logo-poc logo-upi logo-dipartimento-funzione-pubblica
Piattaforma Collaborativa Pi.Co.
Piattaforma Collaborativa Pi.Co.
Unione delle Province d'Italia
Cerca
Blog

Pubblicate le Linee Guida di ACN per la gestione degli incidenti di sicurezza

Andrea Susa
Data di Pubblicazione18 Giorni Fa

Tra Policy, Linee Guida, documenti programmatici e Raccomandazioni, l'Agenzia per la cybersecurity (ACN) ha pubblicato le linee guida CAD per la "Definizione dei processi e delle procedure per la gestione degli incidenti di sicurezza informatica" (Linee guida CAD)

Andiamo ad analizzare il documento.

 

Base giuridica e campo di applicazione

Attenzione: Le Linee Guida CAD di ACN non sono una linea guida CAD!

Infatti, le linee guida previste dal CAD sono disciplinate dall’art. 71, si applicano esclusivamente alle tematiche indicate all’interno del CAD e prevedono un iter specifico di approvazione.

Queste specifiche linee guida, quindi, non sono previste dal CAD ma sono un obiettivo specifico del Piano triennale per l’informatica nella pubblica amministrazione, emanato da AgID ai sensi dell’art. 14-bis, comma 2, lett. b) del CAD e approvato, per l’aggiornamento 2026, con DPCM datato 4 settembre 2025 e registrato dalla Corte dei conti in data 7 ottobre 2025. E questo specifico DPCM costituisce la relativa base giuridica. Per amore di precisione, l’obiettivo indicato dal Piano triennale AgID è RA7.4.1.

Precisata la base giuridica, vediamo adesso il campo di applicazione. Come il Piano triennale, queste linee guida si applicano a tutti i soggetti previsti dall’articolo 2, comma 2 del CAD, ovvero tutte le PA ricomprese nell’art. 1, comma 2 del d.lgs 165/2001, i gestori di pubblici servizi e le società a controllo pubblico (secondo la normativa applicabile). Quindi, non solo alle PA rientranti nel perimetro NIS2 o legge 90/2024, ma a tutte, Province comprese.

In sintesi, dal punto di vista giuridico, questo documento può essere qualificato come:

  • Un atto di indirizzo tecnico, adottato dall’autorità nazionale competente (ACN)
  • Uno strumento del Piano Triennale;
  • Un riferimento per la gestione organizzativa ed operativa degli incidenti cyber nel contesto nazionale per tutte le Pubbliche Amministrazioni.

Per un ente locale, ignorare o sottovalutare tali Linee Guida potrebbe esporre a:

  • rilievi in sede di controllo;
  • difficoltà nel dimostrare la diligenza organizzativa in caso di incidente;
  • criticità sul piano della responsabilità amministrativa e dirigenziale.

 

Il framework di riferimento

ACN propone come modello generale di gestione della cybersicurezza il Framework Nazionale per la Cybersecurity (FNC), adattamento italiano dello standard NIST. In particolare, queste linee guida estraggono il modello di gestione degli incidenti previsto dal FNC e costituito dalle seguenti fasi:


 

Analizziamo le varie fasi.

1. Preparazione

La fase di preparazione è probabilmente la più critica. Le Linee Guida sottolineano l’importanza di:

  • definire politiche e procedure chiare per la gestione degli incidenti;
  • assegnare ruoli e responsabilità, anche attraverso strumenti pratici come la matrice RACI;
  • mantenere un inventario aggiornato dei sistemi informativi;
  • pianificare backup, continuità operativa e disaster recovery.

Ad esempio, un Ente che ha censito correttamente i propri applicativi, ne ha stabilito la criticità e ha testato periodicamente i backup, potrà reagire in maniera più rapida a un attacco ransomware, riducendo l’impatto sui servizi essenziali ai cittadini.

2. Rilevamento

Prevenire è meglio che curare e intercettare i segnali prima che diventino crisi è il giusto approccio. Quindi, per quelle Amministrazioni che non hanno un SOC interno, adottare meccanismi di monitoraggio, anche tramite fornitori esterni o servizi condivisi, diventa una necessità. Il documento riporta alcune tipologie di rilevamento che dovrebbero essere implementate:

  • basati su indicatori noti (IOC),
  • basati su anomalie,
  • basati sulle tattiche e tecniche degli attaccanti (TTP).

Un sistema di monitoraggio ben configurato può fare la differenza tra un incidente contenuto e una compromissione estesa.

3. Risposta

La fase di risposta è quella più delicata e visibile. Le Linee Guida insistono su un punto spesso critico: la coordinazione. Infatti, investigazione tecnica, comunicazione interna, obblighi di notifica verso gli Enti preposti (CSIRT, Garante), coinvolgimento dell’ufficio legale e della comunicazione istituzionale devono procedere in parallelo. Il documento fornisce indicazioni su:

  • come caratterizzare un incidente,
  • come contenerlo senza distruggere le evidenze,
  • come coordinare la comunicazione.

4. Ripristino

Ripristinare non significa semplicemente “riaccendere i sistemi”, ma tornare pienamente operativi. Le Linee Guida pongono l’accento sull’uso di “immagini pulite” ovvero copie non compromesse, sulla verifica dell’integrità dei sistemi e sul monitoraggio successivo.

Questo approccio è fondamentale per evitare il rischio – purtroppo frequente – di rimettere in produzione sistemi ancora compromessi, con conseguenze gravi in termini di affidabilità dei servizi.

5. Miglioramento continuo

Uno degli aspetti spesso più dimenticati è costituito dalla necessità di imparare dagli errori. Ogni incidente, anche se gestito male, deve diventare un’occasione di apprendimento.

Le Linee Guida suggeriscono:

  • riunioni di “lesson learned”,
  • revisione periodica di procedure e politiche,
  • esercitazioni e test,
  • utilizzo di indicatori come MTTD (Mean Time to Detect, ovvero tempo medio di rilevazione di un incidente) e MTTR (Mean Time to Resolution/Repair, ovvero tempo medio di risoluzione di un incidente).

 

Dalla teoria alla pratica operativa

Il vero punto di forza per un'Amministrazione è l’attenzione alle procedure operative. Le linee guida presentano non solo principi, ma esempi concreti di come strutturare una procedura di ripristino o un playbook per attacchi ransomware o phishing.

Per una qualsiasi organizzazione, grande o piccola che sia, disporre di procedure scritte e condivise significa:

  • ridurre l’improvvisazione,
  • facilitare la formazione del personale,
  • garantire continuità anche in caso di assenza delle figure chiave.

 

Concludendo

Il documento rappresenta uno strumento di grande valore per tutte le Pubbliche Amministrazioni, anche e specialmente le locali. Non impongono soluzioni irrealistiche, ma offrono un approccio metodologico solido, adattabile e coerente con il contesto normativo italiano.

Per le Province adottare questi principi significa non solo migliorare la sicurezza informatica, ma anche rafforzare l’affidabilità dei servizi pubblici e la fiducia dei cittadini. In un’epoca in cui la continuità digitale è parte integrante della missione pubblica, la gestione strutturata degli incidenti non è più un’opzione, ma una responsabilità istituzionale.

Commento (0)

Altri Articoli Blog

thumbnail

Mobilità volontaria e reclutamento dal 2026: un nuovo equilibrio per Province ed enti locali

Bertagna Gianluca
22 gen
0
thumbnail

CONSIGLIO DI STATO: LUCI E OMBRE DELL’ACCESSO AGLI ATTI E DELL’INVERSIONE PROCEDIMENTALE

Andrea Gandino
20 gen
2
Blog