GUIDA ALLA NORMATIVA

NIS 2 e i requisiti e controlli della ISO/IEC 27001: analisi puntuale e confronto tra le norme



Indirizzo copiato

Con l’imminente recepimento della NIS 2, emerge la questione della sua interazione con la normativa ISO/IEC 27001:2022, standard di riferimento per la gestione della sicurezza delle informazioni. Ecco in che misura la conformità alla ISO può facilitare l’adempimento degli obblighi imposti dalla direttiva UE

Pubblicato il 16 apr 2024

Giuseppe Alverone

Consulente e formatore Privacy. DPO certificato UNI 11697:2017

Monica Perego

Consulente, Formatore Privacy & DPO



Direttiva NIS 2 e ISO 27001

Entro il mese di ottobre dovrà essere recepita nell’ordinamento nazionale la Direttiva (UE) 2022/2555 relativa a “misure per un livello comune elevato di cibersicurezza nell’Unione” (c.d. NIS 2).

Si tratta di una normativa che avrà un impatto importante e che non si limiterà, come noto, a interessare soltanto le organizzazioni vincolate all’applicazione ma anche i fornitori delle stesse.

In questi ultimi mesi si è sviluppato un dibattito significativo attorno a questa norma che introduce[1] l’obbligo a carico di molti player pubblici e privati di adottare un approccio multirischio e multidisciplinare alla cibersicurezza che consenta di affrontare minacce sia digitali che fisiche, includendo misure di protezione dei dati, controllo degli accessi, e gestione della sicurezza delle risorse umane.

Tra i temi oggetto di discussione ci preme fornire il nostro contributo proponendo delle risposte alle seguenti domande:

  1. L’applicazione della ISO/IEC 27001:2022/Amd 1:2024 soddisfa o meno quanto richiesto dalla NIS 2?
  2. Più precisamente, un’azienda certificata da un ente terzo a fronte dello standard già soddisfa quanto richiesto dalla Direttiva?
  3. E invece, un’azienda non certificata cosa dovrebbe fare per rendere i propri processi conformi ai requisiti e agli obblighi della NIS 2?

Premettiamo che non è possibile sciogliere in maniera assoluta i dubbi posti. Ci sono, infatti, diversi fattori che possono condizionarne le risposte, tra i quali il campo di applicazione e la qualità delle misure.

Campo di applicazione

Una delle sfide principali nell’allineamento tra ISO/IEC 27001:2022 e NIS 2 risiede nel campo di applicazione. La ISO/IEC 27001:2022 è flessibile e può essere adattata a specifiche parti dell’organizzazione mentre la NIS 2 potrebbe richiedere una copertura più ampia, inclusi aspetti non necessariamente contemplati dallo standard ISO.

Quindi possiamo già affermare che la certificazione ISO/IEC 27001:2022, sebbene fornisca una solida base per la gestione della sicurezza delle informazioni, non garantisce automaticamente la conformità alla Direttiva NIS 2, a causa di differenze nell’ambito di applicazione e nelle specifiche esigenze di sicurezza.

Le organizzazioni dovrebbero pertanto intraprendere una valutazione approfondita per identificare e colmare eventuali lacune, garantendo così una protezione globale che soddisfi entrambi gli standard.

D’altra parte, un’applicazione rigorosa della ISO/IEC 27001:2022, coincidente con il campo di applicazione della NIS 2, eventualmente supportata da altri controlli mutuati da altre norme e linee guida della famiglia ISO/IEC 27000, potrebbe ampiamente soddisfare quanto richiesto dalla Direttiva.

Ogni scenario richiede comunque un’analisi specifica e mirata.

Qualità delle misure adottate

Anche la qualità delle misure di sicurezza implementate gioca un ruolo rilevante nella determinazione della conformità effettiva alla NIS 2.

Le aziende devono assicurarsi che le loro politiche e procedure di sicurezza non solo soddisfino i criteri dello standard ISO, ma siano anche funzionali ad assolvere gli obblighi spesso più stringenti, stabiliti dalla NIS 2.

Ad esempio, in relazione ad un evento critico che mina la sicurezza delle informazioni, la NIS 2 impone requisiti temporali che non sono vincolati dalla ISO/IEC 27001:2022; esattamente come stabilito dal GDPR (vedi art.35).

Ancora, la responsabilizzazione dei vertici dell’organizzazione sulle misure da porre in atto è più stringente nella Direttiva NIS 2 di quanto non sia imposto dallo standard.

Ora, per allineare e correlare sistematicamente i rispettivi requisiti appare utile far ricorso ad una mappatura integrata che può rivelarsi un ottimo strumento per armonizzare le pratiche aziendali con detti requisiti.

Le corrispondenze tra NIS 2 e ISO IEC 27001:2022

L’analisi delle sinergie tra la Direttiva NIS 2 e la norma ISO IEC 27001:2022 è certamente un’attività molto complessa che può essere semplificata facendo ricorso a strumenti che consentano di comprendere, in una “unica vista”, le aree critiche che richiedono interventi specifici per colmare le lacune di conformità o sicurezza.

Uno strumento adeguato a realizzare tale finalità è la mappatura delle corrispondenze da realizzare attraverso la creazione di apposite tabelle o matrici che:

  1. visualizzino come ogni obbligo/requisito posto dalla NIS2 si correla o si sovrappone ai requisiti della norma ISO IEC 27001;
  2. indichino i punti di attenzione e le ricadute operative.

Si tratta, ovviamente, di un metodo che – è bene precisarlo – riflette solo uno dei possibili approcci per lo studio e l’analisi che non può – e non deve – essere considerato come l’unico punto di vista valido. Pertanto, auspichiamo che vengano condivise proposte di integrazione che possano contribuire a una comprensione più completa e sfaccettata dell’argomento che stiamo trattando.

Non possono, comunque, essere trascurati:

  1. il livello di partenza nella applicazione della ISO/IEC 27001:2022;
  2. lo specifico settore in cui opera l’organizzazione che potrebbe richiedere ulteriori misure mirate.

Concentreremo la nostra attenzione sul Capo IV “Misure di gestione del rischio di cibersicurezza e obblighi di segnalazione” e nello specifico gli artt. 20. 21 e 23 ovvero sulla parte di misure che impattano in modo diretto sulla singola organizzazione.

Le correlazioni non valgono solo per le organizzazioni classificate come “Soggetti essenziali” o “Soggetti importanti” ma anche per i Soggetti che fanno parte della “catena di approvvigionamento” (Vds. art. 21/2 lett. d) della Direttiva NIS 2).

Riferimento NIS 2Requisito – Controllo ISO/IEC 27001:2022Punti di attenzione e ricadute operative
Articolo 20 Gli Stati membri provvedono affinché gli organi di gestione dei soggetti essenziali e importanti approvino le misure di gestione dei rischi di cibersicurezza adottate da tali soggetti per conformarsi all’articolo 21, sovraintendano alla sua attuazione e possano essere ritenuti responsabili di violazione da parte dei soggetti di tale articolo.Requisito 6.1 Analisi dei rischi e delle opportunità. Controllo 5.31 Identificazione dei requisiti legali e statutari. Controllo 6.4 Processo disciplinare.Integrazione nel mansionario/job description delle responsabilità dei membri dell’organo di gestione per la parte relativa alla approvazione ed applicazione delle misure (del resto già prevista in parte per i process owner al requisito 6.1.3).
Gli Stati membri provvedono affinché i membri dell’organo di gestione dei soggetti essenziali e importanti siano tenuti a seguire una formazione e incoraggiano i soggetti essenziali e importanti a offrire periodicamente una formazione analoga ai loro dipendenti, per far sì che questi acquisiscano conoscenze e competenze sufficienti al fine di individuare i rischi e valutare le pratiche di gestione dei rischi di cibersicurezza e il loro impatto sui servizi offerti dal soggetto.Requisito 7.2 Competenza. Requisito 7.4 Consapevolezza. Requisito 6.1 Azioni per affrontare i rischi e le opportunità.Formazione mirata ai membri dell’organo di gestione. Formazione mirata ai soggetti deputati all’individuazione dei rischi, alla definizione delle misure ed alla implementazione delle stesse (da intendersi rispetto alla ISO/IEC 27001:2022 i process owner dei singoli controlli come indicato in requisito 6.1.3). Trattamento dei rischi relativi alla sicurezza delle informazioni e nello specifico nel punto f). Formazione pianificata ad intervalli a tutto il personale in materia di cybersecurity
Tabella – Area critica: “Governance“.

Riferimento NIS 2Requisito – Controllo ISO/IEC 27001:2022Punti di attenzione e ricadute operative
Articolo 21 (paragrafo 1) Gli Stati membri provvedono affinché i soggetti essenziali e importanti adottino misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi e per altri servizi. Tenuto conto delle conoscenze più aggiornate in materia e, se del caso, delle pertinenti norme europee e internazionali, nonché dei costi di attuazione, le misure di cui al primo comma assicurano un livello di sicurezza dei sistemi informatici e di rete adeguato ai rischi esistenti. Nel valutare la proporzionalità di tali misure, si tiene debitamente conto del grado di esposizione del soggetto a rischi, delle dimensioni del soggetto e della probabilità che si verifichino incidenti, nonché della loro gravità, compreso il loro impatto sociale ed economico.Requisito 8.1 Pianificazione e controllo operativi. Requisito 8.2 Valutazione del rischio relativo alla sicurezza delle informazioni. Requisito 8.3 Trattamento del rischio relativi alla sicurezza delle informazioni. Requisito 9.3 Riesame della direzione. Controllo 5.34 Privacy e protezione dei dati personali. Controllo 5.35 Riesame indipendente della sicurezza delle informazioni. Controllo 5.36 Conformità a politiche, regole e standard per la sicurezza delle informazioni.Integrare il Riesame della direzione con un paragrafo dedicato all’applicazione della NIS 2 e con valutazioni in merito al grado di esposizione dell’organizzazione a rischi considerando aspetti quali: le dimensioni, la probabilità che si verifichino incidenti, e la loro gravità, considerando anche l’impatto sociale ed economico, così come la ricaduta sulle attività dell’organizzazione e dei propri clienti (siano altre organizzazioni che destinatari finali).
Tabella – “Gestione dei rischi di cibersicurezza”.
Riferimento NIS 2Requisito – Controllo ISO/IEC 27001:2022Punti di attenzione/ ricadute operative
Articolo 21 (paragrafo 2) 2. Le misure di cui al paragrafo 1 sono basate su un approccio multirischio mirante a proteggere i sistemi informatici e di rete e il loro ambiente fisico da incidenti e comprendono almeno gli elementi seguenti:Applicando la ISO/EC 27001:2022 si adotta già un approccio multirischio.
a) politiche di analisi dei rischi e di sicurezza dei sistemi informaticiRequisito 6.1 Azioni per affrontare i rischi e le opportunità. Controllo 5.1 Politiche per la sicurezza delle informazioni Controllo 5.2 Ruoli e responsabilità per la sicurezza delle informazioni. Controllo 5.35 Riesame indipendente della sicurezza delle informazioni. Controllo 5.36 Conformità a politiche, regole e standard per la sicurezza delle informazioni.Questo si configura come un elemento di carattere “alto” e quindi in capo alla direzione ed ai primi riporti alla Direzione (process owner) a differenza di quelli che seguono che hanno un taglio più operativo, con l’eccezione dell’elemento f) che di nuovo resta in capo ai process owner.
b) gestione degli incidentiRequisito 10.2 Non conformità ed azioni correttive Controllo 5.5 Contatti con autorità. Controlli da 5.24 a 5.29 (ciclo di vita dell’incidente sulla sicurezza delle informazioni).Ulteriori e più specifiche indicazioni per la gestione degli incidenti, nel campo di applicazione della NIS 2, sono riportate nell’art. 23.
c) continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e gestione delle crisi;Controllo 5.7 Threats intelligence. Controllo 8.13 Back-up delle informazioni. Controllo 8.14 Ridondanza delle strutture di elaborazione delle informazioni. Controllo 8.15 Raccolta dei log. Controllo 8.16 Attività di monitoraggio. Controllo 5.29 Sicurezza delle informazioni durante le interruzioni. Controllo 5.30 Prontezza dell’ICT per la continuità operativa (ciclo di vita della business continuity).Le misure definite potrebbero essere ulteriormente rafforzate considerando i requisiti della ISO 22301:2019[2] Security and resilience Business continuity management systems Requirements.
d) sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;Controllo da 5.19 a 5.22 (ciclo di vita dei fornitori). Controllo 5.23 (ciclo di vita del cloud). Controllo 6.6 Accordi di riservatezza e non divulgazione.Integrare i contratti con i fornitori, e da estendere anche ai sub-fornitori, per la componente di sicurezza in modo congruo con quanto previsto dalla NIS 2.
e) sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità;Requisito 7.4 Comunicazione. Requisito 10.2 Non conformità ed azioni correttive. Controllo 5.5 Contatti con autorità. Controllo 5.6 Contatti con gruppi specialistici. Controllo 5.7 Threart intelligence. Controllo 5.18 Diritti di accesso. Controlli della sezione 8 “Controlli tecnologici”I controlli della sezione 8 “Controlli tecnologici” applicabili sono quelli specifici in relazione alle attività svolte dall’organizzazione in relazione al perimetro NIS 2.
f) strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cibersicurezza;Requisito 6.1.2 Valutazione del rischio relativo alla sicurezza delle informazioni. Requisito 6.1.3 Trattamento del rischio relativo alla sicurezza delle informazioni. Requisito 9.1 Monitoraggio, misurazione, analisi e valutazione. Requisito 9.3 Riesame della direzione. Controllo 5.35 Riesame indipendente della sicurezza delle informazioni. Controllo 5.36 Conformità a politiche, regole e standard per la sicurezza delle informazioni.Per integrazioni al riesame della direzione vedi note precedenti. Anche in questo caso si tratta di un elemento in capo ai process owner.
g) pratiche di igiene informatica di base e formazione in materia di cibersicurezza;Requisito 7.2 Competenza. Requisito 7.4 Consapevolezza. Controllo 6.3 Consapevolezza, istruzione, formazione e addestramento sulla sicurezza delle informazioni Controllo 6.6 Accordi di riservatezza e non divulgazione. Controllo 6.8 Segnalazione di eventi relativi alla sicurezza delle informazioni. Per le pratiche di igiene informatica di base si faccia riferimento anche ad altri controlli che presuppongono misure a carico dei collaboratori.Integrare istruzioni per il personale (dipendenti e collaboratori) che ha accesso ai sistemi con indicazioni in merito alle misure di “igiene informatica” a loro carico.
h) politiche e procedure relative all’uso della crittografia e, se del caso, della cifraturaControllo 5.31 Identificazione dei requisiti legali, statutari, regolamentari e contrattuali (sotto controllo “crittografia”). Controllo 8.24 Uso della crittografia.
i) sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi;Controlli della sezione 6 “Controlli sulle persone” (ciclo di vita del dipendente/collaboratore). Controllo 5.16 Gestione dell’identità (ciclo di vita dell’identità). Controllo 5.17 Informazioni di autenticazione. Controllo 5.18 Diritti di accesso. Controllo 8.2 Diritti di accesso privilegiato. Controllo 8.3 Limitazione degli accessi alle informazioni. Controllo 8.5 Autenticazione sicuraQ
j) uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso.Controllo 5.16 Gestione dell’identità. Controllo 5.17 Informazioni di autenticazione. Controllo 5.18 Diritti di accesso. Controllo 8.5 Autenticazione sicura.
Riferimento NIS 2Requisito – Controllo ISO/IEC 27001:2022Punti di attenzione/ ricadute operative
Articolo 21 (paragrafo 3) 3. Gli Stati membri provvedono affinché, nel valutare quali misure di cui al paragrafo 2, lettera d), del presente articolo, siano adeguate, i soggetti tengano conto delle vulnerabilità specifiche per ogni diretto fornitore e fornitore di servizi e della qualità complessiva dei prodotti e delle pratiche di cibersicurezza dei propri fornitori e fornitori di servizi, comprese le loro procedure di sviluppo sicuro. Gli Stati membri provvedono inoltre affinché, nel valutare quali misure di cui al paragrafo 2, lettera d), siano adeguate, i soggetti siano tenuti a tenere conto dei risultati delle valutazioni coordinate dei rischi per la sicurezza delle catene di approvvigionamento critiche effettuate a norma dell’articolo 22, paragrafo 1.Vedi riferimenti come per paragrafo 2, lettera d)d)Anche in questo caso considerare misure che possono rafforzare l’elemento mutuate dalla ISO 22301:2019.
Riferimento NIS 2Requisito – Controllo ISO/IEC 27001:2022Punti di attenzione/ ricadute operative
Articolo 21 (paragrafo 4) 4. Gli Stati membri provvedono affinché, qualora un soggetto constati di non essere conforme alle misure di cui al paragrafo 2, esso adotti, senza indebito ritardo, tutte le misure correttive necessarie, appropriate e proporzionate. [………………………]Requisito 6.2 Obiettivi per la sicurezza delle informazioni e pianificazione per conseguirli. Requisito 9.3 Riesame della direzione Controllo 5.35 Riesame indipendente della sicurezza delle informazioni.Pianificare obiettivi e rendicontarli nel riesame della direzione che considerino azioni, fasi, tempi e responsabilità delle misure correttive da mettere in campo necessarie per garantire la conformità alle misure di cui al paragrafo 2. Motivare le tempistiche definite considerando anche le risorse economiche dell’organizzazione .

Riferimento NIS 2Requisito – Controllo ISO/IEC 27001:2022Punti di attenzione/ ricadute operative
Articolo 23 1.Ciascuno Stato membro provvede affinché i soggetti essenziali e importanti notifichino senza indebito ritardo al proprio CSIRT o, se opportuno, alla propria autorità competente, conformemente al paragrafo 4, eventuali incidenti che hanno un impatto significativo sulla fornitura dei loro servizi quali indicati al paragrafo 3 (incidente significativo). Se opportuno, i soggetti interessati notificano senza indebito ritardo ai destinatari dei loro servizi gli incidenti significativi che possono ripercuotersi negativamente sulla fornitura di tali servizi. Ciascuno Stato membro provvede affinché tali soggetti comunichino, tra l’altro, qualunque informazione che consenta al CSIRT o, se opportuno, all’autorità competente di determinare l’eventuale impatto transfrontaliero dell’incidente. La sola notifica non espone il soggetto che la effettua a una maggiore responsabilità. [………………….][3]Requisito 9.3 Riesame della direzione. Requisito 10.2 Non conformità ed azioni correttive. Controllo 5.1 Politiche per la sicurezza delle informazioni. Controllo 5.5 Contatti con autorità. Controlli da 5.24 a 5.29 (ciclo di vita dell’incidente sulla sicurezza delle informazioni).Integrare la/le procedure sulla gestione degli incidenti sulla sicurezza delle informazioni con le misure espressamente previste dall’articolo (tempi, soggetti a cui effettuare le segnalazioni, ecc.), in modo analogo a quanto già effettuato per tenere conto dei vincoli specifici sulla gestione dei data breach in relazione ai requisiti del REG. EU 2016/679[4].
Tabella – Area critica:“segnalazione degli incidenti”

Singoli controlli in relazione a contesti specifici

Ovviamente, possono essere considerati, in relazione a contesti specifici, singoli controlli ad esempio il Controllo 8.4 Accesso al codice sorgente è un elemento da considerare nell’applicazione dell’art. 21 par 2, lett.i) “sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi”, laddove un’organizzazione sviluppa applicazioni che rientrano nel campo di applicazione della NIS 2.

Nella tabella seguente vengono riportati singoli controlli e relativi punti di attenzione che evidenziano la necessità di specifiche integrazioni.

Requisito – Controllo ISO/IEC 27001:2022Punti di attenzione
Requisito 5.2 Politica.Integrare la politica del sistema di gestione della sicurezza delle informazioni, che già dovrebbe prevedere un impegno al rispetto della normativa cogente, con l’impegno esplicito del rispetto della Direttiva NIS 2
Requisito 5.3 Ruoli responsabilità ed autorità.Integrare le responsabilità con quelle specifiche connesse in relazione alla presa in carico di tutti gli adempimenti richiesti dalla NIS 2 in carico all’organizzazione.
Requisito 6.3 Pianificazione delle modifiche.Le modifiche di qualsiasi natura che possono impattare sulle misure messe in atto per rispondere a quanto previsto dalla NIS 2 devono essere pianificate in accordo al requisito; ovvero ogni modifica dell’organizzazione deve essere valutata anche in relazione al suo impatto sulle misure richieste dalla NIS 2.
Requisito 7.5 Informazioni documentate e Controllo 5.33 Protezione delle registrazioni.Estendere l’elenco della documentazione di origine esterna alla NIS2 e al prossimo Decreto Legislativo di recepimento o altra normativa ad essa riconducibile. Riconsiderare l’accesso alle informazioni riservate risultanti dall’analisi dei rischi, garantendo la necessaria riservatezza.
Requisito 9.2 Audit interni.L’attività di audit, a cominciare dal Programma di audit, deve estendersi anche al perimetro delle misure previste dalla NIS 2

Conclusioni

In conclusione, volendo dare una risposta alle domande da cui siamo partiti, si può affermare che l’implementazione e la conformità alla norma ISO/IEC 27001:2022 forniscono una base molto solida per la gestione della sicurezza delle informazioni, in linea con molti dei principi fondamentali stabiliti dalla Direttiva NIS 2.

Tuttavia, gli obblighi e i requisiti posti dalla Direttiva NIS 2 si estendono – ovvero si potrebbero estendere – oltre la sicurezza delle informazioni, ponendo il focus in particolare sulla resilienza dei sistemi, sulla notifica tempestiva degli incidenti di sicurezza e sulla cooperazione transfrontaliera.

Quindi, se la certificazione secondo lo standard ISO/IEC 27001:2022 indica che un’organizzazione ha implementato un SGSI conforme ai requisiti di tale norma, non potrà garantire automaticamente la conformità a tutti gli aspetti della Direttiva NIS 2.

Le aziende certificate ISO/IEC 27001:2022 dovranno quindi valutare attentamente e colmare eventuali lacune rispetto ai requisiti della Direttiva NIS 2, attraverso una dettagliata gap analysis e l’adozione di misure complementari. Questo assicurerà non solo la conformità con la normativa vigente ma anche un rafforzamento complessivo della loro postura di sicurezza e resilienza.

Invece, le aziende non certificate, per adattare la loro postura di sicurezza agli obblighi posti dalla NIS 2, possono utilizzare la ISO/IEC 27001:2022 come linea guida facendo specifico riferimento ai requisiti e ai controlli indicati nel presente articolo da implementare seguendo le modalità operative stabilite nella norma ISO 27002:2022.

Inoltre, ulteriori misure che possono rafforzare la resilienza dei sistemi in linea con quanto richiesto dalla NIS 2 possono provenire dalla ISO 22301:2019 – Sicurezza e resilienza – Sistemi di gestione per la continuità operativa – Requisiti. Questo è un argomento che merita però una autonoma riflessione e sarà pertanto oggetto di un successivo approfondimento.


[1] Vds. Considerando 79 della Direttiva UE 2022/2555.

[2] Ora con ISO 22301:2019/Amd 1:2024

[3] Per una comprensione approfondita dell’argomento trattato, si consiglia vivamente la consultazione diretta dell’articolo 23. La sua estensiva lunghezza e complessità vanno oltre la portata di questo articolo, rendendo indispensabile l’accesso al testo integrale per una piena ed esauriente comprensione.

[4] Considerare inoltre indicazioni che possono provenire da:

  • ISO/IEC 27035-1:2023 – Information technology — Information security incident management — Part 1: Principles and process
  • ISO/IEC 27035-2:2023 – Information technology — Information security incident management — Part 2: Guidelines to plan and prepare for incident response
  • ISO/IEC 27035-3:2020- Information technology — Information security incident management — Part 3: Guidelines for ICT incident response operations

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati

Articolo 1 di 4