la guida

Sicurezza delle informazioni: come usare la nuova ISO/IEC 27001:2022

HomeSicurezza digitale
Indirizzo copiato

Dal monitoraggio degli obiettivi alla pianificazione dei cambiamenti e alla listadi controlli per il SOA. Tutte le novità da conoscere dell’ultima versione dello standard internazionale ISO/IEC 27001

Pubblicato il 25 ott 2023
Cesare Gallotti

Consulente su sicurezza delle informazioni, qualità e privacy

nis 2 decreto italiano

A fine ottobre 2022 è stata pubblicata l’ultima versione dello standard internazionale ISO/IEC 27001 con i requisiti per i sistemi di gestione per la sicurezza delle informazioni. In un articolo precedente sono riportate le novità più significative.

Presentiamo ora alcuni esempi per attuare queste novità.

Sicurezza delle informazioni, la nuova ISO/IEC 27001:2022: ecco cosa cambia

Monitoraggio degli obiettivi

Il monitoraggio degli obiettivi relativi alla sicurezza delle informazioni è un nuovo punto. Va detto che il monitoraggio era già previsto per i processi e i controlli e, implicitamente, anche per gli obiettivi.

Considerando che gli obiettivi di sicurezza delle informazioni possono essere di più tipologie, ecco come possono essere monitorati:

  • gli obiettivi relativi ad azioni e progetti (p.e. “cambiare il sistema di backup” o “attivare un nuovo sito di DR”) possono essere monitorati attraverso le analisi periodiche di avanzamento dei progetti e delle attività;
  • gli obiettivi relativi a misurazioni (p.e. “ridurre il numero di incidenti”, “mantenere la disponibilità dei sistemi informatici”) vanno monitorati secondo periodicità proprie di ciascuna misurazione, da stabilire in fase di pianificazione;
  • gli obiettivi relativi al completamento delle attività pianificate (p.e. “completare gli audit interni”, “svolgere scansioni delle vulnerabilità su tutti i sistemi”) vanno anch’essi monitorati secondo periodicità proprie di ciascuna misurazione, da stabilire in fase di pianificazione; per esempio, nelle piccole organizzazioni, l’esecuzione degli audit interni può essere analizzata annualmente o semestralmente, mentre nelle grandi mensilmente o trimestralmente.

Pianificazione dei cambiamenti

I cambiamenti al sistema di gestione vanno pianificati a seguito di un’analisi delle non conformità, dei rischi o delle opportunità. Per questo il requisito non è da ritenersi significativamente nuovo.

La pianificazione deve seguire le stesse regole adottate per le correzioni, le azioni correttive, le azioni per affrontare i rischi e le opportunità.

Il metodo più semplice consiste in una tabella con i seguenti campi:

  • Data apertura;
  • Azione;
  • Risorse necessarie;
  • Responsabile dell’azione;
  • Scadenza;
  • Verificata da;
  • Verifica dell’efficacia.

Può essere utile aggiungere altri campi: numero dell’azione, origine dell’azione (rischio, opportunità, NC, rapporto di audit interno o esterno, ecc.), note di avanzamento, stato (aperto, chiuso, in attesa di verifica dell’efficacia).

Per i progetti più complessi, la tabella deve far riferimento ai progetti stessi.

Deve essere quindi stabilita una periodicità per riesaminare le azioni pianificate.

Lista dei controlli per il SOA

La ISO/IEC 27001:2022 chiarisce che non è necessario usare, per la dichiarazione di applicabilità, i controlli dell’Annex A (vanno solo specificati quelli esclusi, ma non quelli utilizzati). E’ possibile usare altre liste, ma è evidentemente comodo usare proprio l’Annex A, anche perché basato sull’esaustiva ISO/IEC 27002.

Il nuovo requisito permette però di usare in modo più flessibile il SOA.

In alcuni casi, per facilitare l’analisi delle misure adottate, è possibile suddividere i controlli dell’Annex A in sottocontrolli. Per esempio, il controllo 5.14 sul trasferimento delle informazioni, può essere suddiviso nei controlli 5.14.1 relativo alle regole che deve seguire il personale, 5.14.2 su come le regole di trasferimento delle informazioni con clienti e fornitori debbano essere oggetto di accordi tra le parti, 5.14.3 sulla sicurezza dei trasferimenti elettronici (email, instant messaging, social network), 5.14.4 sulla sicurezza dei trasferimenti fisici, 5.14.5 sulle regole in merito alle conversazioni di persona o al telefono e i messaggi vocali.

Nel caso si usino più riferimenti per i controlli (p.e. i controlli del Cybersecurity framework del NIST, le misure di sicurezza richieste da ACN ai fornitori di servizi cloud, eccetera), è possibile raffinare i controlli dell’Annex A per avere una più precisa relazione tra i controlli del SOA e i diversi riferimenti.

Migrazione dei controlli del 2013 a quelli del 2022

La possibilità di raffinare i controlli della ISO/IEC 27001:2022 permette anche di mettere in relazione i nuovi controlli del 2022 con quelli del 2013 e poter così, per la transizione, migrare facilmente.

L’appendice della ISO/IEC 27002:2022 mette in relazione i vecchi e i nuovi controlli, ma alcuni sono in relazione uno a molti. Per facilitare il lavoro di migrazione si potrebbe cercare di identificare, per ogni controllo della ISO/IEC 27001:2013, un unico controllo (o sottocontrollo) della ISO/IEC 27001:2022. Un esempio è quello riportato sul VERA 7.2, disponibile in italiano e in inglese.

Un esempio è il seguente, dove il controllo 5.1 della ISO/IEC 27001:2022 è stato suddiviso in due sottocontrolli per poterli mettere in relazione con i controlli 5.1.1 e 5.1.2 della ISO/IEC 27001:2023

Controllo ISO/IEC 27001:2013Controllo ISO/IEC 27001:2022
A.5.1.1 Politiche per la sicurezza delle informazioni5.1.1 Politiche per la sicurezza delle informazioni
A.5.1.2 Riesame delle politiche per la sicurezza delle informazioni5.1.2 Politiche per la sicurezza delle informazioni – Riesame
A.6.1.1 Ruoli e responsabilità per la sicurezza delle informazioni5.2 Ruoli e responsabilità per la sicurezza delle informazioni
A.6.1.2 Separazione dei compiti5.3 Separazione dei compiti
A.6.1.3 Contatti con le autorità5.5 Contatti con le autorità
A.6.1.4 Contatti con gruppi specialistici5.6 Contatti con gruppi specialistici

I nuovi controlli

I nuovi controlli sono 11 e sono analizzati nel seguito.

5.7 Threat intelligence

Il controllo richiede un’analisi delle minacce che possono colpire l’organizzazione.

Negli anni passati, per esempio, sono aumentati molto le frodi amministrative: un malintenzionato riusciva a convincere l’amministrazione di un’organizzazione di essere un fornitore e di farsi bonificare dei soldi. Le organizzazioni a conoscenza dell’emergere di questa minaccia hanno avvertito il personale dell’amministrazione e hanno aumentato i controlli quando un fornitore segnala cambiamenti al conto corrente.

Strumenti che permettono di venire a conoscenza di queste minacce sono attualmente pochi e si possono citare: il rapporto annuale del Clusit, i rapporti semestrali dell’NCSC (Svizzera), i provvedimenti del Garante per la protezione dei dati personali e delle altre autorità.

I rapporti del CSIRT Italia, al momento, si limitano a segnalare vulnerabilità dei sistemi. Questo però non è uno strumento di threat intelligence, ma di vulnerability warning. Sono molti gli strumenti di questo tipo, anche automatizzati. Essi sono sicuramente utili e da considerare, ma a rigore non sono strumenti di threat intelligence.

Per tutti i canali di comunicazione va deciso chi ha la responsabilità di monitorarli e a chi deve segnalare le informazioni significative in modo che vengano avviate le opportune azioni.

5.23 Information security for use of cloud services

Vanno riesaminati i contratti con i fornitori di servizi cloud per identificarne le eventuali carenze. È vero che i contratti (o i Terms and conditions) proposti dai grandi fornitori non possono essere modificati, però è necessario che l’organizzazione abbia una copia delle condizioni d’uso (spesso difficili da trovare, anche quando sono sul sito web del fornitore) e sia consapevole di eventuali carenze.

Alcuni aspetti da verificare sono: chi svolge i backup, se è attivato un sito di DR, in quali data center si trovano i sistemi primari, quelli di DR e quelli di backup, i massimi tempi di indisponibilità del servizio, l’adeguatezza della DPA (la “nomina a responsabile del trattamento dei dati personali”), se è possibile cambiare fornitore per lo stesso servizio.

5.30 ICT readiness for business continuity

Questo controllo, peraltro già implicitamente incluso nella precedente versione della norma, richiede che venga pianificata la continuità operativa per i sistemi informatici. Va quindi elaborata una BIA (business impact analysis) e un piano di continuità con riportati i parametri di RTO e RPO della soluzione adottata.

7.4 Physical security monitoring

Questo controllo, peraltro già implicitamente incluso nella precedente versione della norma, riguarda gli strumenti attivi di controllo della sicurezza fisica, ossia telecamere e allarmi.

È anche opportuno verificare chi ha accesso alle telecamere, chi può attivare e disattivare gli allarmi, chi riceve i segnali di allarme e come è previsto che agisca in caso di allarme.

Si dà ovviamente per scontato, tra professionisti, che non sono usati allarmi sonori, visto che non hanno alcuna utilità pratica, tranne disturbare i vicini.

8.9 Configuration management

Questo controllo, colpevolmente assente dalla precedente versione della norma, può essere affrontato documentando le regole di configurazione sicura (ossia di hardening) di server, dispositivi e applicazioni.

Le più note regole di configurazione sicura sono i CIS benchmarks (https://www.cisecurity.org/cis-benchmarks). Sono molto articolati e pertanto un’organizzazione può adottarne una loro sintesi.

Oggi vanno anche considerate le regole di configurazione sicura dei servizi cloud.

Molti soddisfano questo controllo configurando i sistemi con immagini pre-impostate. Vanno però specificati principi seguiti per la loro realizzazione.

8.10 Information deletion

Questo controllo riguarda la cancellazione delle singole informazioni al termine dei tempi di conservazione.

Questo tema è notoriamente di difficile realizzazione perché, in molti sistemi, è difficile:

  • identificare le informazioni che sono state memorizzate da un certo tempo;
  • cancellare le singole informazioni a causa dei meccanismi di integrità dei database.

Queste difficoltà sono note da moltissimi anni, ma i prodotti non sono ancora, tranne qualche rara eccezione, sviluppati tenendole in conto.

Alcune attività che possono essere approntate sono:

  • riorganizzare gli archivi fisici e digitali in modo da poter identificare le informazioni da cancellare;
  • sviluppare i software perché mettano a disposizione report con indicato da quanto tempo le informazioni sono trattate (p.e. da quanto tempo un cliente non è più attivo);
  • selezionare i software seguendo il criterio sopra enunciato.

È necessario ribadire che non si tratta di una questione di semplice soluzione.

8.11 Data masking

Controllo relativo all’anonimizzazione e alla pseudonimizzazione dei dati.

Vanno identificati i report e i trattamenti di dati personali che potrebbero invece fare uso di dati anonimi e, quindi, identificare la soluzione di anonimizzazione (o pseudonimizzazione) più adeguata. Si tratta di un’analisi da fare caso per caso, solitamente a livello applicativo.

8.12 Data leakage prevention

Questo controllo riguarda l’uso di strumenti con funzionalità di DLP, ossia strumenti che identificano dati critici e lanciano allarmi o bloccano trasferimenti sospetti.

Oggi molti fornitori di firewall, EDR e altri strumenti di sicurezza mettono a disposizione moduli DLP che cercano di

  • identificare automaticamente i dati critici, anche con algoritmi di intelligenza artificiale;
  • bloccare alcune azioni sui dati critici.

Questi moduli si limitano ad alcune operazioni di base.

Altri strumenti, invece, richiedono una classificazione manuale di ciascun dato per poter identificare e bloccare le azioni ritenute potenzialmente pericolose. Questi strumenti non sono molto efficaci, ma sono molto costosi. Questo ne limita l’utilizzo ad alcune grandi organizzazioni.

È comunque possibile adottare alcune tecniche di DLP, tra cui:

  • bloccare la copia di alcuni file o da alcuni servizi (in particolare di file sharing);
  • bloccare l’uso di chiavi USB o altri dispositivi;
  • bloccare l’uso di alcuni servizi di messaggistica e di social network;
  • bloccare l’uso dell’email su client (anche se questo aggiunge molte inefficienze in alcuni processi).

8.16 Monitoring activities

Anche questo controllo era colpevolmente assente dalla precedente edizione della norma (dove era presente un controllo di raccolta dei log, ma non di monitoraggio della sicurezza).

Le attività sui sistemi informatici e sulla rete vanno monitorate e per questo è necessario usare strumenti come SIEM e IDS. Ne esistono versioni di base, solitamente integrate con i firewall o gli EDR, o soluzioni più avanzate (incluse quelle che tracciano, dopo averla identificata con algoritmi di intelligenza artificiale, una baseline e lanciano allarmi in caso di scostamenti), fino a quelle gestite da fornitori specializzati.

Ulteriori monitoraggi da considerare sono quelli non strettamente di sicurezza, ossia quelli relativi all’uso delle risorse e alla loro disponibilità, con relativi allarmi in caso di saturazione o guasto.

Inutile pensare di attivare una procedura di riesame manuale dei log. Questo era pensabile negli anni Ottanta o Novanta con alcuni specifici sistemi. Oggi i log sono talmente numerosi che è necessario usare sistemi automatizzati.

Questo controllo può essere difficile da attuare con i servizi cloud. Per i servizi IaaS e PaaS sono spesso disponibili soluzioni per l’ambiente cloud utilizzato, anche come componente opzionale (e a pagamento) messa a disposizione dal cloud service provider. Per il modello SaaS, la disponibilità della soluzione dipende dal fornitore.

8.23 Web filtering

Controllo in precedenza incluso tra i controlli di rete, ora è stato meglio evidenziato. Si applica con i firewall (o con le loro evoluzioni) e richiede di limitare l’accesso degli utenti ai servizi web. Oggi, solitamente, i firewall permettono l’attivazione di filtri basati sulla classificazione dei siti elaborata dal produttore del firewall stesso e che permettono il blocco di siti pornografici, di gaming, che trattano di armi, gestiti da terroristi, di hacking, noti per diffondere malware, eccetera.

Oggi alcune organizzazioni non distinguono più tra rete interna ed esterna, facendo in modo che il personale acceda solo a Internet, senza controllo, e da lì ai servizi informatici dell’organizzazione, spesso disponibili via web come servizi cloud. In questo caso, è opportuno attivare sui client soluzioni EDR che filtrino i siti web più pericolosi.

8.28 Secure coding

Controllo in precedenza incluso nel controllo relativo alla politica di sviluppo sicuro (oggi più chiaramente denominato “Ciclo di vita dello sviluppo sicuro”).

Esso è applicabile solo agli sviluppatori di software e richiede che vengano stabilite linee guida per la codifica sicura. Le linee guida più note, da recepire, sono quelle OWASP per le applicazioni web. Bisogna però dire che l’ambito è limitato, appunto, solo alle applicazioni web. D’altra parte è altresì vero che le altre applicazioni sono raramente oggetto di attacco, anche perché disponibili a un limitato numero di persone. Ciò non ostante, è sempre opportuno specificare alcune regole di codifica, sia di qualità sia di sicurezza (dichiarare e limitare sempre le variabili, mantenere i metodi privati, eccetera). Per questo vanno ricercate quelle specifiche per i linguaggi usati (OWASP ne mette a disposizione di generiche e non più aggiornate; molti produttori di strumenti di sviluppo, come Microsoft e Oracle, ne mettono a disposizione per i loro ambienti come .Net e Java).

Alcuni usano strumenti di controllo automatico della qualità e sicurezza del codice (strumenti SAST o DAST) e il loro utilizzo è consigliato. Va però detto che questo non sostituisce linee guida che dovrebbero essere note a tutti gli sviluppatori.

Accanto ai documenti si raccomandano attività di formazione in materia.

Bisogna dire che per certi linguaggi e ambienti è difficile trovare materiale o formatori preparati. Le scelte vanno fatte considerando anche i rischi a cui è sottoposta l’organizzazione.

I controlli cambiati significativamente

Si segnalano nel seguito alcuni controlli cambiati significativamente dalla precedente versione.

8.1.1 Endpoint degli utenti

Questo controllo corrisponde al A.6.2.1 “Politica per i dispositivi portatili” della precedente edizione della norma.

Quanto fatto per i dispositivi portatili, giustamente, deve essere esteso anche a quelli fissi e agli altri dispositivi degli utenti: smartphone, tablet, eccetera.

Il metodo maggiormente raccomandato è quello di collegare tutti i dispositivi usati per accedere ai dati dell’organizzazione a un MDM, che ne controlli l’aggiornamento, l’attivazione delle misure di sicurezza (incluso il controllo degli accessi) e le applicazioni installate. Questo strumento ha i suoi pregi, ma anche i suoi limiti, soprattutto se consideriamo che spesso i dati sono accessibili anche da strumenti personali.

6.7 Lavoro a distanza

Il controllo precedente (A.6.2.2 “Telelavoro”) in Italia poteva far intendere che fosse applicabile solo al telelavoro, inteso come quello regolamentato dall’Accordo interconfederale per il recepimento dell’accordo-quadro europeo sul telelavoro concluso il 16 luglio 2002 e pubblicato il 9 giugno 2004.

Questo controllo richiede di fornire regole e strumenti adeguati a tutti quelli che lavorano a distanza e non solo ai telelavoratori.

Per questo vanno fornite regole precise.

Alcuni vorrebbero strumenti per verificarne l’applicazione, ma sappiamo bene che spesso non è possibile, anche perché gli strumenti usati sono spesso quelli personali e perché molte regole (p.e. “non far usare il proprio dispositivo ad altri”) non possono essere tecnicamente monitorate. E’ comunque necessario che siano fornite le regole.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati

Prossimo

Trojan "di Stato": la Cassazione definisce i limiti per l'uso nelle indagini