Consulenza e Formazione Sicurezza, Medicina Del Lavoro, Sistemi Di Gestione, Qualità, Privacy, Ambiente e Modelli Organizzativi

Vademecum sicurezza informatica delle Pubbliche Amministrazioni (PA)

L’agenzia per la Cybersicurezza Nazionale (ACN) ha elaborato un vademecum che fornisce diverse regole di base per rafforzare la sicurezza informatica delle Pubbliche Amministrazioni (PA), estendibili per riflesso anche alle aziende private.

Questo documento non è un’iniziativa isolata, ma si posiziona come un tassello essenziale di un sistema legale in continua evoluzione che unisce infatti norme europee e nazionali per creare una strategia di difesa multilivello.

A livello europeo, la Direttiva NIS 2 (2022/2555), impone alle organizzazioni pubbliche e private di rafforzare la gestione dei rischi cyber attribuendo esplicitamente ai vertici aziendali la responsabilità di attuare misure di sicurezza efficaci.

A livello nazionale, è stato emanato il Codice dell’Amministrazione Digitale (CAD) e le Linee guida AgiD che definiscono i requisiti minimi di sicurezza e le misure organizzative in perfetta sintonia con l’art. 32 del GDPR, che obbliga infatti tutti i titolari del trattamento a garantire un livello di sicurezza adeguato al rischio.

Il vero messaggio che traspare dal documento è che nessun sistema, per quanto avanzato, può essere considerato sicuro se i dipendenti che lo utilizzano non adottano comportamenti corretti.

Le Linee guida AgiD e le raccomandazioni ACN ribadiscono pertanto che formare e rendere i dipendenti consapevoli non è una semplice raccomandazione, ma un obbligo normativo implicito. Comportamenti come l’uso di password complesse, l’attenzione al phishing e la segnalazione tempestiva di ogni anomalia sono la prima e più efficace linea di difesa contro gli attacchi informatici.

In conclusione, le organizzazioni sia pubbliche che private, devono integrare il vademecum in un approccio di accountability dimostrabile. Ciò significa realizzare:

  • Piano formativi continui per il personale
  • Audit interni di conformità per verificare l’applicazione delle regole
  • Produzione di prove documentali che attestino la corretta applicazione delle misure di sicurezza adottate.