🏹Cosa deve fare l’Amministrazione
OB.6.1 - Aumentare la consapevolezza del rischio cyber (Cyber Security Awareness) nelle PA
Cod. azione | Denominazione azione | Scadenza azione | Criticità azione | KPI azione |
---|---|---|---|---|
CAP6.PA.LA01 | Le PA nei procedimenti di acquisizione di beni e servizi ICT devono far riferimento alle Linee guida sulla sicurezza nel procurement ICT | Da settembre 2020 (in corso) | ||
CAP6.PA.LA04 | Le PA, in funzione delle proprie necessità, possono utilizzare il tool di Cyber Risk Self Assessment per l’analisi del rischio e la redazione del Piano dei trattamenti | Da settembre 2020 (in corso) | ||
CAP6.PA.LA02 | Le PA devono fare riferimento al documento tecnico Cipher Suite protocolli TLS minimi per la comunicazione tra le PA e verso i cittadini | Da novembre 2020 (in corso) | ||
CAP6.PA.LA05 | Le PA possono definire, in funzione delle proprie necessità, all’interno dei piani di formazione del personale, interventi sulle tematiche di Cyber Security Awareness | Entro dicembre 2022 | ||
CAP6.PA.LA03 | Le PA che intendono istituire i CERT di prossimità devono far riferimento alle Linee guida per lo sviluppo e la definizione del modello di riferimento per i CERT di prossimità | Da gennaio 2023 | ||
CAP6.PA.LA06 | Le PA si adeguano alle Misure minime di sicurezza ICT per le pubbliche amministrazioni aggiornate | Entro dicembre 2023 |
OB.6.2 - Aumentare il livello di sicurezza informatica dei portali istituzionali della Pubblica Amministrazione
Cod. azione | Denominazione azione | Scadenza azione | Criticità azione | KPI azione |
---|---|---|---|---|
CAP6.PA.LA07 | Le PA devono consultare la piattaforma Infosec aggiornata per rilevare le vulnerabilità (CVE) dei propri asset | Da dicembre 2021 | ||
CAP6.PA.LA08 | Le PA devono mantenere costantemente aggiornati i propri portali istituzionali e applicare le correzioni alle vulnerabilità | Da dicembre 2021 | attacco ransomware del 2.06.2022 i servizi del comune di Palermo | |
CAP6.PA.LA09 | Le PA, in funzione delle proprie necessità, possono utilizzare il tool di self assessment per il controllo del protocollo HTTPS e la versione del CMS messo a disposizione da AGID | Da dicembre 2021 | ||
CAP6.PA.LA10 | Le Amministrazioni centrali, relativamente ai propri portali istituzionali, devono fare riferimento per la configurazione del protocollo HTTPS all’OWASP Transport Layer Protection Cheat Sheet e alle Raccomandazioni AGID TLS e Cipher Suite e mantenere aggiornate le versioni dei CMS | Entro giugno 2022 | ||
CAP6.PA.LA11 | Le Regioni e le Città Metropolitane, relativamente ai propri portali istituzionali, devono fare riferimento per la configurazione del protocollo HTTPS all’OWASP Transport Layer Protection Cheat Sheet e alle Raccomandazioni AGID TLS e Cipher Suite e mantenere aggiornate le versioni dei CMS | Entro giugno 2022 | ||
CAP6.PA.LA12 | Le ASL e le restanti Pubbliche Amministrazioni, relativamente ai propri portali istituzionali, devono fare riferimento per la configurazione del protocollo HTTPS all’OWASP Transport Layer Protection Cheat Sheet e alle Raccomandazioni AGID TLS e Cipher Suite e mantenere aggiornate le versioni dei CMS | Entro giugno 2022 |
Last updated