Regione Umbria approva la Politica di cybersicurezza: primo atto organico per attuare la direttiva NIS 2

La Giunta, su proposta del vicepresidente Tommaso Bori, definisce ruoli e misure per prevenzione e risposta agli incidenti informatici. Già avviati registrazione ACN, referente regionale e CSIRT.

Rafforzare la sicurezza informatica della pubblica amministrazione regionale e adeguarsi pienamente al nuovo quadro normativo europeo e nazionale. Con questo obiettivo la Giunta della Regione Umbria ha approvato, su proposta del vicepresidente Tommaso Bori, la Politica di cybersicurezza regionale, primo atto organico per l’attuazione della direttiva (UE) 2022/2555, nota come NIS 2

Il provvedimento stabilisce un quadro di riferimento regionale in materia di cybersicurezza, definendo ruoli, responsabilità, ambiti di intervento e misure organizzative e tecniche per la prevenzione, la gestione e la risposta agli incidenti informatici, in coerenza con il contesto normativo europeo e con le indicazioni dell’Agenzia per la Cybersicurezza Nazionale (ACN).

«Con questo atto la Regione Umbria pone le basi per una gestione strutturata, coordinata e responsabile della sicurezza informatica dei propri sistemi e dei servizi pubblici – ha dichiarato Bori – avviando un percorso che rafforza la protezione digitale dell’amministrazione e la tutela dei dati dei cittadini».

La nuova Politica di cybersicurezza rappresenta il primo passo per adempiere agli obblighi introdotti dalla NIS 2 e costituisce la base per l’adozione di strumenti operativi successivi, tra cui procedure e piani attuativi. Il documento riunisce e armonizza le diverse politiche di sicurezza informatica e copre sedici ambiti strategici di protezione, tra cui: gestione del rischio, definizione dei ruoli e delle responsabilità, obblighi di formazione specifica per gli organi di amministrazione e direzione, continuità operativa e ripristino in caso di disastro, gestione delle crisi, sicurezza della catena di approvvigionamento, protezione degli asset e dei dati, gestione delle identità digitali e dei controlli di accesso anche tramite autenticazione a più fattori, oltre alla formazione e alla consapevolezza del personale.

La Regione Umbria ha già adempiuto agli obblighi preliminari previsti dalla normativa, procedendo alla registrazione presso l’Agenzia per la Cybersicurezza Nazionale, alla designazione del referente regionale per la cybersicurezza e all’istituzione del Computer Security Incident Response Team (CSIRT) regionale, confermato come snodo operativo per il monitoraggio e la gestione degli eventi di sicurezza, in raccordo con l’ACN.

«L’obiettivo – ha aggiunto Bori – è rafforzare in modo concreto la capacità dell’amministrazione di prevenire e gestire i rischi digitali, garantendo la continuità dei servizi pubblici e l’affidabilità dell’azione amministrativa, in un contesto in cui la cybersicurezza è parte integrante della qualità del governo pubblico».

Particolare attenzione è riservata anche allo sviluppo delle competenze interne. «Accanto alle misure di protezione – ha sottolineato il vicepresidente – daremo sempre più spazio alla formazione del personale, anche in relazione all’utilizzo consapevole e virtuoso dei nuovi strumenti di intelligenza artificiale e alle interazioni tra innovazione tecnologica e cybersicurezza. L’obiettivo centrale è fare dell’Umbria una delle realtà digitali più dinamiche e affidabili del panorama nazionale».