LA GUIDA PRATICA

Il NIST aggiorna il Cybersecurity Framework: cosa cambia e come usarlo

A distanza di nove anni dalla prima pubblicazione del Cybersecurity Framework (CSF), il NIST ha rilasciato la bozza (Public Draft) della versione 2.0. La pubblicazione definitiva è prevista per i primi mesi del 2024. Ecco cosa cambia e come utilizzarlo nella propria organizzazione

Pubblicato il 21 Ago 2023

Giorgio Sbaraglia

Consulente aziendale Cyber Security, membro del Comitato Direttivo CLUSIT

Nist Cybersecurity Framework 2.0

Promuovere l’innovazione e la creazione di standard tecnologici (negli Stati Uniti e non solo), compresa anche la cyber security: è questo l’obiettivo del Cybersecurity Framework (CSF) del NIST, la cui versione 2.0, rilasciata lo scorso 8 agosto in versione Public Draft, verrà pubblicata nei primi mesi del 2024.

Come si può vedere dalla figura sotto riportata (fonte), la versione 1.1 del Cybersecurity Framework (CSF) è stata pubblicata il 16 aprile 2018 ed è quella attualmente in vigore.

NIST_CSF_storia.png

La roadmap indicata dal NIST per arrivare al CSF 2.0 definitivo è riportata nel cronoprogramma seguente:

Timeline_4-24-2023-2.png

Come si può vedere, la pubblicazione della bozza in questi giorni di agosto fa seguito ad una fase di consultazione iniziata nel febbraio 2022 quando il NIST ha pubblicato una richiesta pubblica di informazioni (RFI: Request for Information), “Evaluating and Improving NIST Cybersecurity Resources: The Cybersecurity Framework and Cybersecurity Supply Chain Risk Management”.

Il NIST ha ricevuto oltre 130 risposte alle RFI da organizzazioni, associazioni, stakeholder. Le risposte sono disponibili sul sito web del NIST CSF.

Il passo successivo – come indicato nel cronoprogramma – è la fase di “Discussion Draft” sulla bozza appena pubblicata. I commenti e i feedback dovranno arrivare al NIST entro il 4 novembre 2023. Conclusa questa fase, nei primi mesi del 2024 il Cybersecurity Framework 2.0 sarà rilasciato ufficialmente.

La struttura del Cybersecurity Framework 2.0

Il NIST Cybersecurity Framework non è l’unico framework esistente, ma sicuramente è uno dei più conosciuti, utilizzato in tutte le organizzazioni del mondo per affrontare i rischi informatici in modo strutturato e con l’uso di metodologie standardizzate.

Questa sua diffusione è motivata sia dall’autorevolezza del NIST, sia dall’approccio metodologico del framework, che risulta tra i più pratici ed efficaci per un’analisi dei cyber rischi.

Per questo è stato tradotto anche in una versione italiana come “Framework Nazionale per la Cybersecurity e la Data Protection”, realizzato da CIS-Sapienza – Research Center of Cyber Intelligence and Information Security e dal CINI (Consorzio Interuniversitario Nazionale per l’Informatica) Cybersecurity National Lab.

La versione 2.0 di febbraio 2019 può essere scaricata da questo link.

La versione italiana riprende sostanzialmente il NIST CSF, con alcune varianti ed integrazioni che mostreremo in seguito.

Vediamo ora come è strutturato il CSF nella versione attuale 1.1 e come si modificherà nella versione 2.0.

Il CSF si basa sulla gestione del rischio informatico e considera 5 classi di attività o “Functions” che devono integrarsi in modo sequenziale per identificare, gestire e reagire ai rischi ed agli attacchi cyber.

Le 5 funzioni – rappresentate con cinque colori diversi – sono:

  1. ID Identify (identificare)
  2. PR Protect (proteggere)
  3. DE Detect (indagare)
  4. RS Respond (reagire)
  5. RC Recover (riparare)

Si riporta la Fig.1 tratta proprio dal CSF 1.1 alla pagina 6.

BIST_CSFv1.png

Le funzioni organizzano le attività di base della cyber security al loro livello più alto e – come si può vedere – strutturano la gestione del rischio di cybersecurity in modo sequenziale, secondo una scansione temporale rispetto all’incidente informatico, con un “prima” (Identify e Protect), un “durante (Detect) ed un “dopo” (Respond e Recover).

Segnaliamo che questo approccio è stato ripreso anche nel recente aggiornamento della ISO/IEC 27001:2022, pubblicata il 25 ottobre 2022 e che si è molto avvicinata alla metodologia del CSF.

Utilizzando questo schema è così possibile organizzare le informazioni, prendere decisioni sulla gestione del rischio, affrontare le minacce e valutare gli investimenti in cyber security.

Le funzioni sono suddivise in “Categories”, che sono in totale 23.

Esempi di categorie sono, per esempio:

  1. Asset Management (ID.AM) (Gestione delle risorse),
  2. Identity Management, Authentication and Access Control (PR.AC) (Gestione dell’identità e controllo degli accessi),
  3. Detection Processes (DE.DP) (Processi di rilevamento).

Le 23 categories sono a loro volta suddivise in “Subcategories”, che rappresentano i singoli controlli da trattare nell’analisi e valutazione del rischio.

Le Subcategories sono in tutto 108 nella versione originale del NIST CSF, mentre nella versione italiana del Framework Nazionale per la Cybersecurity e la Data Protection diventano 117, perché sono state aggiunte alcune sottocategorie che sono riferite al GDPR (che ovviamente non esiste negli USA) e che riguardano la Data Protection.

Per esempio, nel framework italiano abbiamo la sottocategoria DP-ID.AM-7: Sono definiti e resi noti ruoli e responsabilità inerenti al trattamento e la protezione dei dati personali per tutto il personale e per eventuali terze parti rilevanti.

Abbiamo, infine, una quarta colonna del framework che riporta le “Informative References”, i riferimenti informativi a sezioni specifiche di standard, linee guida e pratiche comuni ai settori delle infrastrutture critiche, che forniscono un metodo per raggiungere i risultati associati a ciascuna sottocategoria.

È una funzione estremamente comoda che permette di confrontare e correlare i controlli indicati nel CSF con i controlli equivalenti riportati su altri standard o norme.

immagine-incollata.png

L’elenco completo di tutte le Functions, Categories, Subcategories, ed Informative References è riportato nell’Appendix A: Framework Core del CSF 1.1.

Il Framework può essere utilizzato per confrontare le attuali attività di cyber security di un’organizzazione con quelle delineate nel Core Framework. Attraverso la creazione di un profilo attuale (lo stato “as is”), le organizzazioni possono eseguire una Gap Analysis: valutare in che misura sono lontane dallo stato “to be”, cioè dai risultati descritti nelle Categorie e Sottocategorie del Core, allineate nelle cinque Funzioni di alto livello: Identificare, Proteggere, Rilevare, Rispondere e Recuperare. I Framework Profiles sono illustrati al cap.3.1 della bozza del CSF e ne tratteremo in seguito.

Queste cinque Funzioni permettono di esaminare in modo sintetico i concetti fondamentali del rischio di cybersecurity, per poter valutare come vengono gestiti i rischi identificati e come la propria organizzazione si colloca rispetto agli standard, alle linee guida ed alle pratiche di cyber security esistenti.

Il Framework può anche aiutare un’organizzazione a rispondere a domande fondamentali, tra cui “Come stiamo andando?”. In questo modo potrà muoversi con maggiore cognizione di causa per rafforzare le proprie pratiche di cybersecurity e potrà definire quali siano gli investimenti necessari e compatibili con un’analisi costi/benefici.

Cosa cambia nel Cybersecurity Framework 2.0

La bozza pubblica del NIST Cybersecurity Framework 2.0, pubblicata l’8 agosto 2023, viene presentata appunto come bozza di revisione e raccoglie i commenti ed i feedback ricevuti sulla bozza di discussione di aprile 2023.

La struttura del framework e la metodologia non sono cambiate rispetto al CSF 1.1, tuttavia possiamo segnalare alcune modifiche interessanti.

Il titolo è stato cambiato in “Cybersecurity Framework” dall’originale “Framework for Improving Critical Infrastructure Cybersecurity”.

L’ambito di applicazione del Framework è stato aggiornato per riflettere l’utilizzo da parte di qualsiasi organizzazione; l’enfasi originaria sull’applicazione alle infrastrutture critiche è stata modificata per concentrarsi su tutte le organizzazioni.

Allo stesso modo, se nella versione 1.1. il Framework dichiarava di essere finalizzato alla sicurezza delle infrastrutture critiche statunitensi, la versione 2.0 è stata modificata per concentrarsi sulle organizzazioni di tutto il mondo: questo riflette l’uso del Framework a livello globale.

Sono stati inclusi nuovi riferimenti ad altri Framework e risorse, quali: il NIST Privacy Framework, il NICE Workforce Framework for Cybersecurity (SP 800-181), il Secure Software Development Framework (SP 800-218), le Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations (SP 800-161r1), la Performance Measurement Guide for Information Security (SP 800-55), la serie Integrating Cybersecurity and Enterprise Risk Management (NIST IR 8286) e l’Artificial Intelligence Risk Management Framework (AI 100-1).

Interessante notare in particolare l’integrazione del Framework con il NIST Privacy Framework e con la gestione del rischio aziendale, come trattato nel NIST IR 8286 “Integrating Cybersecurity and Enterprise Risk Management (ERM)”.

La sezione 4.1 della bozza pubblicata l’8 agosto 2023 illustra appunto un esempio di integrazione degli approcci di gestione del rischio, utilizzando insieme il Cybersecurity Framework e il Privacy Framework, come illustrato nella Fig. 7, dove Il bordo esterno della Fig. 7 indica l’intera gamma di rischi ERM di un’organizzazione, con esempi di rischi finanziari, legali, operativi, di sicurezza fisica, di reputazione e di sicurezza, oltre ai rischi di cybersecurity e di privacy.

Fig_7_NIST.png

Viene posta anche una maggiore enfasi sulla gestione del rischio della catena di approvvigionamento: per questo è stata aggiunta una nuova categoria del Framework incentrata sulla gestione del rischio della catena di fornitura (supply chain risk management) e sullo sviluppo sicuro del software.

Una delle modifiche più significative è nelle Functions, che sono diventate 6: oltre alle 5 già presenti nel CSF 1.1, è stata aggiunta una nuova funzione GOVERN (GV) per enfatizzare l’importanza della governance della gestione del rischio di cybersecurity.

Questa nuova funzione è così descritta:

“Stabilire e monitorare la strategia, le aspettative e la politica di gestione del rischio di cybersecurity dell’organizzazione. La funzione GOVERN è trasversale e fornisce risultati per informare come un’organizzazione raggiungerà e darà priorità ai risultati delle altre cinque funzioni nel contesto della sua missione e delle aspettative degli stakeholder. Le attività di governance sono fondamentali per incorporare la cybersecurity nella più ampia strategia di gestione del rischio aziendale di un’organizzazione. GOVERN dirige la comprensione del contesto organizzativo, la definizione della strategia di cybersecurity e la gestione del rischio della catena di fornitura di cybersecurity, i ruoli, le responsabilità e le autorità, le politiche, i processi e le procedure e la supervisione della strategia di cybersecurity”.

La governance della cyber security – secondo quanto descritto nel CSF 2.0 – può includere la determinazione delle priorità e della tolleranza al rischio dell’organizzazione, dei clienti e della società in generale; la valutazione dei rischi e degli impatti della cyber security; la definizione di politiche e procedure di cyber security; la comprensione dei ruoli e delle responsabilità in materia di cybersecurity.

Già nel CSF 1.1 le Functions erano rappresentate come una ruota, perché tutte le Funzioni sono in relazione tra loro.

Ma nel CSF 2.0 (vedasi fig.2) la Funzione GOVERN è posta al centro della ruota perché informa il modo in cui un’organizzazione implementerà le altre cinque funzioni.

Screenshot 2023-08-15 alle 00.37.47.png

Nella Function GOVERN sono presenti le seguenti nuove Categories:

  1. Organizational Context (GV.OC): le circostanze – missione, aspettative degli stakeholder e requisiti legali, normativi e contrattuali – che circondano le decisioni di gestione del rischio di cyber security dell’organizzazione sono comprese (nel CSF 1.1 era la category ID.BE, ora migrata nella function GV).
  2. Risk Management Strategy (GV.RM): le priorità, i vincoli, le dichiarazioni di tolleranza e di propensione al rischio e le ipotesi dell’organizzazione sono stabilite, comunicate e utilizzate per supportare le decisioni sul rischio operativo (precedentemente era la ID.RM).
  3. Cybersecurity Supply Chain Risk Management (GV.SC): i processi di gestione del rischio della catena di approvvigionamento informatico sono identificati, stabiliti, gestiti, monitorati e migliorati dalle parti interessate dell’organizzazione (era la ID.SC).
  4. Roles, Responsibilities, and Authorities (GV.RR): i ruoli, le responsabilità e le autorità in materia di cyber security per promuovere la responsabilità, la valutazione delle prestazioni e il miglioramento continuo sono stabiliti e comunicati (era la ID.GV-2).
  5. Policies, Processes, and Procedures (GV.PO): le politiche, i processi e le procedure di cyber security dell’organizzazione sono stabiliti, comunicati e applicati (precedentemente era la ID.GV-1).
  6. Oversight (GV.OV): i risultati delle attività e delle prestazioni di gestione del rischio di cyber security a livello di organizzazione vengono utilizzati per informare, migliorare e adeguare la strategia di gestione del rischio.

Inoltre nella function Identify è stata aggiunta la categoria Improvement (ID.IM).

Per un elenco completo delle Functions, Categories e Subcategories del Framework Core si rimanda alla Appendix C. Framework Core (pag.29) ed anche al “Discussion Draft: The NIST Cybersecurity Framework 2.0 Core with Implementation Examples” dell’8 agosto 2023.

Inoltre, nella bozza pubblicata, oltre alle Informative References (utilissime!), sono presenti anche Implementation Examples, che forniscono esempi teorici di passi concisi e orientati all’azione per aiutare a raggiungere i risultati delle sottocategorie, oltre alla guida fornita dai riferimenti informativi.

Altri esempi di implementazione per le varie Functions, Categories, e Subcategories della bozza del CSF 2.0 si trovano nel Reference Tool, recentemente pubblicato da NIST.

Come si utilizza il Cybersecurity Framework 2.0

tutte le funzioni hanno un ruolo fondamentale e temporale in relazione agli incidenti: governare, identificare e proteggere aiutano a prevenire e a prepararsi agli incidenti di cyber security, mentre governare, rilevare, rispondere e recuperare aiutano a scoprire e gestire gli incidenti di cyber security.

Il cap.3 della bozza del CSF 2.0 spiega come usare il Framework.

Il Framework – come già la precedente versione 1.1 – può essere utilizzato in molti modi.

Il suo utilizzo varia in base alla missione e ai rischi specifici di un’organizzazione.

Esso fornisce un’implementazione flessibile ed assolutamente “risk based” che può essere utilizzata con un’ampia gamma di processi di gestione del rischio di cyber security.

Con una comprensione delle aspettative degli stakeholder e della propensione e tolleranza al rischio (come quella delineata in GOVERN), le organizzazioni possono stabilire le priorità delle attività di cyber security, consentendo loro di prendere decisioni informate sulle spese e sulle azioni di cyber security.

Le organizzazioni possono scegliere di gestire i rischi in modi diversi, secondo le quattro modalità di trattamento del rischio: mitigarli, trasferirli, evitarli o accettarli, a seconda degli impatti potenziali.

Il NIST fa notare che le organizzazioni possono utilizzare il Framework sia internamente che per la supervisione di terzi.

Lo scopo del CSF è quello di realizzare un’analisi dei cyber rischi, per individuare le misure più utili da adottare.

Il meccanismo del Framework per descrivere la postura di cybersecurity attuale e target di un’organizzazione è definito Framework Profile. I profili vengono utilizzati per comprendere, valutare, dare priorità e adattare i risultati del CSF Core (cioè Funzioni, Categorie e Sottocategorie) in base agli obiettivi dell’organizzazione, alle aspettative degli stakeholder, all’ambiente di minaccia, come illustrato nella Fig. 3.

Screenshot 2023-08-17 alle 15.59.35.png

Esistono due tipi di profili:

  1. Un Current Profile (Profilo attuale) che definisce i risultati del CSF Core che un’organizzazione sta attualmente raggiungendo (o cercando di raggiungere) e caratterizza come o in che misura ciascun risultato viene raggiunto. È quello che si definisce stato “as is”.
  2. Un Target Profile (Profilo obiettivo, è lo stato “to be”) che comprende i risultati desiderati che un’organizzazione ha selezionato e reso prioritari dal Core per raggiungere i propri obiettivi di gestione del rischio di cyber security. Un Target Profile tiene conto dei cambiamenti previsti per la postura di cyber security dell’organizzazione, come i nuovi requisiti, l’adozione di nuove tecnologie e le tendenze delle informazioni sulle minacce di cyber security.

Il Cybersecurity Framework 2.0 non fornisce regole imperative sull’uso dei profili, anzi afferma che un’organizzazione potrebbe creare prima un Profilo corrente e poi pensare alle aree di miglioramento, oppure – in alternativa – potrebbe partire da un Profilo obiettivo verso il quale lavorare. Ad esempio, un’organizzazione potrebbe concentrarsi prima sullo sviluppo del Profilo target e, nel corso di questo, determinare anche la sua attuale postura di cyber security per il Profilo corrente.

Viene anche precisato che ciascuna organizzazione potrà scegliere di utilizzare le voci del CSF Core (Functions, Categories, Subcategories) che sono pertinenti ed applicabili per l’organizzazione stessa.

Questo permette alle organizzazioni di definire le priorità per raggiungere gli obiettivi del CSF Core. Le organizzazioni possono quindi stabilire le priorità delle loro azioni per raggiungere risultati specifici e comunicare queste informazioni agli stakeholder interni ed esterni. L’Appendix A “Templates for Profiles and Action Plans” nella Table 1.Notional organizational profile template fornisce un modello teorico di Profilo attuale e di Profilo obiettivo ed esempi di elementi comuni che le organizzazioni possono scegliere di utilizzare.

Screenshot 2023-08-17 alle 16.07.21.png

I Profili possono essere utilizzati in molti modi, tra cui:

  1. confrontare le attuali pratiche di cyber security con gli standard e i requisiti normativi specifici del settore;
  2. documentare i riferimenti informativi (ad esempio, standard, linee guida e politiche) e le pratiche (ad esempio, procedure e salvaguardie) attualmente in vigore e pianificate per il futuro;
  3. stabilire gli obiettivi di cyber security per l’organizzazione, identificare le lacune tra le pratiche attuali e gli obiettivi e pianificare come affrontare le lacune in modo efficace dal punto di vista dei costi;
  4. definire le priorità dei risultati di cyber security;
  5. valutare i progressi verso il raggiungimento degli obiettivi di cyber security dell’organizzazione;
  6. determinare dove l’organizzazione potrebbe avere lacune nella cyber security rispetto a una minaccia emergente;
  7. comunicare le capacità di cyber security fornite dall’organizzazione, ad esempio ai partner commerciali o ai potenziali clienti dei prodotti e servizi tecnologici dell’organizzazione;
  8. esprimere i requisiti e le aspettative di cyber security dell’organizzazione a fornitori, partner e altre terze parti.

Il NIST Cybersecurity Framework rappresenta quindi uno strumento estremamente pratico e completo, che permette ad organizzazioni diverse di “parlare la stessa lingua” ed utilizzare gli stessi standard di riferimento.

Valutare il livello di sicurezza informatica in azienda: come usare i Capability Maturity Models

La governance e la gestione dei rischi cyber

Per concludere, citiamo brevemente un altro aspetto che viene trattato nel CSF: i livelli (Tiers), esposti nel cap.3.3.

La scelta dei livelli (Tiers) del Framework contribuisce a definire il livello generale della gestione dei rischi di cyber security all’interno dell’organizzazione e a determinare l’impegno necessario per raggiungere un determinato livello.

Le organizzazioni possono scegliere di utilizzare i Livelli riportati nell’Appendix B. Framework Tier Descriptions per gestire i loro Profili attuali e target.

I livelli caratterizzano il rigore della governance e della gestione dei rischi di cyber security di un’organizzazione e forniscono un contesto su come un’organizzazione considera i rischi di cybersecurity e i processi in atto per gestirli.

I livelli sono rappresentati in una gamma che va dal Partial (Tier 1) ad Adaptive (Tier 4), come illustra la figura sottostante.

NIST_Tiers.png

Essi riflettono una progressione che va da risposte informali ad approcci agili, informati sul rischio e in continuo miglioramento.

Secondo quanto riportato nel CSF, “i livelli dovrebbero essere utilizzati per integrare la metodologia di gestione del rischio di cyber security di un’organizzazione, piuttosto che sostituirla”.

Ed inoltre: non tutte le organizzazioni devono necessariamente trovarsi in un determinato livello (ad esempio, livello 3 o 4). La progressione a livelli superiori è incoraggiata quando i rischi sono maggiori o quando un’analisi costi-benefici indica una riduzione dei rischi di cyber security fattibile ed efficace in termini di costi.

Nella scelta dei livelli, l’organizzazione deve considerare le attuali pratiche di gestione del rischio, l’ambiente delle minacce, i requisiti legali e normativi, gli obiettivi aziendali e di missione, i requisiti della catena di fornitura e i vincoli organizzativi.

L’organizzazione deve assicurarsi che la selezione e l’uso dei Livelli contribuiscano a raggiungere gli obiettivi organizzativi, siano fattibili da implementare e riducano i rischi di cyber security per gli asset critici a livelli accettabili per l’organizzazione.

Come si evince, questi concetti richiamano esattamente i temi del Risk Management, a cui il NIST CSF fa ampio riferimento.

La storia del NIST Cybersecurity Framework

Questo framework, il cui titolo ufficiale era “Framework for Improving Critical Infrastructure Cybersecurity” nasce a seguito di un ordine esecutivo (EO) del Presidente Obama.

È l’Executive Order 13636 del 12 febbraio 2013, nel quale venivano indicati i criteri per la creazione di un framework che (citiamo testualmente dall’EO):

  1. “identifichi standard e linee guida di sicurezza applicabili a tutti i settori delle infrastrutture critiche;
  2. fornisca un approccio prioritario, flessibile, ripetibile, basato sulle prestazioni ed efficace dal punto di vista dei costi;
  3. aiuti i proprietari e gli operatori delle infrastrutture critiche a identificare, valutare e gestire il rischio informatico;
  4. consenta l’innovazione tecnica e tenere conto delle differenze organizzative;
  5. fornisca una guida che sia neutrale dal punto di vista tecnologico e che permetta ai settori delle infrastrutture critiche di beneficiare di un mercato competitivo per prodotti e servizi;
  6. includere una guida per misurare le prestazioni dell’implementazione del Cybersecurity Framework;
  7. identifichi le aree di miglioramento che dovrebbero essere affrontate attraverso una futura collaborazione con particolari settori e organizzazioni di sviluppo degli standard;
  8. sia coerente con gli standard internazionali volontari”.

Il NIST[1] (National Institute of Standards and Technology) è stato scelto per lo sviluppo del framework perché è un’agenzia federale che ha la missione di promuovere l’innovazione e la creazione di standard tecnologici negli Stati Uniti, compresa anche la cyber security.

Un anno dopo l’emanazione dell’Ordine Esecutivo 13636, il 12 febbraio 2014 il NIST ha rilasciato la versione 1.0 del Framework for Improving Critical Infrastructure Cybersecurity. Il Framework è stato rilasciato come guida volontaria, basata su standard, linee guida e pratiche esistenti.

 

NOTE

  1. NIST (National Institute of Standards and Technology) è un’agenzia del governo degli Stati Uniti d’America che si occupa della gestione delle tecnologie. Fa parte del DoC, Department of Commerce (Ministero del Commercio). Il NIST è nato nel 1901 come “National Bureau of Standards” (NBS). È diventato il “National Institute of Standards and Technology” nel 1988. Ha come compito istituzionale quello di di sviluppare standard tecnologici

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Who's Who

Argomenti

Canali

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati

  • SICUREZZA INFORMATICA

    NIST Cybersecurity Framework 2.0, cambia lo standard della cyber security: ecco come

    05 Mar 2024

    di Giorgio Sbaraglia

    Condividi

  • SICUREZZA INFORMATICA

    Ospedali smart più protetti dalle cyber minacce: è la formazione la chiave per la sicurezza in rete

    03 Ago 2023

    di Roberto Chiodi

    Condividi

  • L'ANALISI

    Il Data Governance Act è applicabile: nuove opportunità e rischi della data economy

    22 Set 2023

    di Andrea Michinelli e Carlotta Galbusera

    Condividi

  • STRATEGIA DIGITALE EUROPEA

    Data Act, verso una riforma dello spazio digitale europeo: quali benefici

    04 Ott 2023

    di Roberto A. Jacchia e Federico Aluigi

    Condividi

Prossimo

NIST Cybersecurity Framework 2.0, cambia lo standard della cyber security: ecco come

Articolo 1 di 5