Maggiore attenzione a un problema che non può essere gestito in modo centralizzato e coinvolgimento degli enti locali, con risorse dedicate alla formazione dei dipendenti della Pa e non solo. Sono gli obiettivi sul fronte della cybersecurity che il presidente della conferenza delle Regioni Massimiliano Fedriga ha fissato in un documento articolato in cinque punti inviato al presidente del Consiglio dei Ministri.
La proposta fa seguito agli attacchi hacker che hanno colpito il mese scorso i sistemi informatici della regione Lazio, provocando un rallentamento dei servizi. Si tratta di un’esperienza, sottolinea la conferenza delle Regioni nella missiva per Mario Draghi, che ha messo in luce la necessità di ulteriori sforzi del Governo per implementare la cybersicurezza, essenziale per lo sviluppo del Paese.
Le cinque avvertenze della conferenza delle Regioni
1.Un sistema centralizzato non può rispondere a tutte le esigenze di sicurezza informatica, che resta una problematica distribuita anche in presenza di una compiuta migrazione al cloud. Il ruolo delle Regioni deve essere forte in relazione alla tutela dei dati e dei servizi pubblici che eroga con le sue articolazioni dirette (agenzie, in house ed aziende sanitarie) ed anche a supporto degli enti locali del proprio territorio. Un unico punto centrale rischia di essere sottoposto a maggiori rischi di attacco. Serve una forte Agenzia centrale unita ad una rete regionale di nuclei di risposta alle emergenze cyber con ruolo proattivo.
Di conseguenza, il Pnrr sul tema della cybersicurezza non può prevedere unicamente investimenti a livello centrale. È essenziale ci siano finanziamenti in favore delle regioni, in particolare per il reclutamento di profili professionali informatici legati alla trasformazione digitale, alla cybersicurezza e ai dati. Vanno previsti specifici finanziamenti e specifici profili professionali insieme a semplificate modalità di reclutamento, perché non è possibile aspettare il 2024 o 2026 per contromisure che sono da attuare con urgenza sui sistemi attuali.
Le Regioni e Province autonome hanno fatto ingenti investimenti con i fondi strutturali in infrastrutture digitali, che possono essere messe utilmente a sistema nel Psn polo/cloud nazionale, ma è urgente accrescere le competenze interne alle regioni e alle loro in house per agire subito sul fronte della sicurezza dei sistemi attuali e anche per accompagnare il percorso verso il cloud in maniera altrettanto sicura. Serve una committenza qualificata dentro gli enti per progettare le azioni ed attivare gli investimenti giusti.
2. Accanto al potenziamento del personale informatico degli enti, occorre avviare con urgenza un piano di formazione nazionale per le competenze sui temi della sicurezza informatica e della privacy, rivolto a tutti i dipendenti delle Pa di profilo non informatico che devono comunque fare la loro parte per contribuire alla sicurezza complessiva dei servizi pubblici e alla protezione dei dati personali e non.
3. Le regioni stanno attivando una Task force inter-regionale sulla cybersicurezza, quale gruppo di lavoro tecnico permanente tra le Regioni e Province autonome, per la condivisione delle esperienze e delle buone pratiche, che possa fornire risposte immediate, dialogare con il Garante della privacy e con le strutture centrali competenti nonché formulare proposte da presentare al Governo, in particolare sulla rete dei Cert regionali. Appare evidente la necessità di arrivare a costituire nuclei operativi di risposta alle emergenze cyber su scala di aggregazione regionale.
4. La Conferenza Unificata ha espresso parere favorevole sul decreto-legge 14 giugno 2021, n. 82, istitutivo, tra l’altro, dell’Agenzia per la Cybersicurezza con alcune raccomandazioni che devono essere riproposte all’attenzione del Governo soprattutto alla luce di quanto accaduto.
5. È urgente il coinvolgimento delle Regioni per la definizione di una strategia sulla cybersicurezza dei servizi pubblici e dei relativi dati personali e non, strategia da definire sia nel breve periodo che nel medio-lungo periodo.
