RACCOMANDAZIONI ENISA

Minacce alla sicurezza nella supply chain: ecco come contrastare gli attacchi più diffusi

Gli attacchi alla supply chain sono aumentati di numero e in sofisticazione nel corso del 2020 e il trend non accenna a fermarsi. In questo scenario, ENISA ha pubblicato alcune utili raccomandazioni per un efficace contrasto delle minacce alle catene di fornitori. Eccole in dettaglio

23 Ago 2021
M
Andrea Michinelli

Avvocato, FIP (IAPP), LA ISO/IEC 27001:2013

ENISA, nel suo compito di fornire informazione e consapevolezza generale sulla sicurezza informatica quale agenzia dell’Unione sul tema, ha pubblicato a fine luglio scorso un rapporto dal titolo “ENISA threat landscape for supply chain attacks” che mira a mappare e studiare gli attacchi nelle catene di fornitori che sono stati scoperti da gennaio 2020 all’inizio di luglio 2021, in piena era “Covid-19” con relativa digitalizzazione forzata del mercato.

Sulla base delle tendenze e dei modelli osservati, l’ente suona l’allarme: gli attacchi di questo tipo sono aumentati di numero e in sofisticazione nel corso del 2020, continuando nel 2021 (si stima che nel 2021 vi saranno quattro volte più attacchi rispetto all’anno passato).

Tali attacchi sfruttano l’interconnessione e interdipendenza dei mercati globali per avere maggior penetrazione ed effetto nella accresciuta complessità e commistione, alimentando anche la “reputazione” di determinati gruppi di attaccanti che si fanno forti di certi exploit resi noti dalla stampa.

Il tema è anche di pregnante interesse sotto la lente della protezione dei dati personali: è di giugno ad es. una serie di sanzioni del Garante Privacy nel caso dell’aeroporto Marconi di Bologna ove si era scoperta una serie di malpractice anche del fornitore software dell’aeroporto.

Il rischio di subire dunque non solo un danno di sicurezza ma anche una sanzione per la cattiva gestione del tema è elevato.

Trattandosi di minacce alla sicurezza di maggior complessità rispetto ad altri, l’analisi dell’ENISA è fondamentale nel cercare di allertare le aziende, i professionisti, le pubbliche amministrazioni, suggerendo anche metodi di protezione al passo coi tempi e che coinvolgano maggiormente i fornitori stessi.

Proviamo, dunque, ad analizzarlo premettendo che il documento è un corposo volume di quasi sessanta pagine: qui ci limitiamo a indicazioni generali e a sottolineare alcune casistiche di rilievo pratico, sia per la sicurezza che per la protezione dei dati (personali e non).

Minacce alla sicurezza nella supply chain: i dati

ENISA riporta nel suo documento 24 attacchi alla filiera (supply chain) che sono stati segnalati da gennaio 2020 all’inizio di luglio 2021, con risultati piuttosto allarmanti:

WHITEPAPER
Customer Experience agile, PERSONALIZZATA e omnicanale: come passare al modello 4.0
CRM
Open Innovation
  • circa il 50% degli attacchi sono stati attribuiti a noti gruppi di attaccanti dalla comunità di security (il restante invece non è stato attribuito a un particolare gruppo o attaccante);
  • circa il 66% dei vettori di attacco utilizzati verso i fornitori rimane ancora sconosciuto;
  • circa il 62% degli attacchi ai clienti ha fatto leva sulla fiducia riposta nel proprio fornitore;
  • nel 62% dei casi il malware era la tecnica di attacco utilizzata;
  • nel 66% degli attacchi gli aggressori si sono concentrati sul codice dei fornitori, al fine di compromettere determinati clienti degli stessi;
  • circa il 58% degli attacchi mirava ad accedere ai dati (prevalentemente dati dei clienti, compresi i dati personali e di proprietà intellettuale), circa il 16% a entrare in contatto e far leva sulle persone per accedere a quanto desiderato;
  • non tutti gli attacchi dovrebbero essere qualificati come attacchi della filiera, però a causa della loro natura molti di essi sono potenziali vettori per nuovi attacchi alla supply chain in futuro.

Attacco alla supply chain: di cosa si tratta

L’ENISA propone anzitutto una propria tassonomia degli attacchi in parola, pregni di singolarità per distinguerli da altre fattispecie così da facilitare l’analisi e gli interventi nel caso concreto.

La tassonomia dovrebbe essere utilizzata come un modello guida nel caso di un nuovo potenziale attacco, così che la comunità possa cercare di analizzarlo, identificando e mappando ciascuno dei vari elementi della tassonomia.

Se nessun cliente o fornitore viene attaccato, probabilmente non si tratta di un attacco alla filiera. Ecco perché il modello dell’ENISA propone una tassonomia schematizzata per tipo di attacco al cliente/fornitore e per beni/risorse attaccati, indicando i vari elementi da marcare per comprendere il tipo di attacco in corso e le relative contromisure suggerite.

Un modello che può completare, nelle intenzioni dell’ENISA, altri framework come ad es. quello del MITRE ATT&CK, un’importante knowledge-base ad accesso pubblico proprio per informare ed aiutare nella controffensiva sulla sicurezza, dedicando una sezione alla compromissione della supply chain.

Tra le tecniche di attacco elencate possiamo trovare: (per il fornitore) infezione da malware, ingegneria sociale, attacco “brute force”, sfruttamento di vulnerabilità del software, vulnerabilità di configurazione, attacco o modifica fisici, OSINT (open source intelligence), contraffazione; (per il cliente) relazione attendibile tra soggetti (ad es. fiducia), drive-by download (quando è sufficiente visitare un sito web per avviare, tramite script, il download del codice maligno), phishing, infezione dal malware, attacco o modifica fisici, contraffazione (ad es. simulazione di una memoria USB).

Scorrendo le risorse attaccabili rinveniamo: (per il fornitore) codice (del fornitore), librerie software, software preesistente di terzi, configurazioni, dati, processi hardware, persone (con accessi a dati, sistemi ecc.); (per il cliente) dati (personali e non), software, processi, larghezza di banda della rete, obiettivi finanziari (es. dirottare pagamenti), persone.

Ciclo di vita della supply chain

Un attacco alla supply chain è solitamente composto da un attacco a uno o più fornitori e poi da un attacco successivo al bersaglio finale, vale a dire il cliente.

Ognuno di questi attacchi può assomigliare molto al ciclo di vita degli attacchi “APT” (Advanced Persistence Threat), ovvero un qualsiasi attacco mirato che: ottenga l’accesso non autorizzato a un’azienda/sistema informativo; sia distribuito su un lungo periodo di tempo (ovviamente senza che sia percepito dall’host, ad es. mantenendo un accesso non autorizzato attivo nel tempo); il suo obiettivo finale sia legato specificamente al target.

Detto altrimenti, è un tipo di attacchi mirati, complessi, costosi, pianificati a lungo (ad es. potrebbero richiedere attacchi sincronizzati a più aziende), così come complessa sarà l’attività di contrattacco, specie quanto alla gestione di un incidente, all’analisi forense e alla gestione complessiva.

Quindi ENISA sottolinea che “un’organizzazione potrebbe essere vulnerabile a un attacco della catena di approvvigionamento anche quando le proprie difese risultano piuttosto buone”, visto che gli aggressori possono esplorare nuove potenziali vie per infiltrarsi sfruttando i loro fornitori.

Il ciclo di vita degli attacchi alla supply chain, secondo ENISA, può essere visto come due attacchi APT intrecciati: Il primo attacco prende di mira uno o più fornitori e il secondo attacco prende di mira i clienti di questi, per arrivare ai suoi asset.

Analisi di attacchi e incidenti della filiera

Il documento procede nel descrivere alcuni reali casi di attacchi alla catena di approvvigionamento, ad es. quello occorso al software di gestione e monitoraggio Orion della società SolarWinds (gli aggressori avevano probabilmente sfruttato una vulnerabilità zero-day o simile, una volta compromesso il sistema il software dannoso è stato iniettato in Orion durante il processo di compilazione, per poi essere scaricato direttamente dai clienti ed essere utilizzato per raccogliere e rubare informazioni).

Inoltre ci sono stati molti incidenti che inizialmente sembravano essere attacchi della catena di approvvigionamento o erano considerati parte di un probabile futuro attacco alla catena di approvvigionamento. Ad es. molte vulnerabilità software tradizionali che sono state trovate sono state segnalate come un “rischio” per futuri attacchi della supply chain. In seguito tuttavia sono state trovate cause come bug o errori involontari, non costituendo attacchi alla catena di approvvigionamento perché non hanno comportato la compromissione di alcun fornitore o cliente. In molti casi, le vulnerabilità nel software sono state scoperte ma non utilizzate negli attacchi noti.

Sicurezza nella supply chain: le raccomandazioni

A esito della disamina l’ente fornisce preziose indicazioni, dato che le imprese “stanno diventando sempre più consapevoli della necessità di valutare la maturità della sicurezza informatica dei loro fornitori e il livello di esposizione al rischio derivante da questa relazione cliente-fornitore”.

I clienti devono valutare e tener conto della qualità complessiva dei prodotti e delle pratiche di cybersicurezza dei loro fornitori, compreso se applicano procedure di sviluppo software sicure. Inoltre dovrebbero esercitare una maggiore diligenza nel formare e vagliare i loro fornitori, oltre che nel gestire il rischio che deriva da tali relazioni.

Per gestire il rischio di sicurezza nella supply chain, i clienti devono:

  1. identificare e documentare i tipi di fornitori e di servizi;
  2. definire criteri di rischio per diversi tipi di fornitori e servizi (ad es. dipendenze da fornitori e clienti, dipendenze software critiche, singoli point-of-failure);
  3. valutare i rischi della supply chain in base alla propria business continuity;
  4. definire misure per il trattamento del rischio basate su best practice;
  5. monitorare i rischi e le minacce della filiera, sulla base di fonti di informazione interne ed esterne nonchè dei risultati del monitoraggio e delle revisioni delle prestazioni dei fornitori stessi;
  6. rendere il proprio personale consapevole dei predetti rischi.

Nel gestire il rapporto con i fornitori, i clienti devono:

  1. gestire i fornitori durante l’intero ciclo di vita di un prodotto o servizio, comprese le procedure per gestire prodotti o componenti fuori uso;
  2. classificare le risorse e le informazioni condivise o accessibili ai fornitori e definire le procedure pertinenti per il loro accesso e gestione;
  3. definire gli obblighi dei fornitori per la protezione del patrimonio dell’organizzazione, per la condivisione delle informazioni, per l’esercizio di audit, per la business continuity, per lo screening del personale e per la gestione degli incidenti in termini di responsabilità, notifica e procedure;
  4. definire i requisiti di sicurezza per i prodotti e i servizi acquisiti;
  5. includere tutti questi obblighi e requisiti nei contratti con i fornitori; concordare norme per il subappalto e potenziali requisiti a cascata (per i c.d. sub-responsabili nel caso di dati personali ai sensi del GDPR);
  6. monitorare le prestazioni del servizio ed eseguire audit di sicurezza di routine per verificare il rispetto dei requisiti contrattuali di sicurezza informatica; ciò include l’handling di incidenti, vulnerabilità, patch, requisiti di sicurezza ecc.;
  7. farsi garantire dai fornitori che non siano consapevolmente incluse funzionalità nascoste o backdoor;
  8. garantire che siano presi in considerazione e rispettati tutti i requisiti normativi;
  9. definire processi per gestire i cambiamenti negli accordi con i fornitori, ad es. cambiamenti negli strumenti, nelle tecnologie e via dicendo.

ENISA procede con raccomandazioni circa lo sviluppo sicuro di prodotti e servizi per i fornitori, oltre che con buone prassi circa i seguenti aspetti:

  • vulnerability management: ciò include ad es. il monitoraggio delle vulnerabilità di sicurezza segnalate da fonti interne ed esterne che includono componenti di terze parti, l’analisi dei rischi delle vulnerabilità utilizzando un sistema di ranking delle vulnerabilità (ad es. CVSS), policy di manutenzione per il trattamento delle vulnerabilità identificate a seconda del livello di rischio, processi per informare i clienti, verifica delle patch con relativi test per garantire che siano soddisfatti i requisiti operativi, di sicurezza, legali e di sicurezza informatica e che la patch sia compatibile con componenti di terze parti non integrati, processi per la delivery sicura delle patch e per la documentazione delle patch ai clienti, partecipare a un programma di divulgazione delle vulnerabilità che includa un processo di segnalazione e divulgazione;
  • patch management: le vulnerabilità vanno affrontate dai fornitori tramite le patch, la cui buona gestione include ad es. mantenere un inventario delle risorse che includa informazioni rilevanti in materia di patch, utilizzare le risorse informative per identificare le vulnerabilità tecniche pertinenti, valutare i rischi delle vulnerabilità identificate e disporre di una policy di manutenzione documentata e correttamente implementata, ricevere patch solo da fonti legittime e testarle prima della loro installazione, applicare misure alternative qualora una patch non sia disponibile o applicabile, applicare procedure efficaci di rollback (cioè di ripristino di una situazione coerente e funzionale all’ultimo buono stato conosciuto) nonché di backup e ripristino.

Vi sono anche iniziative di terzi – consapevoli dell’interesse generale e di tutta la filiera per i temi in parola – che possono rivelarsi preziose in questo ambito: si cita Google, la quale ha introdotto nel giugno 2021 un framework chiamato SLSA (Supplychain Levels for Software Artifacts), proprio per garantire l’integrità dei software lungo tutta la catena di fornitura, specie riguardo all’open source.

Inoltre si menziona il progetto MITRE D3FEND, un framework anch’esso lanciato a giugno, tale da consentire alle imprese di trovare misure di mitigazione specifiche per prevenire attacchi specifici, seppure non sia mirato specificamente alla protezione della supply chain.

Non mancano richiami all’azione degli Stati e delle relative istituzioni: pensiamo alle funzioni nascoste e le funzionalità di accesso non documentato (c.d. backdoor) nei componenti hardware, non certo facili da identificare in modo esaustivo dalle certificazioni più comuni o dai penetration test standard, oppure alle vulnerabilità zero-day (note e utilizzate solo da un gruppo specifico).

Tutti casi estremamente difficili da contrastare, sia per i clienti che per i fornitori.

Di conseguenza, può essere necessaria un’azione a livello nazionale o addirittura comunitario, qualora le autorità nazionali competenti svolgessero valutazioni dei rischi per la sicurezza nazionale della filiera, tenendo conto degli attaccanti noti, al fine di ricavare misure di contrasto di livello nazionale.

Anche considerato che gli attacchi potrebbero essere frutto dell’operato di o sostenuti da attaccanti istituzionali esteri, con capacità avanzate: in questo caso sarebbe necessaria l’assistenza delle autorità competenti per mitigare i rischi annessi.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr