HOME

/

PMI

/

IDENTITÀ DIGITALE

/

CYBERSICUREZZA: LE RACCOMANDAZIONI DELL'ANC SUI PRODOTTI LEGATI ALLA RUSSIA

Cybersicurezza: le raccomandazioni dell'ANC sui prodotti legati alla Russia

Agenzia Nazionale Cybersicurezza: le raccomandazione della Circolare 4336/2021 sui prodotti legati al territorio russo

Circolare Agenzia per la Cybersicurezza Nazionale (ACN) n. 4336 del 21 aprile 2022 - Diversificazione di prodotti e servizi tecnologici di sicurezza informatica.

Con la pubblicazione della circolare n 4336 del 21 aprile 2022 predisposta dall'Agenzia per la Cybersicurezza Nazionale (ACN) in attuazione dell'articolo 29, comma 3, del decreto-legge 21 marzo 2022,  n. 21, che si rivolge alle Pubbliche Amministrazioni, si raccomanda di intraprendere il prima possibile una strategia di diversificazione dei prodotti ad oggi forniti da provider legati alla Russia

Tra i fornitori a cui fare attenzione si citano ad esempio:

  • Kaspersky Lab, 
  • Positive Technologies 
  • e Group IB

ed i relativi prodotti anche commercializzati tramite canale di rivendita indiretta e/o anche veicolati tramite accordi quadro o contratti quadro in modalità «on-premise» o «da remoto».

Le raccomandazioni dell’Agenzia riguardano, in particolare di effettuare i seguenti passi:

1) censire dettagliatamente i servizi e  prodotti  di cui al paragrafo B) della presente circolare, analizzando gli impatti  degli aggiornamenti  degli stessi sull’operatività,  quali  i tempi di manutenzione necessari; 

2)  identificare  e  valutare  i  nuovi   servizi   e   prodotti, validandone  la  compatibilità con i  propri  asset, nonché' la complessità di gestione operativa delle  strutture di supporto in essere; 

3) definire, condividere e comunicare i piani di migrazione  con tutti i soggetti interessati a  titolo  diretto  o  indiretto,  quali organizzazioni interne alle amministrazioni e soggetti terzi; 

4) validare le modalità di esecuzione del piano di migrazione su asset di  test  significativi,  assicurandosi  di  procedere  con  la migrazione dei servizi e prodotti sugli asset più  critici  soltanto dopo la validazione di alcune migrazioni e con l'ausilio di piani  di ripristino a  breve  termine  al  fine  di  garantire  la  necessaria continuità operativa. Il piano di migrazione dovrà garantire che in nessun momento venga interrotta la funzione di protezione garantita dagli strumenti oggetto della diversificazione; 

5) analizzare e validare le  funzionalità  e  integrazioni  dei nuovi servizi e prodotti,  assicurando  l'applicazione  di  regole  e configurazioni  di  sicurezza  proporzionate  a  scenari  di  rischio elevati (quali, ad esempio, autenticazione  multi-fattore  per  tutti gli accessi privilegiati, attivazione dei  soli  servizi  e  funzioni strettamente necessari, adozione di principi di «zero-trust»); 

6) assicurare adeguato monitoraggio e audit dei nuovi prodotti e servizi, prevendendo adeguato  supporto  per  l'aggiornamento  e  la revisione delle configurazioni in linea. 

Le Raccomandazioni sopra enumerate richiedono l’adozione di tutte le misure e le buone prassi di gestione di servizi informatici e del rischio cyber e, in particolare, tenendo  conto di quanto  definito dal Framework nazionale per la cybersecurity  e  la  data  protection, edizione 2019, realizzato dal Centro di ricerca di cyber intelligence and information security (CIS) dell’Università Sapienza  di  Roma  e dal  Cybersecurity national lab del Consorzio interuniversitario nazionale per l'informatica (CINI), con  il  supporto dell’Autorità garante per la protezione dei dati personali e del Dipartimento delle informazioni per la sicurezza.

La verifica della presenza di tali prodotti va compiuta non solo nelle strutture delle rispettive amministrazioni ma anche riguardo ai servizi erogati da fornitori per conto dell’amministrazione (es.: servizi esterni o attrezzature/strumenti/postazioni di lavoro interne gestite da terzi)

1) Agenzia per la Cybersicurezza Nazionale


L’Agenzia per la Cybersicurezza Nazionale (ACN) a tutela degli interessi nazionali nel campo della cybersicurezza è stata istituita con D.L. 14 giugno 2021, n. 82 che ha ridefinito l'architettura nazionale cyber.

L’ACN è Autorità nazionale per la cybersicurezza e assicura il coordinamento tra i soggetti pubblici coinvolti nella materia. 

Promuove la realizzazione di azioni comuni volte a garantire la sicurezza e la resilienza cibernetica necessarie allo sviluppo digitale del Paese. 

Persegue il conseguimento dell’autonomia strategica nazionale ed europea nel settore del digitale, in sinergia con il sistema produttivo nazionale, nonché attraverso il coinvolgimento del mondo dell’università e della ricerca. 

Favorisce specifici percorsi formativi per lo sviluppo della forza lavoro nel settore e sostiene campagne di sensibilizzazione oltre che una diffusa cultura della cybersicurezza. 

Suddetta Circolare fa seguito a quanto prescritto attraverso il decreto-legge 21 marzo 2022, n. 21, a tutt’oggi in fase di conversione, contenente due articoli dedicati alla cybersecurity.

  • L’articolo 27 che richiede alle aziende di presentare un piano annuale alla Presidenza del Consiglio dei Ministri con componenti, relative specifiche funzionali e fornitori possibili nel momento in cui volevano progettare e realizzare sistemi critici come architetture cloud o reti 5G. Da qui, poi, un controllo approfondito da parte del Centro Nazionale di Valutazione e Certificazione per verificare che venisse garantita la confidenzialità e l’integrità delle informazioni elaborate, con sanzioni fino al 3% del fatturato dell’azienda non adempiente.
  • Il secondo articolo, il 28, seguiva le indicazioni dell’Agenzia per la cybersicurezza nazionale per ridurre il rischio dovuto all’invasione dell’Ucraina, vietando l’utilizzo di strumenti per la protezione di endpoint e web firewall forniti da aziende della Federazione Russa. L’Agenzia per la cybersecurity aveva pubblicato un avviso specificando che, a causa delle sanzioni, i produttori avrebbero potuto non essere in grado di aggiornare come richiesto gli strumenti.

Pertanto le funzioni di sicurezza da assicurare sono le seguenti: 

  • la sicurezza dei dispositivi (endpoint security), compresi gli applicativi antivirus, antimalware ed “endpoint detection and response” (EDR) e “web application firewall” (WAF).
La tua opinione ci interessa

Accedi per poter inserire un commento

Sei già utente di FISCOeTASSE.com?
ENTRA

Registrarsi, conviene.

Tanti vantaggi subito accessibili.
1

Download gratuito dei tuoi articoli preferiti in formato pdf

2

Possibilità di scaricare tutti i prodotti gratuiti, modulistica compresa

3

Possibilità di sospendere la pubblicità dagli articoli del portale

4

Iscrizione al network dei professionisti di Fisco e Tasse

5

Ricevi le newsletter con le nostre Rassegne fiscali

I nostri PODCAST

Le novità della settimana in formato audio. Un approfondimento indispensabile per commercialisti e professionisti del fisco

Leggi anche

IDENTITÀ DIGITALE · 25/10/2022 Spid minorenni: si può fare?

E' possibile l'attivazione di una identità SPID anche ai minori tra 5-17 anni, sotto la supervisione dei genitori. Vediamo come

Spid minorenni:  si può fare?

E' possibile l'attivazione di una identità SPID anche ai minori tra 5-17 anni, sotto la supervisione dei genitori. Vediamo come

SPID: cos'è, come si ottiene, a cosa serve

Cos'è e come si richiede lo Spid, il codice di identificazione personale per l'accesso ai servizi online della Pubblica amministrazione. Nuovo provider da giugno 2022

Fondo repubblica digitale: il codice tributo per i finanziatori

Il codice tributo "6988" per l'utilizzo in compensazione del credito di imposta per le fondazioni che versano al Fondo per la repubblica digitale

L'abbonamento adatto
alla tua professione

L'abbonamento adatto alla tua professione

Fisco e Tasse ti offre una vasta scelta di abbonamenti, pensati per figure professionali diverse, subito accessibili e facili da consultare per ottimizzare i tempi di ricerca ed essere sempre aggiornati.

L'abbonamento adatto alla tua professione

Fisco e Tasse ti offre una vasta scelta di abbonamenti, pensati per figure professionali diverse, subito accessibili e facili da consultare per ottimizzare i tempi di ricerca ed essere sempre aggiornati.

Maggioli Editore

Copyright 2000-2021 FiscoeTasse è un marchio Maggioli SPA - Galleria del Pincio 1, Bologna - P.Iva 02066400405 - Iscritta al R.E.A. di Rimini al n. 219107- Periodico Telematico Tribunale di Rimini numero R.G. 2179/2020 Registro stampa n. 12 - Direttore responsabile: Luigia Lumia.

Pagamenti via: Pagamenti Follow us on:

Follow us on:

Pagamenti via: Pagamenti

Maggioli Editore

Copyright 2000-2021 FiscoeTasse è un marchio Maggioli SPA - Galleria del Pincio 1, Bologna - P.Iva 02066400405 - Iscritta al R.E.A. di Rimini al n. 219107- Periodico Telematico Tribunale di Rimini numero R.G. 2179/2020 Registro stampa n. 12 - Direttore responsabile: Luigia Lumia.