L’Agenzia per la Cybersicurezza Nazionale lancia un bando finalizzato ad aumentare il livello di resilienza cyber dei sistemi informativi della Pubblica Amministrazione. L’obiettivo principale è la messa in sicurezza dei dati e dei servizi dei cittadini. Per fare questo il bando prevede un budget di 45 milioni di euro.
Soggetti che possono partecipare
Possono usufruire dell’opportunità concessa dall’Avviso e quindi proporre interventi per il potenziamento della resilienza cyber gli Enti pubblici di seguito elencati:
- Regioni
- Comuni capoluogo facenti parte di Città metropolitane, ex legge 7 aprile 2014, n.56
- Comuni capoluogo delle Città metropolitane istituite nelle Regioni a statuto speciale
- Province autonome
Le priorità da finanziare: quali sono gli Interventi di potenziamento della resilienza cyber
L’obiettivo principale è quello di supportare gli enti stessi nella realizzazione di un percorso virtuoso di gestione del rischio cyber mediante in particolare:
- il finanziamento della realizzazione di un censimento dei livelli di maturità della postura di sicurezza dei servizi e delle infrastrutture digitali delle PA;
- il finanziamento della realizzazione di un piano programmatico di potenziamento, sia a breve che a medio-lungo termine, delle capacità cyber, volto a supportare il percorso di trasformazione digitale sicura della PA;
- il finanziamento della realizzazione di interventi di potenziamento a medio-breve termine dei servizi e delle infrastrutture in essere della PA.
Gli interventi finanziati dovranno essere motivati e documentati in accordo ad una analisi della postura di sicurezza e un piano di potenziamento strategico.
Le proposte intendono realizzare opportune progettualità per la risoluzione di criticità delle capacità di gestione del rischio cyber nei sistemi informativi del Soggetto richiedente. Le stesse dovranno essere documentate mediante opportune schede progetto e potranno interessare una o più delle seguenti tipologie di intervento:
1) analisi della postura di sicurezza e piano di potenziamento
Include progetti volti all’individuazione del livello di maturità delle capacità cyber dei servizi informativi al fine di effettuare una pianificazione strategica di un piano di potenziamento della resilienza cyber, quali, a titolo esemplificativo:
- attività di analisi di dettaglio delle procedure, processi e organizzazione delle capacità cyber;
- analisi delle capacità dei sistemi e strumenti di sicurezza in essere;
- analisi dei processi e strumenti di gestione delle identità digitali;
2) miglioramento dei processi e dell’organizzazione di gestione della cybersecurity.
Include progetti volti all’analisi, miglioramento e potenziamento dei processi di gestione del rischio cyber attualmente in uso, quali, a titolo esemplificativo:
- definizione di procedure di risposta ad attacchi ransomware, o incidenti di natura cyber;
- revisione e potenziamento dei processi e metodologie di security-by-design e sviluppo sicuro;
- revisione e potenziamento dei processi a supporto della continuità operativa;
- revisione e potenziamento dei processi di gestione delle vulnerabilità;
3) miglioramento della consapevolezza delle persone.
Include progetti volti al rafforzamento delle competenze, pratiche e attitudini del personale del Soggetto attuatore dell’intervento nella gestione del rischio cyber, quali, a titolo esemplificativo:
- servizi di formazione per l’identificazione e gestione di mail di phishing;
- servizi di formazione per la preparazione del personale, sia tecnico che manageriale, coinvolto durante incidenti di natura cyber;
4) progettazione e sviluppo di nuovi sistemi per la mitigazione del rischio cyber.
Comprende progetti volti al potenziamento dei sistemi di mitigazione del rischio cyber, quali, a titolo esemplificativo:
- attività di verifica e rafforzamento delle configurazioni di sicurezza perimetrale e monitoraggio;
- acquisizione di nuovi servizi o strumenti di sicurezza;
- potenziamento delle piattaforme di gestione delle identità e degli accessi interni e da remoto;
- potenziamento mediante nuovi strumenti delle capacità di monitoraggio del rischio cyber (SOC);
- potenziamento mediante nuovi strumenti delle capacità di risposta a incidenti di sicurezza (CERT/CSIRT).
Gli interventi dovranno essere implementati, in via preferenziale, nei settori dell’assistenza sanitaria, dell’energia e dell’ambiente (approvvigionamento di acqua potabile).
L’importo massimo ammissibile a finanziamento è pari a € 1.000.000,00 per progetto e comunque € 2.000.000,00 per Soggetto proponente.
Potrà essere erogato un contributo in misura pari al 100% delle spese ritenute ammissibili.
Al fine di quantificare l’ammontare del contributo ammissibile, il Soggetto attuatore dell’intervento potrà presentare esclusivamente costi strettamente connessi allo svolgimento delle attività previste nel Piano di Progetto e comprovabili con opportuna documentazione (es. fatture, ricevute, ecc.).
Si precisa che le spese, per risultare ammissibili, devono:
- essere comprovate da fatture interamente quietanzate emesse, per il tramite di bonifico bancario o postale ovvero con altri strumenti di incasso o di pagamento idonei a consentire la piena tracciabilità delle operazioni (L. 136/2010, art. 3, comma 1 e 3 e successive modificazioni);
- essere coerenti e pertinenti con le finalità dell’intervento 1.5, Missione M1C1;
- essere ammissibile ai sensi della normativa nazionale ed europea di riferimento vigente: Reg. (UE) 2021/241, Circolari RSG, Reg. (UE) 2021/1060, DPR nr. 22 del 5 febbraio 2018.
I Soggetti interessati dovranno inviare le proprie proposte progettuali entro le ore 18:00 del 30/09/2022 tramite l’invio di Posta Elettronica Certificata (PEC) all’indirizzo dedicato pnrr@pec.acn.gov.it.
Maggiori informazioni sono disponibili al seguente link