LA GUIDA PRATICA

Un piano di audit sulla sicurezza informatica in azienda: best practice

Effettuare verifiche (audit) di sicurezza è periodicamente necessario e richiede una attenzione al miglioramento continuo per rendere la postura di sicurezza adeguata alla evoluzione del rischio

19 Ott 2020
V
Alessia Valentini

Giornalista, Cybersecurity Consultant e Advisor

Accanto alla crescente consapevolezza dei rischi associati alla sicurezza informatica, si verifica ancora una notevole incertezza su come affrontare audit di sicurezza secondo le responsabilità assegnate nell’ambito della cyber security, in cui una realistica comprensione dei problemi informatici e dei gap della loro gestione è essenziale per proteggere i servizi pubblici, le organizzazioni private e gli utenti.

In molte organizzazioni, la capacità del personale di trattare con questo problema non ha tenuto il passo con i rischi e con l’ulteriore complessità di condividere i dati con le autorità competenti o in ambito supply chain.

Capire e reagire alla rapida evoluzione del rischio richiede di saper misurare la propria organizzazione e apportare correttivi. Questo comporta un ruolo importante per chi effettua l’audit interno di sicurezza al fine di capire se la direzione stia adottando un approccio appropriato, rispetta regole e standard, se è adeguatamente dotata di risorse e organizzata correttamente per svolgere queste attività e soprattutto se è efficace ed efficiente nel farlo.

Comprendere come affrontare un audit interno di sicurezza può aiutare le organizzazioni nel miglioramento del proprio sistema di protezione al fine di prevenire gli incidenti informatici o ridurre gli impatti del loro accadimento.

Alcune best practice possono significativamente aumentare efficacia ed efficienza dell’intervento e per comprendere come procedere negli interventi più appropriati abbiamo chiesto a Roberto Veca, Cybersecurity Manager di Cyberoo alcune indicazioni operative.

Audit, questo sconosciuto: conoscere le verifiche di sicurezza

Il termine audit è associato ad una verifica di conformità rispetto ad una normativa di riferimento. Può svolgersi in vari ambiti: finanziario, sicurezza sul lavoro, qualità e via dicendo.

Nell’ambio della cyber security, un audit di sicurezza è una valutazione tecnica sistematica e misurabile del modo in cui viene utilizzata la politica di sicurezza dell’organizzazione per verificare la conformità a una serie di criteri stabiliti.

Effettuare audit periodici consente di controllare l’efficacia ovvero la correttezza dell’insieme di misure definite, implementate e mantenute per garantire la sicurezza informatica; tuttavia, poiché ogni audit punta al miglioramento del sistema di policy, procedure e regole che realizzano la sicurezza informatica, l’efficacia da sola non basta, ma è necessaria anche la verifica di efficienza, ovvero della capacità di effettuare correttamente le attività utilizzando il minor numero di risorse possibili.

Paper scientifici sugli audit di sicurezza informatica si trovano dal 2010 in relazione alla valutazione dei rischi fisici e logici, per comporre liste di controllo e verifica (Fonte: Audit for Information Systems Security) ma naturalmente l’evoluzione tecnologica e dei sistemi richiede adeguamenti periodici delle liste di controllo per annoverare nuove tipologie di sistemi, applicativi e tutti i processi ad essi collegati.

Si parla quindi di evoluzione dell’audit interno che in dettaglio dovrebbe svolgersi all’incirca secondo questo schema. (Fonte Qualitiamo): “verificare la conformità e l’efficacia del sistema cercando di individuare eventuali punti deboli; esaminare se sono state colte alcune opportunità di miglioramento; verificare l’efficienza del sistema; assicurarsi che siano state messe in atto delle best practice per aggiungere valore a ciò che si fa e che il management supporti attivamente questo lavoro”.

Si distinguono dunque due fasi fondamentali: la prima in cui il tema principale è la verifica della conformità del sistema controllando che procedure, linee guida, prescrizioni, regole e requisiti siano state definiti e vengano regolarmente seguiti e quindi che l’azienda effettui davvero ciò che ha dichiarato nei documenti.

In una seconda fase la verifica è la comprensione delle azioni per il miglioramento, sfruttando le occasioni che si sono presentate nel corso delle verifiche.

Audit di sicurezza informatica: cosa analizzare

Chi si occupa di effettuare verifiche ispettive ed audit di sicurezza conosce molto bene gli aspetti da cogliere e da osservare per comprendere una situazione di partenza e suggerire elementi evolutivi di ottimizzazione.

Roberto Veca, Cybersecurity Manager di Cyberoo, spiega che il modo di procedere durante un audit è piuttosto standardizzato all’avvio perché si controllano tutte le policy e le procedure ma anche le tecnologie utilizzate per la protezione cyber dell’azienda e si censiscono tutti gli asset.

Si valuta, così, il valore di rischio iniziale associato alla condizione osservata dalle evidenze, facendo emergere eventuali “elementi scoperti” ed è su questi che si valuta se ci sono attività di miglioramento possibili, che possono riguardare policy, procedure e tecnologie.

L’audit è normalmente legato alle certificazioni, o meglio i sistemi certificativi si basano sulle verifiche di auditing per accertare se il livello di protezione atteso sia effettivo: di fatto l’audit di cyber security rappresenta un meccanismo per verificare il livello della sicurezza informatica.

Naturalmente si può richiedere un audit anche senza possedere certificazioni ed in questo caso si parla più propriamente di gap analysis che permetta di verificare la postura di sicurezza.

La scelta del soggetto a cui commissionare un audit è molto importante: a parte il tecnico singolo che è conosciuto dall’azienda per motivi di passaparola, si dovrebbe scegliere un’azienda capace di effettuare analisi di sicurezza ed audit.

Per quello che riguarda invece le analisi tecnologiche che solitamente accompagnano una gap analysis si consiglia di eseguire inizialmente un’attività standard di Vulnerability Assessment (VA) per poi procedere ad un audit sulle configurazioni (posta e password, sistema accessi), con controlli custom mirati a capire e analizzare la modalità di gestione dei dati, la presenza di eventuale cifratura o gestione in chiaro.

A seconda del tipo di mercato in cui l’azienda opera vi sono poi degli specifici controlli da eseguire: ad esempio, se ci si trova in una manifatturiera è importante controllare la rete e il sistema produttivo, per capire se il disegno di infrastruttura della rete è realmente quello implementato o se ci sono elementi e/o nodi che non dovrebbero esistere o segmenti non realmente implementati.

Può succedere che i sistemi primari e secondari non siano realmente segregati fra loro, il che costituisce un potenziale problema di sicurezza.

In sostanza, l’audit tecnologico verifica operativamente le “verità dichiarate” e permette di individuare pericoli, vulnerabilità e “scoperture” che l’azienda committente potrebbero non conoscere.

È preferibile dotarsi di strumenti a supporto capaci di aiutare l’analisi della rete, fornendo evidenze sulle proprietà e sulle policy applicate perché si possono rendere evidenti le eventuali differenze da quelle configurazioni che ci si sarebbe aspettati di trovare o che avrebbero dovuto essere implementate.

Roberto Veca precisa che come azienda di sicurezza, Cyberoo è solitamente coinvolta in gap analysis in relazione ai sistemi certificativi della ISO 27001, ma anche in relazione alle normative europee del GDPR, o all’aderenza alle misure minime AGID per le PA e in qualche caso è stato chiesto un supporto per l’autovalutazione secondo lo schema del Cybersecurity Framework nazionale derivato dalla NIST.

Le analisi di audit e le analisi di gap sono solitamente focalizzate sulla protezione dell’azienda e del core business per non perdere capitale, ma piuttosto di rado si richiedono queste stesse verifiche in ottica privacy almeno per la loro esperienza.

Nonostante il rischio del 4% del fatturato, probabilmente sono ancora molte le aziende che non conoscono bene la normativa vigente e permane una scarsa consapevolezza e cultura verso la privacy e gli obblighi normativi su questi temi. Roberto Veca specifica anche come le analisi di gap siano in alcune occasioni supportate dall’installazione di soluzioni di sicurezza Cyberoo che permettono di effettuare continuous monitoring da quel momento in poi.

Altri tipi di analisi richieste nell’ambito delle verifiche di sicurezza possono riguardare audit esterni, ovvero sul panorama della minaccia con richieste di threat hunting mediante OSINT (Open Source Intelligence n.d.r.) oppure relativa sulla reputation on line del committente mediante servizi erogati in real time da Cyberoo.

Si possono infine verificare anche casi in cui serva un tool diverso da quelli che tratta Cyberoo e in queste occasioni sono suggerite soluzioni di altri vendor.

Più estremo il caso in cui manchi una soluzione IT propedeutica ad un tool di sicurezza che proprio Cyberoo ha introdotto, ma in questi casi si suggerisce un work around tecnico o estrema ratio, si effettua una esclusione dal perimetro richiedendo però’ al committente una dichiarazione di accettazione del rischio.

Come aumentare l’efficacia e l’efficienza degli audit

Indipendentemente se si esegue un audit correlato ad una certificazione o meno, continua Roberto Venca, si tende ad eseguire tutti controlli applicabili all’ambiente in cui ci si trova.

Ad esempio, se la lista prevedesse controlli ambientali ma il data center fosse in cloud allora è evidente che quei controlli non sarebbero applicabili, tuttavia per accrescere l’efficacia si potrebbe introdurre un sistema di monitoring dell’infrastruttura cloud che aumenti la sicurezza a livello logico oppure si potrebbe analizzare e valutare l’insieme di strumenti che effettuano il log management, per contribuire alla verifica delle azioni effettuate.

Chi esegue la gap analysis supporta e aiuta nel raggiungimento di una postura di sicurezza anche mediante consulenza, ma è successivamente impossibilitato ad eseguire l’audit, così come chi esegue audit in occasione di rinnovi certificativi non può assolutamente effettuare consulenza di prodotti. I due ruoli sono sempre mutuamente esclusivi in osservanza alla regola di “segregation of duties”.

Ecco, quindi, che Cyberoo durante le analisi di gap può trovarsi a suggerire enhancement strumentali secondo le proprie esperienze, prodotti e servizi.

I controlli si avviano con la verifica dell’organizzazione e delle procedure mediante analisi della Statement of Applicability (SOA). Nella ISO 27001 il documento SOA elenca una sintesi delle decisioni relative al trattamento del rischio dimostrando, per ciascun controllo, la sua relazione con i risultati del risk assessment e del risk treatment, rispetto alla politica e agli obiettivi.

Il documento, quindi, riporta anche una descrizione dei rischi contrastati ovvero fa capire dove sono applicati i controlli rispetto a dove si trovano le minacce.

Il controllo dell’organizzazione, dei ruoli e delle responsabilità è un elemento ulteriormente importante altrimenti il solo prodotto tecnologico può non essere efficace, perché pur in presenza di warning, istituire una situazione di crisi, dipende dal processo IT di escalation secondo i ruoli aziendali.

Ma questo è vero, ad esempio, anche per quei processi legati ad HR che prevedono la consegna e revoca delle PdL (Postazioni di Lavoro) dei dipendenti in entrata e in uscita dall’azienda.

Rispetto a ciò che costituisce un elemento “scoperto” di sicurezza si assegna un valore di criticità e un valore di impatto potenziale in termini economici e/o di dati.

Successivamente si suggeriscono interventi che possano abbassare il rischio fino ad un livello residuo che possa essere accettabile per la Direzione.

Tipicamente si procede consigliando gli interventi principali dando supporto e ricontrollando fino al termine dell’implementazione ma ancora una volta, non ci si deve focalizzare solo sulla tecnologia perché se ci sono tentativi di truffa, sono spesso le procedure di sicurezza quelle che possono arginare il danno e gli effetti.

In assenza di soluzioni di continuous monitoring già presenti in azienda, si consiglia di effettuare controlli sulla postura di sicurezza ogni tre mesi per quanto riguarda i sistemi tecnologici, mentre in relazione a policy e procedure la revisione si rende necessaria almeno due volte l’anno per indirizzare nuove direttive e modalità di comportamento e naturalmente in tutti i casi di riorganizzazioni aziendali o di e modifiche dell’assetto aziendale.

Contributo editoriale sviluppato in collaborazione con Cyberoo

White Paper - Quanto ti costa un attacco informatico? Gioca d’anticipo grazie all’Intelligenza Artificiale

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr