DATA PROTECTION

Supply chain security: la compliance al GDPR dei fornitori per la salvaguardia dei sistemi

Il rafforzamento della postura di sicurezza delle organizzazioni ha indotto i criminal hacker a spostare la loro attenzione sulle supply chain: imprese e PA devono quindi prestare grande attenzione a questo aspetto nella definizione delle loro politiche di sicurezza. Anche in questo complesso scenario, l’effettivo e “sostanziale” rispetto del GDPR può aiutare

02 Nov 2021
A
Giuseppe Alverone

DPO dell'Arma dei Carabinieri. Certificato UNI 11697:2017

“Security is only as strong as the weakest link”: la “robustezza” di un qualsiasi sistema di sicurezza è calibrata sul “punto di giunzione” più debole del sistema stesso. Questo vecchio detto, ben noto a tutti gli operatori della sicurezza, è la chiave di comprensione del motivo per cui all’interno dei processi aziendali, i punti di maggiore vulnerabilità, in genere, sono quelli ove si incrociano le diverse funzioni aziendali e, ancor di più, quelli dove le stesse funzioni si incrociano con i flussi dei fornitori: per questo motivo, sempre più spesso, si parla di supply chain security, cioè di sicurezza alle catene di approvvigionamento.

Le supply chain, infatti, costituiscono una rilevante vulnerabilità poiché sono una sorta di “feritoie informatiche” nei sistemi di imprese e pubbliche amministrazioni attraverso le quali gli aggressori possono più agevolmente inserire e diffondere codice malevolo, generando pesanti impatti in termini di indisponibilità dei sistemi, perdite economiche e danni reputazionali delle organizzazioni.

La diffusione degli attacchi alle supply chain

Non è un caso se negli ultimi tempi sono aumentati gli attacchi alle catene di approvvigionamento (i cc.dd. supply chain attack). Infatti a seguito del miglioramento della sicurezza dei sistemi IT delle organizzazioni pubbliche e private, i criminal hacker hanno spostato la loro attenzione verso le piattaforme dei fornitori.

INFOGRAFICA
I migliori data analytics tools a confronto: CHI VINCE?
Big Data
Datacenter

Il fenomeno è tanto rilevante che ENISA ha ritenuto necessario pubblicare un rapporto[1] che mira a mappare e studiare gli attacchi alla catena di approvvigionamento scoperti tra gennaio 2020 e l’inizio luglio 2021.

Il nucleo del rapporto è un’analisi di tutti gli incidenti della catena di approvvigionamento segnalati per identificare le loro caratteristiche chiave e le relative tecniche. Il rapporto include anche una serie di raccomandazioni rivolte a decisori politici e organizzazioni, in particolare fornitori, la cui adozione può aumentare la postura di sicurezza complessiva contro gli attacchi alle catene di approvvigionamento.

L’attualità dell’attacco a SolarWinds

L’effetto devastante degli attacchi alle catene di approvvigionamento si è manifestato per la prima volta, in modo davvero eclatante, alla fine del 2020 con l’attacco sferrato a SolarWinds.

Si tratta di una grande società di software con sede ad Austin in Texas, che fornisce strumenti di gestione dei sistemi IT per il monitoraggio della rete e delle infrastrutture e altri servizi tecnici ad oltre 300.000 aziende in 190 paesi, comprese le principali articolazioni del governo degli Stati Uniti.

Gli aggressori hanno installato un codice dannoso in un lotto di software distribuito da SolarWinds come aggiornamento o come patch a tutti i clienti. L’aggressione si è potuta così confondere con l’attività legittima di SolarWinds senza essere rilevato nemmeno dal software antivirus.

Pochi giorni fa Tom Burt, vicepresidente aziendale di Microsoft per la sicurezza e la fiducia dei clienti, ha riferito che in una campagna che risale al maggio di quest’anno, i criminal hacker che avevano colpito SolarWinds hanno preso di mira più di 140 aziende tecnologiche, comprese quelle che gestiscono o rivendono servizi di cloud computing.

L’attacco, che ha avuto successo con ben 14 di queste società tecnologiche, ha coinvolto tecniche non sofisticate come il phishing o l’utilizzo di password trovate online tra le fonti aperte – OSINT – o acquisite con attacchi a forza bruta (brute force attack).

Questa particolare modalità di aggressione postula quindi la necessità per imprese e pubbliche amministrazioni di tenere nella massima considerazione questo aspetto quando definiscono le loro politiche di sicurezza, tenendo ben presente che l’effettivo e “sostanziale” rispetto del GDPR può aiutare a presidiare in modo efficace i processi aziendali.

Rapporto tra imprese e fornitori: il vincolo formale

Innanzitutto ricordiamo che, sotto il profilo formale, le imprese e le P.A “titolari del trattamento” devono avvalersi esclusivamente di fornitori che offrano “garanzie sufficienti” in particolare in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del GDPR, anche per la sicurezza del trattamento[2].

Per questo motivo ogni fornitore, cha ha la veste giuridica di “responsabile del trattamento”, deve essere “vincolato” ai suoi clienti “titolari del trattamento” – per conto dei quali tratta i dati personali – attraverso un contratto o altro atto giuridico, che fissi precise istruzioni e pertinenti condizioni di garanzia.

Il responsabile del trattamento può ricorrere a sub-responsabili ma solo previa autorizzazione scritta, specifica o generale, da parte del titolare nei confronti del quale risponde, sempre e comunque, anche in caso di violazione degli obblighi da parte del sub responsabile.

Rapporto tra imprese e fornitori: il vincolo sostanziale

Nello specifico, il paragrafo 3 dell’art. 28 del GDPR, pone norme sia sostanziali che procedurali costituenti un meccanismo che, se pienamente rispettato, offre un livello di presidio dei processi aziendali più che accettabile, poiché costituisce un efficace “elemento di tenuta” che può trasformare tutti i “weakest links” tra “titolari” e “responsabili” in “vincoli”, i.e. “forti legami” in grado di dare robustezza ai sistemi dei titolari stessi.

Lo conferma anche il fatto che lo stesso meccanismo è indicato nella Prassi di Riferimento UNI PdR 43.1.2018 come il riferimento imprescindibile su cui le imprese e le pubbliche amministrazioni, titolari del trattamento, debbono fondare le autorizzazioni a trattare dati personali dei dipendenti “tecnici informatici”.

Infatti il paragrafo 12.1 di detta Prassi di Riferimento stabilisce testualmente che “le designazioni [del Titolare] in ambito di trattamento dei dati mediante strumenti elettronici dovrebbero essere realizzate in forma scritta e sinteticamente riprendere i contenuti principali delle singole funzioni attribuite al lavoratore. Esse dovrebbero disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell’art. 28 del Regolamento”.

Ad ulteriore conferma della garanzia di efficacia del citato “meccanismo di tenuta”, valga la considerazione che sul paragrafo 3 dell’art.28 GDPR, si fondano anche i nuovi modelli di “Clausole Contrattuali Tipo” che la Commissione UE ha recentemente adottato con la Decisione di Esecuzione 2021/915 del 4 giugno 2021.

Di seguito il quadro di misure organizzative e tecniche che compongono il citato meccanismo di tenuta.

Le misure organizzative e tecniche

Il più volte citato paragrafo 3 dell’art. 28 GDPR stabilisce che vada innanzitutto ben descritto l’oggetto del rapporto ed il perimetro di azione tra i fornitori e le imprese/P.A. (clienti), indicando con precisione nel contratto o altro atto giuridico (il c.d. DPA – Data Processing Agreement) la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti dei titolari del trattamento.

Il contratto deve anche prevedere necessariamente che ciascun fornitore, nella sua veste di responsabile del trattamento:

  1. tratti i dati personali soltanto su “istruzioni documentate” delle imprese/P.A. (clienti); anche in caso di esportazione di dati fuori dallo Spazio Economico Europeo;
  2. garantisca che i propri dipendenti autorizzati a trattare dati per conto dei clienti si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
  3. assista le imprese/P.A. (clienti) a dare seguito alle richieste per l’esercizio dei diritti degli interessati, a gestire eventuali data breach e ad eseguire valutazioni di impatto sulla protezione dei dati personali (DPIA);
  4. metta a disposizione delle imprese/P.A. (clienti) tutte le informazioni necessarie per dimostrare la compliance al GDPR, consentendo agli stessi (clienti) l’esecuzione di appositi audits di seconda parte;
  5. adotti tutte le misure di sicurezza ai sensi dell’articolo 32 GDPR.

Quest’ultima categoria di misure merita un approfondimento, poiché rappresenta il “nucleo rigido” del “meccanismo di tenuta” dei sistemi che stiamo analizzando.

Le misure di sicurezza ai sensi dell’art. 32 GDPR

Le misure di sicurezza necessarie a garantire il presidio dei processi aziendali dei fornitori e dei clienti sono ben delineate nell’allegato III alla citata Decisione di Esecuzione 2021/915 del 4 giugno 2021, con cui la Commissione UE ha adottato le “Clausole Contrattuali Tipo”.

Il documento nel precisare che tutte le misure di sicurezza devono essere descritte in modo concreto e non genericamente all’interno del contratto, offre alcuni esempi di possibili misure che i fornitori dovrebbero necessariamente adottare.

Tra queste, quelle che a me appaiono imprescindibili sono le misure di identificazione e autorizzazione dell’utente e l’applicazione del principio del “minimo privilegio” atteso che, come evidenziato nel citato rapporto di ENISA, le principali minacce alle catene di approvvigionamento sono risultate essere: lo spostamento laterale, l’escalation dei privilegi, il comando e controllo, la distribuzione di malware e l’esfiltrazione dei dati.

Altre misure previste specificamente nell’art. 32 GDPR e riproposte nel citato Allegato III sono:

  • la pseudonimizzazione e la cifratura dei dati personali;
  • l’assicurazione su base permanente di riservatezza, integrità e disponibilità dei dati nonché della resilienza dei sistemi e dei servizi di trattamento;
  • la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
  • la definizione e l’adozione di procedure per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza dei trattamenti.

Per completare il quadro di salvaguardia, la citata Decisione di Esecuzione, oltre alla certificazione/garanzia di processi e prodotti, suggerisce l’adozione di misure volte a garantire:

  • la sicurezza fisica dei luoghi in cui i dati personali sono trattati;
  • la protezione dei dati durante la trasmissione e durante la conservazione; la minimizzazione e la qualità e la conservazione limitata dei dati;
  • la configurazione dei sistemi, compresa la configurazione per impostazione predefinita e la registrazione degli eventi, in linea con le misure di informatica interna e di gestione e governance della sicurezza informatica;
  • la portabilità dei dati e la cancellazione.

La compliance al GDPR non è negoziabile

Tutti gli adempimenti a carico dei fornitori fin qui descritti devono essere “attagliati” alla politica di sicurezza di ciascuna impresa/P.A. (cliente).

Potrebbe accadere che i fornitori non aderiscano alle legittime richieste dei clienti, non volendo o non potendo accettare gli standard di sicurezza proposti. Ciò può avvenire, e.g., quando i fornitori al fine di realizzare “economie di scala” sono organizzati per ridurre i costi ed aumentare l’efficienza attraverso un aumento del volume di produzione.

In questi casi le imprese/P.A. possono richiedere di eseguire prodromici audits di seconda parte per accertare se sussista uno spazio di negoziazione, tenendo però sempre ben presente che per tutti gli attori del sistema economico che trattano dati personali la compliance al GDPR non è negoziabile.

 

NOTE

  1. ENISA – Threat landscape for supply chain attacks – Luglio 2021.

  2. Vds. Considerando 81 e art. 28 GDPR.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 2