logo-poc logo-upi logo-dipartimento-funzione-pubblica
Piattaforma Collaborativa Pi.Co.
Piattaforma Collaborativa Pi.Co.
Unione delle Province d'Italia
Cerca
Blog

Cyber risk management e security by design nella PA locale

Andrea Susa
Data di Pubblicazione1 Giorno Fa

Didascalia

La cybersicurezza è un tema centrale per le Pubbliche Amministrazioni che non può essere confinato solo nell'ambito dei sistemi informativi, ma deve essere considerato un obiettivo strategico dell'Ente, in quanto deve garantire la continuità dei servizi pubblici, la tutela dei dati dei cittadini e, in definitiva, la fiducia nelle istituzioni.

In questo contesto si inseriscono le Linee Guida per la definizione dei processi di cyber risk management e security by design, pubblicate dall’Agenzia per la Cybersicurezza Nazionale (ACN) in attuazione delle linee programmatiche previste dal Piano Triennale per l’informatica nella PA 2024–2026, con l’obiettivo di fornire un modello strutturato e uniforme per gestire i rischi cyber e progettare sistemi digitali sicuri.

Il documento rappresenta un riferimento operativo importante per tutte le pubbliche amministrazioni, comprese le Province, che sono chiamate ad implementarle.

Un cambio di prospettiva: dalla reazione alla prevenzione

Le Linee Guida partono da una constatazione semplice ma fondamentale: le minacce informatiche – come ransomware o attacchi DDoS – possono avere impatti molto concreti sull’operatività degli enti pubblici, interrompendo servizi essenziali o causando danni economici e reputazionali.

Per questo non basta più reagire agli incidenti quando si verificano. È necessario adottare un approccio proattivo, che punti ad anticipare i rischi e a ridurne la probabilità o gli effetti. Da qui nasce la centralità di due concetti chiave:

  • la gestione del rischio cyber (cyber risk management),
  • la progettazione sicura (security by design).

Il primo consente di capire dove si annidano i rischi e come affrontarli; il secondo assicura che i sistemi digitali nascano già sicuri, evitando interventi correttivi successivi.

Struttura del documento: cosa contiene

Le Linee Guida sono organizzate in due macro-processi principali:

  • un modello di gestione del rischio cyber;
  • un modello di progettazione sicura (security by design).

A supporto, sono presenti anche:

  • una appendice operativa con checklist di attività;
  • una raccolta di principi di progettazione sicura.

Questa struttura rende il documento non solo teorico, ma anche immediatamente applicabile nelle amministrazioni.

Il cuore del documento: la gestione del rischio cyber

La parte più rilevante delle Linee Guida è dedicata alla costruzione di un processo strutturato di gestione del rischio. Non si tratta di un esercizio teorico, ma di un percorso operativo che ogni amministrazione può adattare alla propria realtà.

Il processo si sviluppa in diverse fasi, che vanno dalla comprensione del contesto fino al monitoraggio continuo dei rischi. Le fasi previste sono le seguenti:

  1. Definizione del contesto
  2. Valutazione del rischio
  3. Trattamento del rischio
  4. Comunicazione e consultazione
  5. Monitoraggio e riesame
  6. Registrazione e reportistica

L'immagine che segue, ripresa dal documento, evidenzia chiaramente la natura ciclica del processo, con attività trasversali (comunicazione e monitoraggio) che accompagnano tutte le fasi.


Vediamo le fasi in sintesi.

1. Definizione del contesto

Questa fase è spesso sottovalutata, ma è fondamentale: serve a comprendere l’ambiente in cui opera l’ente. Include elementi come:

  • organizzazione interna (ruoli, processi, sistemi),
  • vincoli normativi,
  • stakeholder e fornitori,
  • contesto tecnologico e territoriale.

Per una Provincia, ad esempio, significa analizzare:

  • servizi digitali erogati ai cittadini,
  • infrastrutture IT (cloud, data center, fornitori),
  • interdipendenze con altri enti (Comuni, Regione, ASL, ecc.).

2. Valutazione del rischio

La valutazione del rischio è articolata in tre sottofasi:

  • Identificazione → quali rischi esistono (es. perdita dati, accessi non autorizzati);
  • Analisi → quanto sono probabili e quanto impattano;
  • Ponderazione → quali rischi sono accettabili e quali prioritari.

Il rischio viene definito come combinazione di:

  • probabilità di accadimento,
  • impatto sull’organizzazione.

Questo approccio consente di allocare le risorse in modo mirato, concentrandosi sui rischi più critici.

3. Trattamento del rischio

Una volta valutati i rischi, l’amministrazione può adottare quattro strategie principali:

  • Mitigare (es. introduzione di controlli di sicurezza);
  • Trasferire (es. assicurazioni o outsourcing);
  • Evitare (non svolgere attività rischiose);
  • Accettare (se il rischio è sostenibile).

Il risultato è un Piano di trattamento del rischio, che deve essere documentato e monitorato nel tempo.

4. Comunicazione e consultazione

Questa fase, nel processo di cyber risk management, ha un ruolo trasversale e continuo: non è un momento isolato, ma accompagna tutte le altre fasi del processo, per garantire che le informazioni sui rischi non rimangano confinate a un ambito tecnico, ma siano condivise, comprese e discusse all’interno dell’organizzazione. 

Durante questa fase:

  • gli esiti della valutazione del rischio vengono comunicati ai decisori;
  • si discutono i criteri di accettazione del rischio (quanto rischio siamo disposti a tollerare);
  • si condividono e si validano le azioni di trattamento da intraprendere;
  • si raccolgono feedback utili per migliorare le analisi e le decisioni.

Questo scambio continuo di informazioni permette di evitare due rischi opposti:

  • decisioni tecniche non allineate alle priorità dell’ente;
  • decisioni strategiche prese senza comprendere i rischi reali.

5. Monitoraggio e riesame

Le Linee Guida sottolineano come il rischio cyber non sia un elemento statico ma che si evolve continuamente. Per questo è necessario:

  • aggiornare periodicamente le valutazioni,
  • verificare l’efficacia delle misure adottate,
  • mantenere un registro dei rischi aggiornato.

In pratica, significa svolgere controlli, audit e analisi periodiche per individuare eventuali criticità e aggiornare tempestivamente le strategie di sicurezza.

Per un ente locale, ciò significa trasformare la sicurezza da attività occasionale a processo continuo di governance.

6. Registrazione e reportistica

Questa fase assicura che tutte le attività e i risultati del processo siano documentati in modo strutturato. La tracciabilità è fondamentale sia per supportare le decisioni sia per dimostrare la corretta gestione del rischio.
Uno strumento centrale è il registro dei rischi, che raccoglie informazioni come descrizione, probabilità, impatto e stato dei rischi, consentendo di monitorarli nel tempo e di comunicare in modo chiaro agli stakeholder l’evoluzione della situazione.

Un supporto pratico: l'appendice A

L’Appendice A propone un elenco strutturato di attività che supportano l’implementazione concreta del processo di cyber risk management. Non si tratta di un modello rigido, ma di una checklist operativa che le Amministrazioni possono adattare al proprio contesto organizzativo.

Il contenuto è organizzato seguendo le stesse fasi del processo di gestione del rischio e, per ciascuna di esse, indica azioni specifiche.

Nella fase di definizione del contesto, ad esempio, vengono suggerite attività come l’analisi degli obiettivi dell’ente, del quadro normativo, delle risorse disponibili e delle relazioni con stakeholder e fornitori.

Per la valutazione del rischio, l’appendice distingue chiaramente tra:

  • identificazione (individuazione di asset, minacce e vulnerabilità),
  • analisi (valutazione di probabilità e impatti),
  • ponderazione (prioritizzazione dei rischi e confronto con i criteri di accettabilità).

Segue poi la fase di trattamento del rischio, in cui si suggerisce di definire le azioni più appropriate, pianificarne l’attuazione e gestire eventuali rischi residui.

L’appendice include anche indicazioni operative per:

  • la comunicazione e consultazione, con il coinvolgimento degli stakeholder;
  • il monitoraggio e riesame, per aggiornare nel tempo la valutazione dei rischi;
  • la documentazione e reportistica, con la tracciatura delle attività e la gestione del registro dei rischi.

Nel complesso, l’Appendice A rappresenta uno strumento molto utile soprattutto per gli enti locali, perché traduce il modello teorico in una sequenza di attività concrete, facilitando l’avvio e la strutturazione di un processo di gestione del rischio cyber.

 

Security by design: la sicurezza fin dalla progettazione

Accanto alla gestione del rischio, il documento introduce un secondo elemento fondamentale: la sicurezza deve essere integrata fin dalle fasi iniziali di progettazione dei sistemi.

Questo principio, noto come security by design, rappresenta un cambio culturale importante. Nella pratica amministrativa, infatti, la sicurezza è spesso trattata come un’aggiunta successiva. Le Linee Guida invitano invece a considerarla come parte integrante del progetto.

Il modello proposto segue una logica ciclica (simile al ciclo PDCA):

  1. Definizione dei requisiti di sicurezza
  2. Implementazione
  3. Verifica dell’efficacia dei requisiti
  4. Azioni di rimedio

La seguente figura illustra, anche in questo caso, il carattere ciclico del processo di security by design.


 

Analizziamo brevemente le varie fasi.

1. Definizione dei requisiti di sicurezza

Le PA sono chiamate a identificare i corretti requisiti di sicurezza che i propri sistemi informativi devono garantire. Questi requisiti possono derivare da:

  • analisi del rischio,
  • normative,
  • principi di progettazione sicura.

Il documento suggerisce anche strumenti pratici come la Security Requirements Traceability Matrix, utile per tracciare requisiti, stato e verifiche.

2. Implementazione

La corretta implementazione dei requisiti di sicurezza consiste nel tradurre quanto definito in fase progettuale in soluzioni tecniche e organizzative concrete. Secondo le Linee Guida ACN, questa attività deve essere strettamente collegata alla valutazione del rischio e al contesto dell’ente, così da garantire misure realmente efficaci e proporzionate. In pratica, i requisiti si trasformano in configurazioni sicure, scelte progettuali e pratiche di sviluppo che integrano la sicurezza nei sistemi fin dalla loro realizzazione, riducendo la necessità di interventi successivi e aumentando la resilienza complessiva.

3. Verifica dell’efficacia dei requisiti

La fase di verifica dell’efficacia dei requisiti serve ad accertare che le misure di sicurezza implementate siano realmente adeguate rispetto ai rischi, agli obiettivi dell’organizzazione e all’evoluzione delle minacce. Secondo le Linee Guida ACN, questa verifica non è occasionale ma deve essere svolta periodicamente, utilizzando strumenti come test tecnici, analisi documentali e interviste interne. In questo modo è possibile individuare eventuali carenze o disallineamenti e assicurare che i requisiti di sicurezza rimangano efficaci nel tempo.

4. Azioni di rimedio

La fase di attuazione delle azioni di rimedio consiste nell’intervenire sulle vulnerabilità emerse durante la verifica, correggendo ciò che non risulta adeguato. Secondo le Linee Guida ACN, queste azioni possono includere modifiche al codice, aggiornamenti dei sistemi o revisioni delle configurazioni, con l’obiettivo di ripristinare un livello di sicurezza coerente con i requisiti definiti. È inoltre importante che ogni intervento sia tracciato e verificato, per evitare che le correzioni introducano nuove criticità e per garantire un miglioramento continuo della sicurezza.

Come applicare la teoria

Nell’appendice B alle linee guida, ACN propone un insieme ampio di principi di progettazione sicura, che possono essere considerati come una “cassetta degli attrezzi” per chi progetta o gestisce sistemi digitali.

Tra i più rilevanti per la PA locale si possono ricordare:

  • la difesa a più livelli (defense in depth),
  • il principio del minimo privilegio,
  • la separazione dei sistemi e dei domini,
  • la riduzione della complessità,
  • la protezione continua dei sistemi.

Non si tratta di regole rigide, ma di criteri da adattare al contesto specifico, tenendo conto delle risorse disponibili e delle priorità dell’ente.

Per chiudere

Per le amministrazioni locali, queste Linee Guida rappresentano un passaggio importante verso una gestione più matura della cybersicurezza. Significa, innanzitutto, superare un approccio emergenziale e frammentato, per adottare una visione più strutturata e continua. La sicurezza diventa così parte integrante dei processi decisionali, e non un’attività isolata affidata ai soli tecnici.

In pratica, questo si traduce in alcune azioni concrete:

  • introdurre un processo formalizzato di gestione del rischio;
  • integrare la sicurezza nei progetti digitali fin dalle prime fasi;
  • definire ruoli e responsabilità chiari;
  • monitorare nel tempo l’evoluzione dei rischi.
Commento (0)

Altri Articoli Blog

thumbnail

Consiglio europeo del 19 marzo 2026: le priorità emerse

Giovanni Bursi
25 mar
0
thumbnail

IL TAR CAMPANIA SUL SUBAPPALTO E SULLE CONCESSIONI: REVOCA ILLEGITTIMA SENZA PROVA DEI RISCHI E DEI MEZZI

Andrea Gandino
31 mar
0
Blog