LA GUIDA PRATICA

Sicurezza informatica e protezione dati nelle PMI: indicazioni operative

Per le PMI è importante definire un piano di sicurezza informatica e protezione dati per la difesa dai rischi provenienti dall’esterno. Ecco le indicazioni operative fornite dai 15 controlli essenziali del Framework Nazionale per la Cybersecurity e la Data Protection

21 Apr 2020
S
Alberto Stefani

Data Protection Officer, Consulente Cybersecurity

È importante che le imprese e soprattutto le PMI vengano indirizzate sul percorso da seguire per poter costruire una sensibilità aziendale proiettata verso la sicurezza informatica e la protezione dati.

La sensibilità aziendale in merito alle difese da attuare nei confronti degli attacchi informatici, infatti, molto spesso aumenta a seguito di violazioni dei propri sistemi di difesa. In molti casi, però, per le piccole e medie imprese del tessuto nazionale non è facile comprendere appieno l’importanza di un concreto piano di difesa nei confronti dei rischi provenienti dall’ambiente esterno.

Naturalmente il panorama che va dall’analisi delle minacce alla predisposizione delle opportune contromisure ed ai controlli da effettuare è molto ampio e deve avere, al fine di poter essere efficacemente attuato, delle competenze specifiche sull’argomento altrimenti il risultato può rischiare di essere sostanzialmente nullo.

Fortunatamente esistono istituzioni che indirizzano le imprese sul percorso da seguire per poter costruire questa sensibilità aziendale.

Sicurezza informatica e protezione dati nelle PMI: controlli essenziali

Tra tutti gli strumenti messi a disposizione vogliamo porre la nostra attenzione sul Framework Nazionale per la Cyber Security e la Data Protection emesso dal CIS (Cyber Intelligence and Information Security) dell’Università Sapienza in collaborazione con il CINI Cybersecurity National Lab (Consorzio Interuniversitario Nazionale per l’Informatica), il quale ha elaborato uno strumento di indirizzo nella gestione coerente e sicura dei dati all’interno delle aziende.

WHITEPAPER
CYBERSECURITY: le migliori strategie per la tutela e la continuità dei servizi IT
Sicurezza
Cybersecurity

Tra le indicazioni fondamentali presenti all’interno del documento esistono i cosiddetti controlli essenziali. Cerchiamo di analizzarli nello specifico evidenziando le caratteristiche salienti, le motivazioni e le relazioni con le norme attualmente in vigore nel panorama nazionale e internazionale.

I 15 controlli sono suddivisi in otto tematiche principali verso cui ogni azienda deve porre l’attenzione massima per cercare di aumentare le proprie difese.

Prima tematica: inventario dispositivi e software

  • Esiste ed è aggiornato un inventario preciso e aggiornato dei dispositivi, dei sistemi, delle applicazioni informatiche in uso all’interno del perimetro aziendale.

Raramente è possibile comprendere l’importanza e i benefici che l’inventario degli asset può apportare ad una qualsiasi azienda. Se correttamente implementato e gestito, l’inventario degli asset è in grado di rispondere adeguatamente a domande fondamentali ricorrenti come ad esempio: quali asset sono presenti in azienda? Dove sono dislocati? Chi sono gli utilizzatori e in che modo sono utilizzati? Quanto sono costati, quanto valgono ora e quanto mi costerebbe riacquistarli? Quando sono da sostituire o eventualmente da aggiornare per esempio con un sistema operativo più recente? Quali sono i possibili impatti sui servizi IT e di business di un parco macchine obsoleto?

Avere un documento che racchiude tutte queste informazioni è un requisito indispensabile che ogni azienda dovrebbe possedere: può facilmente essere implementato come un vero e proprio registro (utilizzando per esempio un foglio Excel) o una mappa dell’intero patrimonio informatico aziendale che consenta l’identificazione di tutti gli archivi e le componenti dell’infrastruttura.

All’interno dell’elenco possono trovare posto hardware, software, dettagli sul sistema operativo, configurazioni e stato delle periferiche e sullo stato di protezione di ogni componente, i dati elaborati e tutte le informazioni che, a parere dell’azienda, possono risultare importanti.

Tale pratica è molto utile e alla luce del GDPR, può essere uno strumento indispensabile per la ricerca e la codifica dei trattamenti di dati da inserire in un uno dei documenti cardine di qualsiasi sistema di gestione privacy: il registro dei trattamenti (v. art.30 e sgg. GDPR).

Tutto questo può essere anche inteso come lavoro propedeutico ad una attenta e precisa valutazione dei rischi.

  • I servizi web come ad esempio social network, servizi cloud, posta elettronica, spazio web offerti da terze parti sono quelli strettamente necessari.

Ogni necessità aziendale di utilizzare le tecnologie messe a disposizione dal mondo cibernetico può rivelarsi un’ipotetica minaccia se non opportunamente utilizzata.

La raccomandazione quindi è quella di utilizzare solo ed esclusivamente le piattaforme e servizi web che sono necessari alla gestione aziendale e monitorare costantemente il loro utilizzo poiché questi canali si possono rivelare come un veicolo di minacce per l’organizzazione che li utilizza.

Pensiamo, ad esempio, alle minacce provenienti dai messaggi di posta elettronica e al rischio che la nostra posta elettronica sia violata da attacchi informatici con il conseguente sviluppo di compromissione di mail, attacchi di phishing, fraud invoice e altri.

  • Sono individuate le informazioni, i dati e i sistemi critici per l’azienda affinché siano opportunamente protetti.

Sappiamo molto bene che i dati non sono tutti uguali. Esistono dati che per imposizione di legge devono essere protetti adeguatamente (v. dati personali nel GDPR) e altri che sono importantissimi per l’azienda e su di loro si basa il futuro della stessa (ricerche, progetti e brevetti).

Convenendo che tutti i dati sono importanti mi permetto di affermare che alcuni lo sono di più. Si introduce quindi la necessità di proteggerli nel modo adeguato attraverso le tecnologie messe a disposizione come i backup, il cloud, i firewall.

Anche qui la dottrina ci viene in aiuto potendo analizzare ogni trattamento di dati in base ai parametri RID riuscendo ad assegnare per ogni tipo di dato un valore appropriato di riservatezza, integrità e disponibilità. Ma questo necessiterebbe di una trattazione apposita.

  • È stato nominato un referente che sia nominato responsabile per il coordinamento delle attività di gestione e protezione delle informazioni e dei sistemi informatici.

Il GDPR ci ha fatto conoscere la figura del DPO o, all’italiana, responsabile della protezione dei dati (RPD) poiché si è compreso ed imposto che in alcune organizzazioni di dimensioni considerevoli la protezione dei dati abbia la necessità di conoscenze specifiche e multisettoriali che vanno dalla legislazione all’informatica passando per l’ingegneria gestionale e l’analisi dei rischi.

Se all’interno di un’azienda non è prevista la presenza del DPO, tutto il lavoro passa nelle mani del titolare del trattamento che avrà obbligo di organizzare, gestire, monitorare e soprattutto conoscere le dinamiche imposte da una corretta gestione dei dati presenti in azienda sicuramente in accordo e condivisione con un’altra figura fondamentale dell’organigramma aziendale in ambito della gestione dei dati ovvero l’amministratore di sistema.

Seconda tematica: Governance

  • Sono identificate e rispettate le leggi e i regolamenti in materia di cybersecurity che risultano applicabili.

Conoscere e seguire tutte le indicazioni provenienti dalle leggi e dai regolamenti non è sicuramente un’operazione facile per coloro che non sono pienamente inseriti nel settore della sicurezza informatica.

Volendo, possiamo però indicare quelle che sono le leggi e i regolamenti a cui il Framework Nazionale fa riferimento e a cui potrebbe essere necessario appellarsi per esplicitare opportune linee guida nell’applicazione dei controlli.

Di seguito riportiamo:

  1. Regolamento UE 679/2016 comunemente chiamato GDPR e ss.mm.ii.
  2. ISO/IEC 27001:2013 ossia lo standard internazionale sulla sicurezza delle informazioni.
  3. ENISA, l’Agenzia europea per la sicurezza delle reti e dell’informazione che emette costantemente documenti molto interessanti sulla sicurezza informatica e sull’analisi dei rischi.
  4. CIS CSC Critical Security Controls for Effective Cyber Defense un documento emesso inizialmente dal SANS Institute e poi passato dal 2015 al Center for Internet Security (CIS) organizzazione no profit avente sede a New York.
  5. COBIT che è un framework per la gestione della Information and Communication Technology (ICT) creato nel 1992 dall’associazione americana degli auditor dei sistemi informativi.
  6. NIST (in origine National Bureau of Standards (NBS)) è un’agenzia del governo degli Stati Uniti d’America che si occupa della gestione delle tecnologie. Fa parte del Dipartimento del Commercio e il suo compito è la promozione dell’economia americana attraverso la collaborazione con l’industria al fine di sviluppare standard, tecnologie e metodologie che favoriscano la produzione e il commercio.

Terza tematica: Protezione da malware

  • Tutti i dispositivi che lo consentono sono dotati di software di protezione (antivirus, antimalware, ecc.) regolarmente aggiornato.

Le infezioni da malware possono verificarsi in diversi modi e per la maggior parte avvengono quando si è connessi a Internet. La rete purtroppo è diventata un ricettacolo di minacce. Queste possono provenire da siti Web compromessi o creati appositamente per gli attacchi oppure tramite download non autorizzati da browser Web oppure client di e-mail compromessi, malvertising, clic su annunci che installano malware sui nostri dispositivi.

Molte volte, poi la concausa di danni alla nostra rete viene effettuata da noi stessi che come si dice in molti casi siamo l’anello debole di una complessa catena tecnologica che nulla può nei confronti delle scelte frettolose e sbagliate della mano umana.

Ecco quindi che l’unica alternativa di tutela può rivelarsi essere un sistema di protezione che monitora costantemente il nostro pc il quale, per essere efficace, deve essere costantemente aggiornato e adeguato alle proprie necessità.

Clicca qui e scarica il White Paper: "Zero Trust Security" 

Quarta tematica: Gestione password e account

  • Le password sono diverse per ogni account, della complessità adeguata e viene valutato l’utilizzo dei sistemi di autenticazione più sicuri offerti dal provider del servizio (es. autenticazione a due fattori).

Su questo argomento esiste una casistica sconfinata di comportamenti inappropriati che molte persone attuano senza preoccuparsi minimamente dei risvolti negativi che questo può arrecare. Password scritte su fogli lasciati sotto la testiera, password inserite e mai cambiate a distanza di mesi se non anni, log di accesso sempre attivi e quindi assolutamente non protetti e tanto altro ancora.

In questa sede vorrei solo far comprendere un argomento molto fastidioso per gli utenti ossia la complessità delle password da utilizzare sui propri dispositivi.

Un malintenzionato che volesse entrare in un nostro device utilizzando un attacco di forza bruta (per chi non lo sapesse un attacco di forza bruta viene attuato con la formazione di nuove parole, cercando di individuare la password che permette di accedere a un determinato sistema informatico, provando tutte le combinazioni possibili).

Con un software in grado di fare questa procedura si può individuare una password di otto caratteri composta di soli numeri in nemmeno un secondo mentre occorrono ben 57 giorni utilizzando all’interno della password caratteri maiuscolo e minuscolo, numeri e caratteri speciali. Quindi tanto per fare un esempio $8cAsA8$ può dare parecchio filo da torcere ad un hacker rispetto a 12345678.

  • Il personale autorizzato all’accesso, remoto o locale, ai servizi informatici dispone di utenze personali non condivise con altri; l’accesso è opportunamente protetto; i vecchi account non più utilizzati sono disattivati.

Tra le impostazioni fondamentali che si possono implementare all’interno di un sistema informatico, gestite solitamente dagli amministratori di sistema ci sono le regole di accesso al server centrale.

Tale accesso deve avvenire attraverso il riconoscimento dell’utente che accede al sistema. Tale riconoscimento avviene attraverso i file di log che sono una registrazione sequenziale e cronologica delle operazioni effettuate da un sistema informatico (server, storage, client, applicazioni o qualsiasi altro dispositivo informatizzato o programma).

Le procedure di logging sono quelle attività attraverso cui un sistema operativo o un’applicazione registrano gli eventi e li memorizzano per eventuali riutilizzi successivi: queste registrazioni sono chiamate, per l’appunto, file di log.

Se l’utente ha la necessità di collegarsi fuori dall’azienda perché utilizza ad esempio un sistema di smart work è necessario, per la tutela da intromissioni, che utilizzi un collegamento VPN (Virtual Private Network) che è un collegamento criptato e quindi non visibile e comprensibile dall’esterno e che garantisce una trasmissione sicura di dati.

Ultima indicazione presente nel controllo e che è stata esplicitata in un recente provvedimento del Garante per la Protezione dei Dati n.216 del 4 dicembre 2019 è riferita alla cancellazione degli account di posta elettronica a seguito alla cessazione del rapporto di lavoro.

  • Ogni utente può accedere solo alle informazioni e ai sistemi di cui necessita e/o di sua competenza.

Facciamo una piccola premessa cercando di chiarire un concetto. Molto spesso avremo sentito parlare soprattutto nelle aziende dove lavoriamo che “i PC sono tutti a dominio”. Cosa significa questo? In termini molto semplici, un dominio è una rete di computer, ove si configura un rapporto tra il server o i server aziendali e i vari PC (client) su cui ognuno di noi lavora.

In questo contesto, un client deve sottostare a procedure di autenticazione specifiche, definite da servizi che risiedono su un server. Queste procedure, solitamente sottendono ad una gerarchia di profili e di accessi alle risorse ossia alle informazioni memorizzate sul server. La ripartizione del server deve sottostare ad una regola molto semplice: chi vede cosa.

Quinta tematica: Formazione e consapevolezza

  • Il personale è adeguatamente sensibilizzato e formato sui rischi di cybersecurity e sulle pratiche da adottare per l’impiego sicuro degli strumenti aziendali (es. riconoscere allegati e-mail, utilizzare solo software autorizzato ecc.). I vertici aziendali hanno cura di predisporre per tutto il personale aziendale la formazione necessaria a fornire almeno le nozioni basilari di sicurezza.

Questo concetto molto importante è diventato un aspetto fondamentale del panorama attuale in cui, come abbiamo precedentemente affermato, non esiste difesa tecnologica che tenga se l’anello fondamentale della catena della sicurezza, ossia l’essere umano rimane comunque debole.

Con l’entrata in vigore del GDPR si è cercato attraverso l’articolo 29 che afferma: “[…] chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento” di diffondere la cultura che la formazione è la prima difesa da qualsiasi tipo di attacco e per questo deve trovare uno spazio importante in qualsiasi progetto di difesa.

Sesta tematica: Protezione dei dati

  • La configurazione iniziale di tutti i sistemi e dispositivi è svolta da personale esperto, responsabile per la configurazione sicura degli stessi. Le credenziali di accesso di default sono sempre sostituite.

Organizzare la propria struttura aziendale basandosi su princìpi cardine come la privacy by design è fondamentale per proteggere la nostra azienda.

Se spostiamo l’attenzione della privacy dal punto di vista organizzativo tecnologico possiamo parlare allora di cybersecurity by design ossia pianificare la gestione delle difese informatiche fin dalla progettazione andando a difendere in modo opportuno tutti gli asset degni di essere protetti.

Tale operazione può essere facilitata avendo applicato precedentemente le indicazioni presenti nel punto 1. del Framework ossia un corretto e accurato inventario degli asset.

Entra in gioco in questa fase un consulente esperto di sicurezza informatica che, in accordo con il titolare del trattamento e con il tecnico che ricopre il ruolo di amministratore di sistema, possa accompagnare l’azienda in una gestione corretta e coerente basata sulle effettive necessità.

  • Sono eseguiti periodicamente backup delle informazioni e dei dati critici per l’azienda (identificati al controllo 3). I backup sono conservati in modo sicuro e verificati periodicamente.

Pianificare prima per trovarsi meglio dopo non dovrebbe essere più una novità. Purtroppo i dati attuali confermano che molto spesso le aziende si trovano in difficoltà perché non hanno predisposto per tempo un adeguato piano di backup.

Al fine di scongiurare una involontaria perdita dei dati magari a seguito di un cryptolocker che rende i dati illeggibili è fondamentale predisporre un’adeguata copia dei dati dell’azienda in uno o più ambienti sicuri siano essi altri server, NAS, dischi esterni o sistemi in cloud.

La metodologia in questo caso non è rilevante ma è la finalità ad essere indispensabile per poter ridurre al minimo le conseguenze di un data breach (v.art.33 GDPR) e abbassando sensibilmente la complessità delle procedure di disaster recovery ove con questo termine si intende l’insieme delle misure tecnologiche e logistico/organizzative atte a ripristinare i sistemi, i dati e gli apparati necessari alla tenuta dell’infrastruttura informatica aziendale.

Settima tematica: Protezione delle reti

  • Le reti e i sistemi sono protetti da accessi non autorizzati attraverso strumenti specifici (es. firewall e altri dispositivi software anti-intrusione).

Ogni sistema di difesa aziendale può comportare dei vantaggi in termini di resilienza dei dati ovvero la capacità degli stessi di essere disponibili nonostante una compromissione delle reti e dei sistemi.

Il panorama però è in fase di mutazione. La scelta forzata di incentivare i sistemi di smart work anche a causa degli ultimi fatti di cronaca in merito alla diffusione del virus Covid-19, hanno obbligato alcuni milioni di persone a lavorare a distanza utilizzando collegamenti sicuri ai server aziendali con sistemi VPN.

Questa tipologia di collegamenti permette di lavorare in completa sicurezza essendo i segnali emessi dai dispositivi totalmente criptati.

Ottava tematica: Prevenzione e mitigazione

  • In caso di incidente (es. venga rilevato un attacco o un malware) vengono informati i responsabili della sicurezza e i sistemi vengono messi in sicurezza da personale esperto.

Sono sicuro che in caso di malfunzionamenti del sistema, perdita o inaccessibilità dei dati il primo ad essere informato sarà l’amministratore di sistema. Troppo spesso però il tecnico, per quanto esperto e preparato si troverà impotente nei confronti dell’ultimo malware o cryptolocker.

Ecco quindi che tutto può risultare più semplice se il budget da investire in cybersecurity è stato speso prima che il danno avesse luogo e non dopo per ripristinare i sistemi. Questo fa parte di un progetto di business continuity coerente con la realtà aziendale.

Ancora troppe aziende sono vittime di incidenti che possono compromettere i rapporti con aziende clienti a vantaggio di aziende concorrenti con maggior sensibilità nei confronti della sicurezza informatica.

Oggi ancora troppi data breach non vengono nemmeno denunciati all’Autorità Garante della Protezione dei dati e si stima che esista un enorme sommerso di casi di data breach mai conosciuti.

Questo oltre a contravvenire alle disposizioni presenti negli articoli 33 e sgg. del GDPR va a discapito di tutti poiché impedisce di conoscere appieno le tendenze degli attacchi informatici al fine di indirizzare una politica comune di difesa da parte delle autorità competenti.

  • Tutti i software in uso (inclusi i firmware) sono aggiornati all’ultima versione consigliata dal produttore. I dispositivi o i software obsoleti e non più aggiornabili sono dismessi.

Concludiamo questa nostra trattazione da dove siamo partiti affermando che il controllo numero 15 è di gran lunga facilitato in un’azienda se a monte esiste un accurato e dettagliato controllo e mappatura di tutto gli asset presenti in azienda.

La programmazione di aggiornamento o sostituzione dovrebbe avvenire in modo preordinato e non, come avviene molto spesso, in urgenza. Avere dei sistemi operativi obsoleti (come ad esempio Windows 7) per cui la casa produttrice non rilascia più gli aggiornamenti dovuti può risultare molto rischioso per i sistemi aziendali poiché può rivelarsi sostanzialmente la breccia virtuale da cui possono passare serie minacce alla rete aziendale.

Conclusioni

Possiamo concludere affermando che l’obiettivo fondamentale di tutti i documenti emessi dalle istituzioni come il Framework Nazionale che abbiamo commentato, la relazione e i provvedimenti del Garante, il Quadro strategico Nazionale sono creati non per allarmare bensì per sensibilizzare cittadini, aziende, organizzazioni sui rischi che gli strumenti digitali possono arrecare per il bene di ognuno e la tranquillità di tutti.

WHITEPAPER
Smart Grid: qual è l’impatto della generazione distribuita sulle reti intelligenti?
Networking
Utility/Energy
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr