Speciale Pubblicato il 12/05/2022

Tempo di lettura: 4 minuti

Cybersicurezza: le raccomandazioni dell'ANC sui prodotti legati alla Russia

di Modesti dott. Giovanni

Agenzia Nazionale Cybersicurezza: le raccomandazione della Circolare 4336/2021 sui prodotti legati al territorio russo



Circolare Agenzia per la Cybersicurezza Nazionale (ACN) n. 4336 del 21 aprile 2022 - Diversificazione di prodotti e servizi tecnologici di sicurezza informatica.

Con la pubblicazione della circolare n 4336 del 21 aprile 2022 predisposta dall'Agenzia per la Cybersicurezza Nazionale (ACN) in attuazione dell'articolo 29, comma 3, del decreto-legge 21 marzo 2022,  n. 21, che si rivolge alle Pubbliche Amministrazioni, si raccomanda di intraprendere il prima possibile una strategia di diversificazione dei prodotti ad oggi forniti da provider legati alla Russia

Tra i fornitori a cui fare attenzione si citano ad esempio:

ed i relativi prodotti anche commercializzati tramite canale di rivendita indiretta e/o anche veicolati tramite accordi quadro o contratti quadro in modalità «on-premise» o «da remoto».

Le raccomandazioni dell’Agenzia riguardano, in particolare di effettuare i seguenti passi:

1) censire dettagliatamente i servizi e  prodotti  di cui al paragrafo B) della presente circolare, analizzando gli impatti  degli aggiornamenti  degli stessi sull’operatività,  quali  i tempi di manutenzione necessari; 

2)  identificare  e  valutare  i  nuovi   servizi   e   prodotti, validandone  la  compatibilità con i  propri  asset, nonché' la complessità di gestione operativa delle  strutture di supporto in essere; 

3) definire, condividere e comunicare i piani di migrazione  con tutti i soggetti interessati a  titolo  diretto  o  indiretto,  quali organizzazioni interne alle amministrazioni e soggetti terzi; 

4) validare le modalità di esecuzione del piano di migrazione su asset di  test  significativi,  assicurandosi  di  procedere  con  la migrazione dei servizi e prodotti sugli asset più  critici  soltanto dopo la validazione di alcune migrazioni e con l'ausilio di piani  di ripristino a  breve  termine  al  fine  di  garantire  la  necessaria continuità operativa. Il piano di migrazione dovrà garantire che in nessun momento venga interrotta la funzione di protezione garantita dagli strumenti oggetto della diversificazione; 

5) analizzare e validare le  funzionalità  e  integrazioni  dei nuovi servizi e prodotti,  assicurando  l'applicazione  di  regole  e configurazioni  di  sicurezza  proporzionate  a  scenari  di  rischio elevati (quali, ad esempio, autenticazione  multi-fattore  per  tutti gli accessi privilegiati, attivazione dei  soli  servizi  e  funzioni strettamente necessari, adozione di principi di «zero-trust»); 

6) assicurare adeguato monitoraggio e audit dei nuovi prodotti e servizi, prevendendo adeguato  supporto  per  l'aggiornamento  e  la revisione delle configurazioni in linea. 

Le Raccomandazioni sopra enumerate richiedono l’adozione di tutte le misure e le buone prassi di gestione di servizi informatici e del rischio cyber e, in particolare, tenendo  conto di quanto  definito dal Framework nazionale per la cybersecurity  e  la  data  protection, edizione 2019, realizzato dal Centro di ricerca di cyber intelligence and information security (CIS) dell’Università Sapienza  di  Roma  e dal  Cybersecurity national lab del Consorzio interuniversitario nazionale per l'informatica (CINI), con  il  supporto dell’Autorità garante per la protezione dei dati personali e del Dipartimento delle informazioni per la sicurezza.

La verifica della presenza di tali prodotti va compiuta non solo nelle strutture delle rispettive amministrazioni ma anche riguardo ai servizi erogati da fornitori per conto dell’amministrazione (es.: servizi esterni o attrezzature/strumenti/postazioni di lavoro interne gestite da terzi)

L'articolo continua dopo la pubblicità

Agenzia per la Cybersicurezza Nazionale


L’Agenzia per la Cybersicurezza Nazionale (ACN) a tutela degli interessi nazionali nel campo della cybersicurezza è stata istituita con D.L. 14 giugno 2021, n. 82 che ha ridefinito l'architettura nazionale cyber.

L’ACN è Autorità nazionale per la cybersicurezza e assicura il coordinamento tra i soggetti pubblici coinvolti nella materia. 

Promuove la realizzazione di azioni comuni volte a garantire la sicurezza e la resilienza cibernetica necessarie allo sviluppo digitale del Paese. 

Persegue il conseguimento dell’autonomia strategica nazionale ed europea nel settore del digitale, in sinergia con il sistema produttivo nazionale, nonché attraverso il coinvolgimento del mondo dell’università e della ricerca. 

Favorisce specifici percorsi formativi per lo sviluppo della forza lavoro nel settore e sostiene campagne di sensibilizzazione oltre che una diffusa cultura della cybersicurezza. 

Suddetta Circolare fa seguito a quanto prescritto attraverso il decreto-legge 21 marzo 2022, n. 21, a tutt’oggi in fase di conversione, contenente due articoli dedicati alla cybersecurity.

Pertanto le funzioni di sicurezza da assicurare sono le seguenti: 



TAG: Privacy 2024 Identità digitale