LA GUIDA PRATICA

Valutazione del rischio cyber aziendale, gli strumenti del Center for Internet Security (CIS)

Una corretta valutazione del rischio cyber consente alle organizzazioni di definire le priorità sulle azioni da compiere e sulle risorse da mettere in campo. In questo senso, i Critical Security Controls possono essere utili a definire un percorso di difesa efficace. Ecco di cosa si tratta e come applicarli alla realtà aziendale

Pubblicato il 12 Set 2019

Simone Valenti

Cyber security analyst

rischio cyber

Nonostante la varietà di strumenti, best practice e framework utili per la valutazione del rischio cyber aziendale, quando si tratta di proteggere la loro infrastruttura dalle intrusioni molte organizzazioni non sono in grado di definire le priorità sulle azioni da compiere e sulle risorse da mettere in campo.

In questo contesto, i Critical Security Controls (CSC) for Effective Cyber Defense rilasciati dal Center for Internet Security (CIS), sono utili per fornire un ottimo punto di partenza.

Valutazione del rischio cyber: un percorso di difesa

In particolare, essi presentano 20 controlli essenziali (ciascuno composto da sotto-controlli) finalizzati a definire un percorso di difesa efficace che un’organizzazione dovrebbe intraprendere per ridurre il rischio cyber, rafforzare la propria postura e ridurre i costi operativi.

Ciascun controllo di sicurezza deriva dai modelli di attacco più comuni evidenziati nei principali report sulle minacce e rappresenta dunque una contromisura per evitare, rilevare, neutralizzare o minimizzare i rischi di sicurezza per le risorse di un’azienda.

Il principale vantaggio dei CSC è che essi concentrano e danno priorità ad un numero minimo di azioni che risultano molto efficaci in termini di costi e benefici, tanto da rappresentare il riferimento (nella versione 6.0 pubblicata nel mese di ottobre 2015) per le misure minime di sicurezza ICT per le PA predisposte da AgID e da essere inserite tra le “Informative Reference” del Framework Nazionale per la Cybersecurity e la Data Protection.

Ad Aprile 2019, il CIS ha rilasciato l’ultima versione dei CSC, la 7.1, introducendo il concetto degli “Implementation Groups” (IGs) utili alle organizzazioni per determinare (attraverso un’autovalutazione) quali dei sotto-controlli essenziali CIS devono essere implementati per soddisfare i propri requisiti, in relazione alle risorse disponibili.

IG1, IG2 e IG3 identificano ciascuno un sottoinsieme dei controlli CIS che la comunità ha ampiamente valutato come ragionevole da implementare per un’organizzazione con un profilo di rischio e risorse simili. Ogni IG si basa sul precedente: IG2 include IG1 e IG3 include tutti i sotto-controlli CIS.

Identificare il profilo di rischio

Un’organizzazione di piccole e medie dimensioni con competenze IT e di cyber security limitate da dedicare alla protezione di risorse e personale IT, è considerata appartenente a IG1. La preoccupazione principale di queste organizzazioni è di mantenere l’attività operativa in quanto hanno una tolleranza limitata per i tempi di fermo. La sensibilità dei dati che stanno cercando di proteggere è bassa e riguarda principalmente le informazioni finanziarie e dei dipendenti. Tuttavia, potrebbero esserci alcune organizzazioni di piccole e medie dimensioni che sono responsabili della protezione dei dati sensibili e, pertanto, rientreranno in un gruppo più elevato.

Un’organizzazione IG2 impiega persone responsabili della gestione e della protezione dell’infrastruttura IT. Queste organizzazioni supportano più reparti con diversi profili di rischio in base alla funzione e alla missione del lavoro. Piccole unità organizzative possono avere oneri di conformità normativa. Le organizzazioni IG2 spesso memorizzano ed elaborano informazioni sensibili relative a clienti o società e sono in grado di sopportare brevi interruzioni del servizio.

Un’organizzazione IG3 impiega esperti di sicurezza specializzati in diversi aspetti della sicurezza informatica (ad esempio: gestione dei rischi, penetration test, sicurezza delle applicazioni). I sistemi e i dati IG3 contengono informazioni o funzioni sensibili soggette a controllo normativo e conformità. Un’organizzazione IG3 deve affrontare la disponibilità dei servizi e la riservatezza e l’integrità dei dati sensibili. Attacchi di successo possono causare danni significativi al benessere pubblico.

Valutazione del rischio cyber: i controlli di sicurezza

I 20 controlli del CIS sono ordinati per priorità in un modo tale da potersi concentrare dapprima sulle aree in cui è più importante sviluppare resistenza contro gli attacchi informatici: le prime 6 azioni sono denominate “Basic”, le azioni 7-16 sono chiamate “Foundational” e le 17-20 sono denominate “Organizational”.

I controlli di base sono caratterizzati dalla loro attenzione a garantire che le informazioni siano fornite solo agli utenti autorizzati, ma anche a un monitoraggio sistematico degli eventuali incidenti relativi al sistema. Le misure fondamentali sono azioni tecniche formulate per fornire risultati efficaci.

Queste azioni, insieme ai controlli organizzativi, sono adatte a chiunque voglia assicurarsi di aver fatto “tutto” il possibile per proteggere le proprie risorse informative.

Controlli Basic

  1. Inventory and Control of Hardware Assets: è una delle azioni di protezione primarie contro gli attacchi informatici e rappresenta ancora una sfida per le organizzazioni. Questo controllo suggerisce di creare un inventario di tutti i dispositivi presenti e consentiti sulla rete per identificare chi genera traffico. Idealmente, le organizzazioni non dovrebbero solo mantenere un inventario accurato e aggiornato dei dispositivi, ma anche essere in grado di identificare dispositivi non autorizzati attraverso l’utilizzo di sistemi attivi e/o passivi di monitoraggio della rete.
  2. Inventory and Control of Software Assets: sottolinea la necessità di sviluppare e mantenere un inventario completo e aggiornato del software installato in un’organizzazione. Qualsiasi organizzazione dovrebbe sapere quale software è stato installato sui propri sistemi, chi lo ha installato in primo luogo e quali sono le sue funzionalità. Mantenendo un inventario accurato di software autorizzato (whitelisting) e software non autorizzato (blacklisting), le Organizzazioni possono acquisire le conoscenze necessarie sul proprio ambiente interno per rispondere meglio e più rapidamente a potenziali incidenti di sicurezza.
  3. Continuous Vulnerability Management: raccomanda le organizzazioni ad eseguire periodicamente scansioni di vulnerabilità nei loro ambienti. La valutazione della vulnerabilità evidenzia le vulnerabilità che minacciano la sicurezza delle risorse chiave di un’organizzazione fornendo raccomandazioni per la riparazione (remediation). Oltre a dimostrare la dovuta diligenza e un approccio proattivo alla gestione del rischio, le organizzazioni sfruttano le valutazioni delle vulnerabilità per soddisfare i loro requisiti di conformità e intraprendere azioni per un programma completo di gestione delle stesse.
  4. Controlled Use of Administrative Privileges: raccomanda di limitare i privilegi amministrativi a livelli ragionevoli. Ciò significa che solo ai dipendenti che hanno competenze adeguate e necessità operativa per svolgere efficacemente i loro compiti, sono concessi e limitati i privilegi di amministratore. In questo modo le organizzazioni possono ridurre la probabilità di essere colpiti da alcuni degli attacchi informatici più comuni che si basano sull’inganno ai danni di un utente con privilegi di amministratore.
  5. Secure Configurations for Hardware and Software on Mobile Device, Laptops, Workstations and Servers: raccomanda le organizzazioni di configurare correttamente hardware e software mediante configurazioni sicure standard in modo da rafforzare la propria postura di sicurezza ed evitare che le loro applicazioni e sistemi operativi vengano sfruttati a causa di configurazioni vulnerabili. Esempi di configurazioni non sicure includono password e account predefiniti, protocolli non aggiornati o vulnerabili, porte aperte e software non necessario.
  6. Maintenance, Monitoring, and Analysis of Audit Logs: riguarda la raccolta, la gestione e l’analisi dei log di eventi che possono fornire informazioni rilevanti sul proprio ambiente in caso di incidente di sicurezza. Un’organizzazione che non monitora né analizza i log probabilmente avrà difficoltà a rilevare, comprendere o recuperare prove ed elementi da un attacco informatico. Mentre molte organizzazioni mantengono i propri log per soddisfare i requisiti di conformità aziendale, solo pochi hanno il tempo necessario o le competenze interne per esaminarli a fondo. A causa di processi di analisi dei log scadenti o inesistenti, gli hacker a volte controllano le macchine delle vittime per mesi o anni senza che nessuno nell’organizzazione se ne accorga.

    Controlli Foundational

  7. Email and Web Browser Protections: raccomanda di proteggere i browser Web e i sistemi di posta elettronica per ridurre al minimo la superficie di attacco e le opportunità per gli hacker di manipolare il comportamento umano (social engineering). Consentendo solo client e-mail e browser Web completamente supportati, aggiornati e approvati, le organizzazioni possono impedire ai dipendenti di diventare vittime di codice dannoso, perdita di dati e altri tipi di attacchi.
  8. Malware Defenses: riguarda la difesa degli ambienti sempre più complessi di oggi contro il malware che può entrare attraverso una varietà di punti come allegati e-mail, pagine Web, supporti rimovibili, dispositivi per l’utente finale, servizi cloud eccetera. Le soluzioni antimalware sono in grado di monitorare e rilevare software dannoso come il ransomware e abilitare difese efficaci con funzionalità di antivirus, antispyware, firewall o di rilevamento delle intrusioni.
  9. Limitation and Control of Network Ports, Protocols and Services: raccomanda la corretta configurazione e controllo delle porte di rete, come server di posta, server Web o server DNS al fine di ridurre il numero di vulnerabilità che gli aggressori possono sfruttare. Limitando l’installazione di servizi di rete predefiniti per i dipendenti, le organizzazioni possono impedire agli aggressori di tentare intrusioni con nomi utente o password predefiniti.
  10. Data Recovery Capability: raccomanda di disporre di funzionalità di recupero dei dati per facilitare il ripristino dei dati che potrebbero essere stati compromessi, alterati o cancellati. Eseguendo backup regolari delle informazioni critiche e verificando l’integrità ed il corretto ripristino dei sistemi, le organizzazioni possono recuperare più rapidamente dagli incidenti di sicurezza e soddisfare i requisiti di conformità aziendale.
  11. Secure Configurations for Network Devices, such as Firewalls, Routers and Switches: raccomanda l’implementazione di configurazioni sicure per tutti i dispositivi di rete e dei processi di gestione della configurazione e delle modifiche, al fine di ridurre al minimo il numero di vulnerabilità che gli attaccanti potrebbero sfruttare. Soprattutto porte e servizi aperti, nomi utente e password predefiniti o software irrilevante possono avere un impatto negativo sulla postura di sicurezza di un’organizzazione.
  12. Boundary Defense: per impedire agli aggressori di accedere all’ambiente interno, si raccomanda alle organizzazioni di implementare meccanismi di difesa dei confini come il monitoraggio del traffico di rete, l’utilizzo di firewall, proxy, DMZ e strumenti di rilevamento e prevenzione delle intrusioni (NIDS/NIPS).
  13. Data Protection: enfatizza la necessità di adeguate tecniche di protezione dei dati e raccomanda una varietà di metodi per garantire che i dati aziendali siano protetti in ogni momento, in linea con le rigide normative odierne di conformità. Adottando una combinazione di crittografia dei dati, prevenzione della perdita dei dati (DLP) e strategie di protezione dell’integrità, le organizzazioni possono limitare il rischio di compromissione dei dati e di estrazione.
  14. Controlled Access Based on the Need to Know: raccomanda l’accesso controllato in relazione a quali informazioni ciascun dipendente è tenuti a conoscere per svolgere il proprio lavoro. Implementando la segmentazione della rete, le comunicazioni crittografate e altri tipi di controllo degli accessi, le organizzazioni possono impedire agli aggressori di accedere facilmente alle risorse sensibili, eseguire attività dannose e interrompere il servizio.
  15. Wireless Access Control: si rivolge al controllo degli accessi wireless come mezzo efficace per prevenire e proteggere le Organizzazioni da intrusioni, furti di dati e infiltrazioni di malware. Implementando configurazioni e profili di sicurezza autorizzati per dispositivi wireless, l’accesso vietato per dispositivi non autorizzati e la scansione di vulnerabilità di rete mirata per rilevare punti di accesso wireless autorizzati e non autorizzati, le organizzazioni possono migliorare notevolmente la loro sicurezza wireless.
  16. Account Monitoring and Control: raccomanda il monitoraggio e il controllo degli account come strategia efficace per ridurre il numero di opportunità per gli hacker di sfruttare account di sistema o applicazioni inattivi. Monitorando costantemente gli account, è possibile rimuovere quelli inattivi.

    Controlli Organizational

  17. Implement a Security Awareness and Training Program: sostiene la necessità di regolari valutazioni delle competenze di sicurezza e di formazione sulla consapevolezza della sicurezza per istruire i dipendenti sull’impatto potenzialmente negativo che le loro azioni sulla rete aziendale potrebbero avere. A prescindere dal fatto che la causa principale sia intenzionale o dovuta ad un errore involontario, le organizzazioni devono garantire che tutti i loro dipendenti siano formati e applichino le conoscenze e le competenze necessarie per difendere il proprio datore di lavoro da attacchi di phishing, intrusioni e data breach.
  18. Application Software Security: sviluppato per prevenire, rilevare e correggere i punti deboli della sicurezza delle applicazioni, sia per quelle sviluppate internamente all’organizzazione o esternamente sotto contratto, sia per quelle acquisite. Il software applicativo deve affrontare la sicurezza durante l’intero ciclo di vita al fine di prevenire le vulnerabilità delle applicazioni. Per i software acquisiti (commerciali, open-source ecc.), dovrebbero essere compiuti sforzi per comprendere le pratiche del software. Ove possibile, ai fornitori dovrebbe essere richiesto di dimostrare che sono stati utilizzati strumenti o servizi di test del software commerciale standard e che non sono presenti vulnerabilità note nella versione.
  19. Incident Response and Management: risponde alla crescente necessità di meccanismi di risposta e gestione correttamente eseguiti in caso di incidenti di sicurezza. Con gli attacchi informatici in aumento, le organizzazioni devono disporre di processi e procedure definiti per rilevare gli incidenti, rispondere con precisione e mitigare gli incidenti per prevenire danni considerevoli ai loro dati e alla loro reputazione.
  20. Penetration Tests and Red Team Exercises: riguarda i test di penetrazione, che è diventato una parte essenziale delle moderne pratiche di sicurezza. Simulando un attacco, i pentester possono evidenziare debolezze nei sistemi operativi, dispositivi di rete o software applicativo. Il risultato di un test di penetrazione eseguito a fondo è una visione più approfondita dei rischi aziendali delle varie vulnerabilità. Effettuando regolarmente test di penetrazione interni ed esterni, le organizzazioni possono valutare la loro preparazione per potenziali attacchi, soddisfare i requisiti di conformità e correggere le vulnerabilità prima che gli aggressori possano sfruttarle.

In aggiunta ai controlli, il CIS ha sviluppato una specifica guida, CIS Controls Internet of Things Companion Guide, con lo scopo di definire le migliori pratiche e linee guida per l’implementazione dei Controlli CIS in relazione all’utilizzo di dispositivi dell’Internet of Things (IoT).

Valutazione del rischio cyber: automatizzare i controlli

Al fine di rendere automatizzato e veloce il processo di verifica di alcuni dei sotto-controlli CIS e di aiutare le organizzazioni nella valutazione della propria postura cyber, il CIS mette a disposizione una serie di strumenti, come i CIS Benchmarks, il CIS-CAT e il CIS RAM.

I CIS Benchmarks rappresentano le migliori pratiche per la configurazione sicura di un sistema target. Esperti IT e professionisti di cyber security hanno sviluppato linee guida di configurazione per più di 140 tecnologie tra cui sistemi operativi, dispositivi di rete, applicazioni, cloud provider, applicazioni mobili ed altro.

Scaricabili gratuitamente in diversi formati (PDF, XCCDF, Word ecc.), i CIS Benchmark rappresentano un punto di partenza per le tutte le organizzazioni in cui l’hardening dei sistemi IT rispetto agli standard noti è diventato un requisito (ad esempio lo standard PCI-DSS per la protezione dei dati nel settore delle carte di pagamento prevede lo sviluppo di standard di configurazione per tutti i componenti di sistema).

La maggior parte dei benchmark CIS include due profili di configurazione. Il profilo di livello 1 è considerato una raccomandazione di base che può essere implementata in modo abbastanza rapido. Il suo intento è quello di ridurre la superficie di attacco dell’organizzazione mantenendo le macchine utilizzabili e non ostacolando la funzionalità aziendale.

Il profilo di livello 2 prevede una difesa dei sistemi IT maggiormente profonda ed è destinato agli ambienti in cui la sicurezza è fondamentale. Le raccomandazioni associate al profilo di Livello 2 possono avere un effetto negativo sull’organizzazione se non vengono implementate in modo appropriato o senza la dovuta attenzione.

Il CIS-CAT (Configuration Assessment Tool) rappresenta una potente applicazione utile per confrontare rapidamente la configurazione di sistemi target con le raccomandazioni dei Benchmark CIS, riportando le conformità su una scala da 1 a 100.

Ad oggi esistono tre versioni di CIS-CAT:

  • CIS-CAT Lite, versione gratuita e limitata dello strumento
  • CIS-CAT Pro Assessor v3, a pagamento, che effettua valutazioni di sistemi target su rete locale
  • CIS-CAT Pro Assessor v4, a pagamento, che esegue valutazioni da remoto per alcuni sistemi target

CIS-CAT Lite e CIS-CAT Pro Assessor v3 includono sia un’interfaccia a riga di comando (CLI) che un’interfaccia grafica (GUI). CIS_CAT Pro Assessor v4 è attualmente disponibile solo mediante CLI su connessione SSH.

Un’importante utilità del CIS-CAT (solo per le versioni a pagamento) sta nel fatto che lo strumento esegue in maniera automatica, ove disponibile, la mappatura tra i CIS Controls e i CIS Benchmarks.

Il CIS RAM (Center for Internet Security Risk Assessment Method) rappresenta, infine, un metodo di valutazione del rischio per la sicurezza delle informazioni che aiuta le organizzazioni a implementare e valutare la loro postura cyber rispetto ai di CIS Controls.

Il CIS RAM, in conclusione, fornisce le istruzioni, gli esempi, i modelli e gli esercizi per condurre una efficace valutazione del rischio.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Who's Who

Argomenti

Canali

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati

Prossimo

La sanità digitale è a rischio? Il caso UnitedHealth: cosa ci insegna