezza delle attività di business condotte.

Seppur individuati nel contesto di una pianificazione strategica comune, la Direttiva NIS2 e il Regolamento DORA rimangono pur sempre due impianti normativi differenti, sia per la platea di soggetti alla quale si rivolgono che per la portata applicativa dei rispettivi contenuti.

A tal proposito, partendo dal Regolamento DORA, è utile in principio ricordare come lo stesso stabilisca requisiti uniformi per la sicurezza delle reti e dei sistemi informativi delle imprese e delle organizzazioni che operano nel settore finanziario e assicurativo, in particolare, nonché delle terze parti critiche che forniscono loro servizi relativi alle tecnologie dell’informazione e della comunicazione (le c.d. tecnologie ICT), come piattaforme Cloud o servizi di analisi dei dati. L’obiettivo principale della nuova disciplina è quello di creare un quadro normativo vincolante in relazione alla resilienza operativa digitale che le imprese del settore finanziario e non devono garantire per poter essere in grado di resistere e, soprattutto, reagire alle minacce connesse alla sicurezza informatica.

Al contrario, la Direttiva NIS 2 – che aggiorna la Direttiva (UE) 2016/1148 (di seguito, “Direttiva NIS 1”), ossia il primo atto legislativo a livello europeo in materia di sicurezza informatica – introduce importanti misure in ambito di gestione dei rischi legati al tema della cybersecurity, un comparto sanzionatorio circoscritto e puntuale e obblighi di segnalazione degli incidenti informatici “significativi” per i soggetti strategici operanti nei settori individuati. Ed è proprio il numero e la tipologia di attori coinvolti ad essere stato ampliato dalla Direttiva NIS2: non più solo le aziende operanti nei settori altamente critici individuati in principio dalla Direttiva NIS1 – tra i quali si ricordano ad esempio trasporti, banche e infrastrutture del mercato finanziario – ma anche soggetti parimenti qualificati come critici ma operanti in ambiti differenti, quali ad esempio sono i fornitori digitali (mercati online, motori di ricerca online, piattaforme di servizi di social networking), i gestori di rifiuti, i servizi postali e le organizzazioni di ricerca.

Fatta questa doverosa premessa di contesto, vediamo insieme nel dettaglio quali implicazioni comporta l’innovativo approccio risk based introdotto dalla Direttiva NIS2 e dal Regolamento DORA per la gestione e prevenzione del rischio cyber.

EU Cyber Resilience Act

EU Cyber Resilience Act

Guarda questo video su YouTube

Un approccio di gestione fondato sul rischio

Con il termine “rischio” si suole fare riferimento ad un evento in grado di generare un danno, una perdita o un ostacolo. Tradizionalmente, è altresì indicato come il prodotto di due fattori: la probabilità di accadimento dell’evento e la gravità degli impatti che potrebbero essere idonei a determinare un’interruzione o un arresto definitivo delle operazioni di business condotte.

Così individuato, il concetto di rischio porta con sé tre attributi principali: una causa, un evento e un effetto. La capacità di un’azienda di saper valutare e gestire la probabilità di occorrenza di un evento non desiderato consente di tracciare un piano di azione e prevenzione idoneo a garantire scelte appropriate nel raggiungimento degli obiettivi desiderati.

Il concetto di multirischio

Nel contesto dell’attività di contrasto delle minacce informatiche, il concetto di multirischio è al centro della strategia europea dei prossimi anni. La crescente ondata di attacchi cyber alle imprese europee erogatrici di servizi essenziali ha imposto, infatti, un intervento normativo di supporto nell’adozione di un’infrastruttura di difesa e di prevenzione in grado di tutelare i beni e i servizi forniti, in particolare per quei servizi di natura critica e essenziale. L’adozione di una mentalità di prevenzione, gestione e mitigazione del rischio consente – infatti – di valutare la probabilità di accadimento degli incidenti e degli attacchi informatici, individuando contestualmente i potenziali impatti che l’infrastruttura societaria potrebbe subire e le ripercussioni sull’attività di business condotta. Tale fattore è fondamentale non solo per improntare un’attività difensiva adeguata, ma anche – e soprattutto – per permettere alle entità interessate di reagire in maniera appropriata.

E l’attività di valutazione e gestione del rischio appena illustrata deve essere portata avanti non solo con riguardo alla singola realtà produttiva delle aziende interessate, ma anche in riferimento ai prodotti e servizi forniti da terze parti. Ciò comporta l’esigenza di tenere conto anche delle misure di gestione del rischio implementate dai propri fornitori e, a livello di governance, di monitorare in maniera adeguata la propria supply chain, prevedendo verifiche costanti e puntuali sui ciascuna terza parte coinvolta.

Le cinque fasi del processo di valutazione, gestione e mitigazione del rischio informatico

Questa considerazione a carattere generale permette di introdurre la complessa attività di valutazione, gestione e mitigazione del rischio informatico. Tale processo è infatti composto da cinque fasi principali:

  • una prima fase di individuazione degli eventi cyber potenzialmente disastrosi, che andranno a rappresentate il contesto oggetto di valutazione;
  • una seconda fase di valutazione degli eventi cyber individuati per determinare il livello di rischio, attraverso il calcolo delle probabilità di accadimento dell’evento e la gravità di impatto sulle attività di business;
  • una terza fase di predisposizione e pianificazione delle misure di prevenzione e protezione;
  • una quarta fase di implementazione delle misure di prevenzione e protezione individuate;
  • una quinta e ultima fase di monitoraggio periodico e revisione delle misure adottate.

Individuazione degli eventi informatici impattanti

Approfondendo nel dettaglio ciascuna delle fase appena individuate, si può evidenziare in primis l’importanza dell’operazione di individuazione degli eventi informatici impattanti, quale conditio sine qua non dell’intero processo di gestione del rischio: difatti, senza una corretta ed efficiente mappatura delle minacce, degli incidenti e degli eventi indesiderati, nessun soggetto giuridico sarebbe in grado di implementare un sistema in grado di poter prevenire i pericoli e, di conseguenza, intervenire per mitigarli. A mero titolo esemplificativo, si possono menzionare sia scenari ove la minaccia proviene da un attacco informatico esterno di natura malevola che scenari ove l’evento è prodotto da errori umani: si pensi banalmente ad un mancato rilascio di una patch di aggiornamento del sistema informatico che, se sfruttata da una terza parte malintenzionata, potrebbe rappresentare una vulnerabilità in grado di compromettere la sicurezza dei dati. Peraltro, occorre tenere traccia anche di quegli eventi che potenzialmente possano essere originati internamente all’azienda: si pensi al caso del dipendente malintenzionato (il c.d. insider) che, per rivalsa nei confronti del proprio datore di lavoro, estrae abusivamente una copia dei dati aziendali per rivenderli ad un soggetto competitor o ad una terza parte malintenzionata.

Determinazione del livello di rischio

Una volta consolidato il perimetro del processo di risk assessment, occorre procedere con la determinazione del livello di rischio. Quest’ultimo è dato dal prodotto tra la probabilità di accadimento dell’evento e la gravità dell’impatto, due valori che tendenzialmente possono essere espressi attraverso una scala numerica o qualitativa. Nel primo caso, ad esempio, la probabilità di accadimento dell’evento e la gravità dell’impatto può essere rappresentata da una progressione numerica dal valore di 1 al valore di 5, alla luce della minore o maggiore probabilità e gravità dell’evento. Nel secondo caso, invece, la probabilità di accadimento e la gravità dell’impatto possono essere espresse applicando una scala di valutazione qualitativa. Pertanto, in relazione al criterio della probabilità potremmo avere eventi:

  • estremamente improbabili;
  • improbabili;
  • possibili;
  • probabili;
  • molto probabili.

Mentre, a livello di gravità, potremmo avere eventi ad impatto:

  • molto basso;
  • basso;
  • medio:
  • alto;
  • molto alto.

A seconda del metodo di calcolo e dei valori prodotti, si ottiene quindi il c.d. indice di rischio, che rappresenta l’unità numerica a fronte della quale occorre applicare le misure di mitigazione opportune.

Tale operazione può essere inquadrata a cavallo tra la fase di pianificazione e la fase di implementazione delle misure di mitigazione, all’esito delle quali si ottiene l’indice di priorità di rischio del singolo evento.

Pianificazione delle misure di prevenzione o di protezione

A seconda delle circostanze, le misure di mitigazione possono distinguersi in misure di prevenzione o di protezione: tale distinzione è determinata dall’approccio metodologico adottato dall’azienda. Infatti, si parlerà di misure di prevenzione laddove l’azienda adotti una mentalità proattiva nell’implementazione delle misure adeguate a prevenire, e quindi impedire, il verificarsi dell’evento; al contrario, laddove l’azienda non abbia intrapreso un percorso di questo tipo o, alternativamente, laddove non sia stato possibile impedire il verificarsi dell’evento, si assisterà alla necessaria applicazione di misure reattive per impedire il promanarsi di conseguenze maggiormente dannose.

Implementazione delle misure di prevenzione e protezione individuate

Nel contesto appena delineato, è ad esempio caldamente suggerito alle imprese interessate di dotarsi di adeguati piani di Disaster Recovery e di Business Continuity, essendo tali accorgimenti fondamentali per garantire la prosecuzione dell’attività di business laddove si verifichi un evento in grado di porre in arresto o, nei casi più estremi, interrompere definitivamente la stessa. In merito, si avrà cura di approfondire questo tema nella righe che seguono.

Monitoraggio periodico e revisione delle misure adottate

Infine, a fronte delle misure di remediation implementate, occorre garantire un costante e ciclico monitoraggio. Tale attività di test e verifica periodica consente infatti di mantenere ciclicamente adeguate le misure implementate, a fronte dei mutamenti organizzativi e operativi che inevitabilmente l’azienda affronta nel corso degli anni. Peraltro, il processo di monitoraggio diventa a maggior ragione strategico in un periodo storico, quale è quelle contemporaneo, ove il progresso tecnologico implica un aggiornamento continuo degli strumenti tecnologici a disposizione delle aziende.

Suggerimenti operativi per la fase di mitigazione del rischio

A livello operativo, durante la fase di mitigazione del rischio, alle imprese interessate è richiesta l’adozione di una serie di misure tecnico-organizzative per rendere sicuro il proprio perimetro informatico.

In particolare, laddove l’incidente informatico comportasse impatti di natura disastrosa – a fronte della valutazione svolta per la determinazione del livello di rischio – il soggetto colpito dovrebbe disporre di un’efficiente sistema di continuità operativa (la c.d. Business Continuity) e di una procedura idonea a gestire la situazione di emergenza e l’eventuale ripristino dei sistemi, dei dati e delle infrastrutture (il c.d. Disaster Recovery). Nel primo caso, per stabilire i processi in grado di garantire la continuità aziendale necessaria, occorre senz’altro:

  • effettuare un’analisi di impatto sull’attività di business (la c.d. Business Impact Analysis, o BIA), per determinare i tempi massimi di inoperatività che l’organizzazione ritiene accettabili;
  • valutare il rischio legato al possibile verificarsi di un’indisponibilità parziale o totale dei servizi tecnologici, della sede o degli uffici, e dei fornitori;
  • definire gli obiettivi e le strategie per il ripristino della normale attività, ossia nella specifico: (i) il recovery time objective (RTO), corrispondente alla durata massima – prevista o tollerata – necessaria a ripristinare le attività o i servizi erogati; (ii) il recovery point objective (RPO), corrispondente alla perdita massima di dati prevista o tollerabile; il minimum business continuity objective (MBCO), corrispondente al numero minimo di risorse da impiegare durante la fase di emergenza (come, ad esempio, l’indicazione del numero minimo di server utilizzabili e il personale necessario per far fronte alla problematica).

In merito al Disaster Recovery, la procedura che ciascun soggetto dovrebbe adottare internamente deve essere in grado di riportare tutto ciò che deve essere implementato da un punto di vista tecnico per garantire il ripristino dei servizi offerti, da un punto di vista sia di connettività che di sistemi. In particolare, sarà necessario prevedere un:

  • Backup site, ossia un sito contenente i soli backup dei dati e dei sistemi;
  • Cold site, ossia un sito con disponibilità di connettività ed energia in grado di poter ospitare i sistemi laddove necessario;
  • Warm site, ossia un sito ove vengono conservati i backup e i sistemi già pre-configurati (che occorrerà attivare e riallineare quando necessario);
  • Hot site, ossia un sito ove si trovano copie dei sistemi in produzione, soggette a sincronizzazione periodica;
  • Mirror site, ossia un sito ove si trovano copie e sincronizzazioni immediate di dati e sistemi (in parole povere, un sito produttivo speculare a quello principale utilizzato dall’azienda).

Le misure di cifratura applicabili

Per quanto concerne le azioni di mitigazione idonee a tutelare la segretezza e la confidenzialità dei dati oggetto di business, occorre soffermarsi sulle misure di cifratura applicabili. Queste ultime infatti, se adottate, possono essere in grado di attenuare la minaccia legata ad un accesso non autorizzato ai dati oggetto di trattamento, sia che essi siano a riposo (perché, ad esempio, conservati in un database o nel desktop del singolo device) che in transito (perché, ad esempio, soggetti a comunicazione tra le aree aziendali interne).

Cifratura dei dati a riposo

Per la cifratura dei dati a riposo, di norma vengono utilizzati software come ad esempio BitLocker – su sistemi Windows – o FileVault 2 – su sistema MacOS. Per quanto riguarda, nello specifico, la cifratura da implementare sul singolo database, è bene precisare che la stessa può avvenire sia a livello di file system, sia a livello di singole strutture interne al database stesso (per esempio, a livello di singola cella, di singola colonna o di singola tabella).

Cifratura dei dati in transito

Al contrario, per la cifratura dei dati in transito, si utilizzano tecnologie e protocolli di cifratura specifici. In tal senso, possono essere citati gli esempi più comuni, in particolare:

  • il protocollo HTTPS (per gli accessi web);
  • il protocollo SFTP (Secure FTP per il trasferimento dei file);
  • le VPN over SSH (ossia, connessioni remote sicure tramite Internet);
  • il protocollo WPA2/WPA3 (per Wi-Fi) e Bluetooth (V2.1 o superiori).

Protezione della rete aziendale

In relazione alla protezione della rete aziendale, si parla invece di difesa perimetrale quando l’azienda adotta tecniche di salvaguardia della rete interna capaci di delimitare i punti di contatto con reti esterne o sconosciute.

In tale scenario è possibile l’utilizzo di diverse tecnologie, tra cui si richiamano nel seguito quelle più utilizzate ed efficaci:

  • Firewall, ossia un dispositivo – hardware o software – per la sicurezza della rete che permette di monitorare il traffico in entrata e in uscita utilizzando una serie predefinita di regole di sicurezza. In tal senso, la maggior parte dei firewall utilizza due principali criteri di definizione delle regole, ossia: il Default-deny, rispetto al quale per impostazione predefinita viene permesso solo ciò che viene autorizzato esplicitamente, mentre il resto viene vietato, e (ii) il Default-allow, rispetto al quale per impostazione predefinita viene bloccato solo ciò che viene vietato esplicitamente, mentre il resto viene permesso;
  • DMZ (demilitarized zone o zona demilitarizzata), ossia una rete di computer che funge da “cuscinetto” tra due reti distinte. Tale rete possiede un proprio indirizzo IP e delimita il perimetro di demilitarizzazione attraverso regole di accesso opportunamente definite;
  • VPN (virtual private network), ossia una rete privata virtuale che crea un “tunnel” all’interno del quale avviene lo scambio delle informazioni. Tale tunnel utilizza tecnologie di cifratura che rendono i dati in transito illeggibili.

Protezione degli endpoint

L’adozione di misure tecnico-organizzative adeguate a mitigare il rischio individuato contempla anche la protezione dei c.d. dispositivi endpoint, ossia di tutti quei dispositivi in grado di connettersi alla rete aziendale centrale. Questi, infatti, rappresentano potenziali punti di accesso delle minacce informatiche in grado di compromettere la sicurezza informatica aziendale, e sono molto spesso identificati come l’anello debole della catena. In particolare, esistono diverse soluzioni per garantire la protezione degli endpoint:

  • Piattaforme di protezione degli endpoint (di seguito, “EPP”), che monitorano le minacce conosciute (come sono, ad esempio, i malware tradizionali riconosciuti). A titolo di esempio, si può fare riferimento a: sistemi anti-malware (antivirus e antispam), Host-based Intrusion Detection and Prevention System (di seguito, “IDPS”), e restrizioni a livello di codice mobile;
  • Sistemi di Endpoint Detection and Response (di seguito, “EDR”), ossia tecnologie in grado di monitorare in tempo reale le minacce attinenti alla rete aziendale. Essi si concentrano sull’analisi dei dati e offrono una visibilità end-to-end dell’attività di ogni endpoint presente all’interno dell’infrastruttura aziendale;
  • Soluzioni di Data Loss Prevention (di seguito, “DLP”), ossia tecniche e sistemi in grado di identificare, monitorare e proteggere i dati in uso nella realtà aziendale, i dati in movimento e i dati a riposo, con l’obiettivo di individuare e prevenire l’uso non autorizzato e la trasmissione di informazioni riservate.

I sistemi di sicurezza per riconoscere e respingere un attacco

In tema di misure preventive, la capacità di un’azienda di saper riconoscere e respingere un attacco è il metodo più efficace per proteggere i propri dispositivi ed i propri dati. A tal proposito – già a monte della fase di mitigazione – vengono utilizzati principalmente due sistemi di sicurezza:

  • L’Intrusion Detection System (di seguito, “IDS”), ossia un sistema di rilevamento delle intrusioni che serve ad individuare in anticipo attacchi informatici verso un device o una rete. Gli IDS controllano ed analizzano tutte le attività di rete con l’obiettivo di riconoscere un traffico dati insolito e, conseguentemente, informare l’utente interessato. In questo modo l’utente ha la possibilità di reagire ai tentativi di accesso da parte dell’intruso e bloccare questi attacchi sul nascere;
  • L’Intrusion Prevention System (di seguito, “IPS”), ossia un sistema di prevenzione degli accessi non autorizzati che – a differenza dell’IDS – dopo aver appurato la possibilità di un attacco, attiva immediatamente le misure di sicurezza impostate. In questo modo, si evita che trascorra un intervallo di tempo troppo lungo tra il rilevamento dell’intrusone e l’attuazione delle azioni di remediation. Per fare qualche esempio, sistemi di questo tipo sono utilizzati per prevenire gli attacchi denial-of-service (DoS) e gli attacchi Distributed Denial of Service (DDoS).

La differenza principale tra gli IDS e gli IPS è rappresentata dall’azione di remediation implementata una volta rilevato l’incidente. Infatti:

  • Gli IDS non sono progettati per bloccare gli attacchi e si limitano a monitorare la rete e inviare avvisi agli amministratori di sistema laddove venga rilevata una potenziale minaccia;
  • Gli IPS monitorano gli accessi a una rete IT per scopi di protezione. Questi sistemi sono progettati per monitorare i dati sulle intrusioni non autorizzate e adottano le azioni necessarie per prevenire il verificarsi di un attacco.

Da un punto di vista organizzativo, infine, è bene evidenziare che l’attività di mitigazione del rischio cyber contempla anche l’organizzazione di sessioni formative mirate. In tal senso, al netto degli obblighi che vengono ben evidenziati sia dalla Direttiva NIS2 che dal Regolamento DORA, è importante che ciascuna azienda qualifichi la conoscenza e il comportamento dei propri dipendenti come fattori determinanti nell’attività di prevenzione degli incidenti di sicurezza. A tal proposito, è quantomai di interesse aumentare la sensibilizzazione aziendale per prevenire i rischi causati dagli errori umani più comuni, fra i quali si citano ad esempio le conseguenza malevole legate all’apertura di un file contenuto in una mail di phishing. E tale attività di sensibilizzazione deve essere necessariamente in grado di coinvolgere in maniera concreta anche gli organi apicali, al fine di sottolineare l’importanza strategica della sicurezza e della prevenzione degli eventi informatici indesiderati.

Conclusioni 

Nonostante il cyber framework europeo sia ancora in fase embrionale, dal momento che la Direttiva NIS2 troverà applicazione vincolante a partire dal 18 ottobre 2024 e il Regolamento DORA a partire dal 17 gennaio 2025, è fondamentale che le aziende – pubbliche e private – interessate dall’applicazione delle predette normative prendano seriamente in considerazione l’adozione di misure tecnico-organizzative adeguate a mitigare il rischio di impatto legato agli incidenti cyber, fra le quali rientrano gli esempi appena riportati. Quantomeno, è auspicabile che i soggetti interessati comprendano che l’applicazione di misure efficienti per la tutela della sicurezza informatica aziendale comporta un certo grado di invasività sul piano dei processi e delle procedure interne.

In tal senso, il monito è quello di provvedere a verificare l’applicabilità o meno della Direttiva NIS2 e del Regolamento DORA al proprio contesto operativo, per poi – in caso di esito positivo – aggiornare i propri processi e le proprie procedure interne, sia da un punto di vista organizzativo che informatico, prevedendo in particolare l’adozione di un approccio di risk assessment.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati

  • Supply Chain Act

    Corporate Sustainability Due Diligence Directive (CSDD): cosa devono fare le aziende per allinearsi

    30 Ago 2023

    di Federica Maria Rita Livelli

    Condividi

Prossimo

Corporate Sustainability Due Diligence Directive (CSDD): cosa devono fare le aziende per allinearsi

Articolo 1 di 2