Al via il Piano Triennale 2024-2026 per l’informatica nella PA. Lo comunica l’Agenzia per l’Italia Digitale – AGID la quale si occupa di garantire la realizzazione degli obiettivi dell’Agenda digitale italiana, contribuendo alla diffusione dell’utilizzo delle tecnologie dell’informazione e della comunicazione, onde favorire l’innovazione e la crescita economica del nostro Paese.
Un Piano che diventa come un faro alla guida della digital trasformation tutta all’italiana, e nel farlo getta profonde fondamenta per una vera e propria “rivoluzione amministrativa”, spinta da un’innovazione tecnologica importante.
Ecco che nell’epoca attuale caratterizzata da continui e rapidi cambiamenti socioeconomici, l’adozione di soluzioni tecnologiche (così) avanzate e l’armonizzazione delle normative digitali diventano come dei diktat cioè degli imperativi categorici e ineludibili per le PA.
Vediamo meglio.
Indice degli argomenti
Piano Triennale 2024-2026, come strumento strategico
L’AgID ha comunicato lo scorso 12 febbraio 2024 di aver pubblicato il Piano Triennale per l’Informatica nella Pubblica Amministrazione (PA) 2024-2026. Si tratta di un documento di programmazione strategica per la PA, frutto di una concertazione tra amministrazioni e istituzioni.
Da una prima lettura, notiamo come vi sia una maggiore attenzione agli aspetti di governance da un lato e dall’altro un approccio orientato ai servizi digitali interoperabili, accessibili e sempre più facili da usare lato utente (cittadini e imprese).
Ricorderemo tutti la prima edizione del 2017-2019, quando il Piano Triennale era agli albori: oggi, con questa nuova edizione, si evolve per diventare sempre di più un documento cardine che delinea strategie e obiettivi di digitalizzazione per la PA.
Ecco che il nuovo Piano si distingue in particolare per avere una struttura rinnovata e un approccio olistico con al centro le esigenze di una Pubblica Amministrazione agile e orientata al futuro, la quale promuove una “reingegnerizzazione dei processi amministrativi secondo il principio once only” ovvero una tantum cioè a dire che richiede, a cittadini e imprese, di fornire alle PA soltanto una volta i propri dati, affinché le PA possano dialogare, scambiandosi, su richiesta dell’utente, dati e documenti ufficiali.
Tra le novità del nuovo Piano 2024-2026 troviamo:
- l’ampliamento e attualizzazione della strategia tramite l’aggiornamento dei principi guida che intende allineare i contenuti agli obiettivi del PNRR con significativa attenzione al tema del monitoraggio a fronte di indicatori revisionati;
- uno spazio ampio per l’intelligenza artificiale tematica centrale con best practice ed esempi sì da fornire indicazioni e principi generali tali da poter essere adottati da tutte le PA;
- l’introduzione di una sezione contenente svariati strumenti operativi che le PA possono prendere a modello di riferimento o di supporto (come, ad esempio, buone pratiche o check-list) per pianificare i propri interventi.
L’intento è chiaro: concorrere allo sviluppo della maturità digitale del Paese nei prossimi tre anni, come ha dichiarato Alessio Butti, Sottosegretario per l’Innovazione tecnologica e la digitalizzazione: “Il nuovo Piano Triennale per l’Informatica nella Pubblica Amministrazione rappresenta un passo cruciale verso la trasformazione digitale del nostro Paese”; e aggiunge “[si tratta di uno] strumento strategico che guida l’evoluzione digitale della PA, definendo obiettivi chiari e risultati attesi”.
Un obiettivo, quindi, virtuoso che risiede peraltro nel “miglioramento dei servizi pubblici e alla realizzazione di un sistema più efficiente e accessibile per tutti i cittadini”.
Il cuore del Piano triennale e gli obiettivi prioritari per le PA
Avanti tutta nella digital trasformation, potremmo dire.
È infatti ciò che emerge nel programma in parola dal quale si ricava quali sono gli obiettivi prioritari per le PA: da un lato l’allineamento con i target del PNRR e, dall’altro, il rafforzamento delle attività di monitoraggio, come anticipato.
Il documento definisce, dunque, un percorso chiaro volto rafforzare la sicurezza informatica delle PA italiane, attraverso la distribuzione di Indicator of Compromise – IoC, indicatori di compromissione che si attivano quando ad esempio si verifica un incidente di web security fornendo le prove (aggregate e caricate sui cd Sistemi Security event and event management – SIEM) dell’avvenuto data breach; in pratica si tratta di “tracce digitali” che rivelano l’incidente/violazione dei dati, permettendo di scoprire quali strumenti sono stati usati per sferrare l’attacco e da chi.
Non solo, ma dal Piano capiamo altresì che la cybersecurity viene rafforzata anche attraverso l’implementazione di strumenti di autovalutazione e il potenziamento delle attività formative. Di qui, l’ambiente digitale più sicuro e resiliente per le PA, in linea con gli obiettivi strategici del Decennio Digitale 2030.
Piano triennale: la cyber security come pilastro fondamentale
Nell’ambito del rafforzamento della sicurezza informatica nelle PA, il Piano Triennale 2024-2026 AGID pone una enfasi particolare sulla distribuzione e l’implementazione degli Indicatori di Compromissione – IoC e sul potenziamento degli strumenti di autovalutazione, di cui si è su anticipato. Si tratta di obiettivi che sono fondamentali per elevare il livello di sicurezza delle PA contro le minacce cyber e migliorare la gestione dei rischi informatici.
Ecco perché il capitolo 7 del Piano in parola dedicato alla sicurezza informatica è di estrema importanza, rappresentando una inderogabile priorità nel contesto dell’espansione digitale in atto.
L’istituzione dell’Agenzia per la Cybersicurezza Nazionale -ACN e l’adozione di una Strategia nazionale di cybersicurezza sottolineano infatti l’impegno dell’Italia nel “rafforzare le difese cyber del Paese, proteggendo l’infrastruttura critica e assicurando la resilienza dei sistemi informatici della PA” si legge nel documento.
Tra la mission e le strategie di implementazione nel Piano si stabiliscono obiettivi chiari e misurabili per la sicurezza informatica, tra cui, come anticipato, la distribuzione, a tutte le PA italiane, degli IoC entro il 2026 nonché il supporto formativo rivolto ad accrescere una consapevolezza delle minacce cyber. Ecco che le linee di azione si articolano in:
- iniziative di monitoraggio proattivo;
- strumenti per l’autovalutazione dei rischi cyber;
- programmi formativi destinati a rafforzare la cultura della cybersecurity all’interno delle PA.
Non solo, una parte importante all’interno di questo Capitolo (7) concerne la “Distribuzione degli Indicatori di Compromissione” di cui all’Obiettivo 7.6 che si focalizza su come “Contrastare il rischio cyber attraverso attività di supporto proattivo alla PA”.
Nella fattispecie, come si legge nel Piano, l’obiettivo RA7.6.1 rubricato appunto “Distribuzione di Indicatori di Compromissione alle PA” notiamo come sono suddivisi i Target 2024 – 2026 in ordine alla Distribuzione degli IoC e in particolare:
- Target 2024 al 30% delle PA.
- Target 2025: distribuzione degli IoC al 60% delle PA.
- Target 2026: distribuzione degli IoC al 100% delle PA.
In pratica, una progressiva escalation nel triennio e da qui l’ambizione di raggiungere una copertura completa entro il 2026. Come anzidetto, gli IoC sono “strumenti vitali per l’identificazione precoce di potenziali minacce”, tali da consentire alle PA di adottare misure preventive e reattive tempestivamente.
Ecco perché un proattivo monitoraggio delle minacce cyber (attraverso la diffusione di IoC) rappresenta una strategia chiave per innalzare il livello di sicurezza informatica all’interno del dominio delle Amministrazioni pubbliche.
Ancora, con l’obiettivo RA7.6.2, il Piano prevede poi “la fornitura di strumenti funzionali all’esecuzione dei piani di autovalutazione dei sistemi esposti”. Si tratta di strumenti, messi a disposizione sul Portale del CERT-AGID, essenziali al fine di consentire alle PA di valutare autonomamente la propria postura di sicurezza e identificare eventuali vulnerabilità. In breve, si tratta di strumenti di autovalutazione per le PA, e l’accesso a tali risorse contribuisce a promuovere un approccio proattivo nella gestione del rischio cyber, rafforzando la resilienza delle infrastrutture informatiche.
Un cenno, da ultimo in questo focus, si impone all’obiettivo RA7.6.3 che mira a fornire un supporto formativo/informativo alle PA, e segnatamente ai cd Responsabili per la Transizione Digitale – RTD, per aumentare il livello di consapevolezza sulle minacce cyber. La formazione è da sempre un pilastro fondamentale per costruire e irrobustire la cultura della sicurezza informatica, dotando i dipendenti di conoscenze necessarie per riconoscere e contrastare in maniera efficace, gli attacchi informatici.
Per ulteriori dettagli in materia di Sicurezza Informatica si rinvia al Piano (sub specie – Capitolo 7).
Piano triennale per l’informatica nella PA: ulteriori punti chiave
Vediamo ancora a volo di uccello, per completezza, alcuni degli ulteriori punti chiave del Piano Triennale 2024-2026.
Risorse e supporto per l’attuazione
Il (finanziamento del) Piano Nazionale di Ripresa e Resilienza – PNRR e dei Fondi Europei 2021-2027 è fondamentale per realizzare gli obiettivi ambiziosi di cui al Piano in disamina.
Gli investimenti, infatti, determineranno un evidente “salto qualitativo per la sicurezza informatica della PA, attraverso l’introduzione di servizi avanzati come l’HyperSOC per il monitoraggio delle vulnerabilità e la piattaforma Syllabus per lo sviluppo delle competenze digitali”.
Implementazione e risorse
Il Piano sottolinea l’importanza di strumenti e servizi nazionali, come l’HyperSOC e il Portale Servizi Agenzia (ACN), per il monitoraggio delle vulnerabilità e il supporto all’identificazione, analisi e mitigazione di minacce e incidenti.
Le risorse e i finanziamenti previsti dal PNRR e dai Fondi per la Strategia nazionale di cyber sicurezza sono essenziali per realizzare questi obiettivi, garantendo alle PA gli strumenti necessari per affrontare le sfide della sicurezza informatica.
Non mancano concrete criticità: il parere dell’esperto
Il Piano Triennale per l’informatica nella pubblica amministrazione è sicuramente un documento virtuoso di programmazione strategica.
Tuttavia, nonostante l’encomiabile sforzo di sintesi sviluppato da AgID in cooperazione con i diversi enti coinvolti, emerge chiaramente come il fatto che questo “corposo documento pubblicato rimanga poco operativo per le pubbliche amministrazioni”, come scrive l’avvocato Andrea Lisi, con il rischio che una ennesima “ipertrofia normativa” in materia di innovazione digitale generi più confusione che altro.
Per quanto, in conclusione, il Piano Triennale 2024-2026 dell’AGID rifletta un impegno concreto verso la digitalizzazione della PA, occorre tuttavia affrontarlo, prosegue l’avvocato Lisi, con concretezza. Opinione del tutto condivisibile.