Una quota dei fondi PNRR è dedicata al rafforzamento della cyber security nazionale. In particolare al miglioramento della "security posture" della PA italiana, che ha diversi gap da colmare e che prima di tutto deve completare una seria auto-analisi per capire dove sia più opportuno intervenire in prima battuta. L'obiettivo dell'investimento 1.5 del PNRR è infatti, nello specifico, rafforzare i servizi di gestione della minaccia cyber per la protezione dell’ecosistema digitale nazionale.

A coordinare i vari investimenti necessari a raggiungere questo obiettivo sarà l’Agenzia per la Cybersicurezza Nazionale (ACN), in sinergia con il Dipartimento per la Trasformazione Digitale. In generale, l'Agenzia deve muoversi in modo da garantire tre elementi chiave: il rafforzamento dei servizi nazionali di cyber difesa, lo sviluppo delle funzioni di "scrutinio e certificazione tecnologica" nella scelta delle tecnologie e dei prodotti da adottare, il potenziamento della capacità della PA di gestire in sicurezza i dati dei cittadini.

L'azione dell'ACN si svolgerà, evidentemente, attraverso molte iniziative e progetti. Meglio partire dall'inizio, e quando si tratta di cyber security il primo passo indispensabile è un assessment approfondito della situazione di partenza. E di chi ha più bisogno di migliorarla.

Per questo è stato attivato un primo bando - per la precisione un Avviso - collegato al PNRR, destinato alle varie amministrazioni pubbliche ed enti della PA. Queste possono "prenotarsi" per richiedere alcuni servizi di security assessment che saranno erogati dalla ACN e che rientrano in tre campi: analisi della postura di sicurezza con definizione di un piano di potenziamento, miglioramento dei processi e dell’organizzazione di gestione della cyber security, miglioramento della consapevolezza delle persone.

In queste tre macrocategorie rientrano vari servizi di assessment e potenziamento delle funzioni di cyber security. L'ACN indica ad esempio la possibilità di eseguire analisi delle capacità dei sistemi di sicurezza già implementati, controllo dei processi per la gestione delle identità digitali, valutazione del rischio eseguita sui principali asset dell’organizzazione. Come anche il potenziamento del processo di risposta ad attacchi ransomware, dei processi a supporto della continuità operativa, dei processi di rilevazione e gestione delle vulnerabilità. E molto altro, ovviamente.

Per tutte queste attività sono stati ora stanziati 10 milioni di euro, una somma relativamente contenuta ma a fronte di una certa selezione sulle PA che potranno accedere al finanziamento e sui servizi che potranno richiedere. Ciascuna PA non potrà avere più di cinque interventi distinti per una somma finanziata massima di un milione. E l'idea è aiutare in primis chi è più indietro, quindi non potranno accedere all'avviso le PA che hanno già ricevuto stanziamenti o aiuti in campo cyber security.

Fondi per progetti specifici

Un secondo Avviso coordinato dall'ACN va più in profondità e riguarda il finanziamento, con una dotazione complessiva di 15 milioni, di progetti per il miglioramento della postura di sicurezza delle PA e degli enti governativi. Il principio è simile all'Avviso precedente ma il funzionamento è diverso. Qui non si tratta di aiuti liberamente disponibili: le PA interessate dovranno presentare progetti precisi di intervento, che saranno analizzati e valutati secondo diversi parametri. Alla fine della valutazione, solo i progetti nelle prime posizioni della graduatoria di valutazione saranno finanziati.

Il meccanismo previsto per l'Avviso è fatto in modo da coinvolgere le PA che sono già attive in campo cyber security e che hanno già al loro interno competenze tali da poter definire e portare avanti un progetto di sicurezza IT. Progetto che non deve essere logicamente fatto tutto internamente, ma che richiede comunque - nell'ambito dell'Avviso - personale in grado di definirlo, valutarlo nel corso della sua attuazione, farne rispettare la pianificazione nel tempo. I fondi, inoltre, coprono le attività di realizzazione di progetti, non quelle di successiva gestione della cyber security.

I campi di intervento previsti per i singoli progetti sono simili a quelli già indicati. Si tratta in sintesi di security assessment con pianificazione strategica di un piano di potenziamento, rafforzamento dei processi già in uso per la gestione del rischio cyber, formazione del personale, progettazione e sviluppo di nuovi sistemi per la mitigazione del rischio cyber. Ogni PA può ottenere un finanziamento massimo di 2 milioni. Lo stesso tetto di finanziamento è posto per singolo progetto.