L’Agenzia per la cybersicurezza nazionale (Acn) ha ufficialmente varato le linee guida per il rafforzamento della protezione delle banche dati rispetto al rischio di utilizzo improprio. Il documento, che prende il via da un’analisi di contesto che tiene anche conto dei casi di accesso abusivo determinato dal pericolo di insider threat, rappresenta una raccolta dettagliata delle misure già presenti nelle normative di settore come, ad esempio, il decreto-legge del 21 settembre 2019 n. 105, c.d. Perimetro di sicurezza nazionale cibernetica, ed è corredato da esempi utili alla loro implementazione pratica.
Il documento è indirizzato a quei soggetti della Pubblica Amministrazione che presentano la necessità di adeguare i propri sistemi e servizi digitali alle crescenti minacce cibernetiche. Figurano in questo ambito, in particolare, anche le aziende sanitarie locali e le società di trasporto pubblico, che hanno conosciuto negli ultimi tempi un consistente numero di attacchi alla loro superficie digitale.
Le misure di sicurezza previste
Il testo contiene inoltre una serie di raccomandazioni di contesto per meglio descrivere operativamente le modalità con cui le organizzazioni possono ridurre il rischio specifico legato agli accessi abusivi, siano essi compiuti da insider threats che da minacce esterne, con particolare attenzione al controllo degli accessi, al rispetto delle politiche di sicurezza dei sistemi informatici – che ricomprende anche il controllo dei manutentori – alla gestione dei rischi connessi alla supply chain, fino al monitoraggio costante delle situazioni di rischio e alle attività di auditing interno. Tra le misure di sicurezza indicate si segnala il ruolo che riveste anche la formazione del personale, con particolare riferimento agli utenti dotati di privilegi amministrativi.
Continua, con la pubblicazione di queste ultime linee guida, il percorso di definizione delle misure tecniche, organizzative e procedurali rispetto ai quali Acn esercita funzioni di supporto e vigilanza per garantirne la compliance e, attraverso questa, il rafforzamento della resilienza dello spazio cibernetico italiano.
Primo tavolo Nis2
Nell’occasione della presentazione del documento, si è anche riunito per la prima volta il Tavolo per l’attuazione della disciplina Nis presieduto dal Direttore Generale, Prefetto Bruno Frattasi. Il Tavolo, composto da rappresentanti delle amministrazioni centrali, autorità di settore, e di quelle regionali su designazione della Conferenza permanente per i rapporti tra lo Stato e le Regioni e le Province Autonome di Trento e Bolzano, ha approvato i primi provvedimenti di sua competenza, tra i quali, in particolare, quello attinente al funzionamento della piattaforma messa a disposizione da Acn per il censimento e la registrazione dei soggetti pubblici e privati che rientreranno nell’ambito della disciplina Nis.
Il funzionamento della piattaforma verrà illustrato durante il convegno di presentazione delle novità introdotte dalla nuova disciplina, che si terrà, con la partecipazione del Sottosegretario Alfredo Mantovano, Autorità delegata alla sicurezza della Repubblica, presso la Sapienza, Università di Roma, mercoledì prossimo 27 novembre alle ore 10.