-5- Qualche strumento del PTI per i DPO. CYBERSICUREZZA, CAP 7 PTIPA
iniziamo a discutere del CAP7.PA.20 Ob(RA) 7.6 “Contrastare il rischio cyber attraverso attività di supporto proattivo alla PA”
Questo il link di riferimento al PIANO
Piano triennale ICT | Sicurezza informatica (italia.it)
Gli strumenti (la totalità degli strumenti ed il supporto nel mio PTIPA) sono rappresentati da un’iscrizione da fare al CERT AGID utilizzando questo modulo
Un altro strumento per la sicurezza (che i miei clienti utilizzano dal 2020) è il Cyber Risk Management di AGID (poi sarà ACN).
Al momento è in manutenzione ma chi già si è abilitato puo utilizzarlo, dopo vi allego un breve video.
Voglio ancora evidenziare l’entrata in vigore della legge 90/2024 “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici.”.
Sembrerebbe interessare solo le PA più strutturate, in realtà le modalità operative pubblicate dall’ACN pur non obbligando tutte le PA alla segnalazione ne raccomandano l’uso per una difesa pià completa del patrimonio dei dati dello STATO ITALIANO.
La guida ACN alla NOTIFICA divide la procedura in :
SOGGETTI PSNC – Perimetro di Sicurezza Nazionale CYBERNETICA
SOGGETTI OSE E FSD – OPERATORI SERVIZI ESSENZIALI e FORNITORI SERVIZI DIGITALI
OPERATORI TELCO Telecomunicazioni
SOGGETTI LEGGE N. 90/2024 (l’elenco delle PA interessate lo morivamo nell’articolo 1 della L.90/2024)
ULTERIORI SOGGETTI (Pubbliche Amministrazioni non ricomprese nella Legge n. 90/2024, Piccole e Medie Imprese, privati cittadini che non operano in settori critici e non sono vincolati da obbligo normativo di notifica incidente cyber )
Come vedete per gli ulteriori soggetti non vi è nessun obbligo ma vediamo subito cosa dice la guida alla notificazione ACN
Vi lascio anche il flusso delle notifiche (segnalazioni)
E’ importante sottolineare che le segnalazioni ( dopo vediamo la modalità) vanno fate tenendo conto di un glossario piuttosto tecnico (che i DPO dovrebbero conoscere). Il glossario è quello contenuto nell’allegato A del DL 105/2019, allego
A mio avviso basta l’identificativo ICP-C-15 per rendersi conto della quotidianità di taluni attacchi che andrebbero segnalati.
Invece per gran parte degli altri indicatori basterebbe aver utilizzato gli strumenti della DETERMINA AGID 220/2020 , vi lascio un vecchio approfondimento.
ed anche la determinazione 220/2020 AGID.
PER LE SEGNALAZIONI :
https://segnalazioni.acn.gov.it
poi si compila il FORM
E’ anche possibile inviare materiale sospetto con questa procedura
“È possibile inviare un malware o una mail malevola (in formato .msg o .eml) utilizzando la casella infected@csirt.gov.it. I contenuti inviati dovranno essere inclusi in un archivio nel formato zip protetto con la password “infectedacn”.”
Un altro aspetto per la gestione della sicurezza e della riservatezza è quello del WEB SCRAPING
non mi dilungherò ma invito a leggere il provvedimento del Maggio 2024 del GDPD, in particolare il punto 4 sui presidi che invito a diffondere (anche contrattualmente ) ai fornitori di siti web.
Ora vi lascio un breve video sul TOOL di CYBERSICUREZZA ACN
VINCENZO DE PRISCO
Professore a Contratto Università PARTHENOPE di NAPOLI in AGENDA DIGITALE PA
Docente MASTER UNIVERSITA’ della BASILICATA in Contratti PUBBLICI.
Membro dell’AI PACT dell’UNIONE EUROPEA
PER WORKSHOP, ASSISTENZA,
FORMAZIONE e SUPPORTO
dott.ssa Carotenuto Elisa
elisa@ca-campania.com
cell. 3382797858