Cybersecurity by design

Cosa significa in pratica

La sicurezza informatica deve essere integrata fin dalla progettazione del servizio digitale e lungo tutto il ciclo di vita del software. Non si tratta di un controllo finale, ma di un processo continuo che riguarda progettazione, sviluppo, gestione delle vulnerabilità e risposta agli incidenti.

Normativa nazionale

Il decreto-legge 18 maggio 2021, n. 82 ha istituito l’Agenzia per la Cybersicurezza Nazionale (ACN), responsabile del coordinamento e dell’attuazione delle politiche di cybersicurezza a livello nazionale.

Attuazione tecnica

ACN pubblica disposizioni, linee guida e documentazione tecnica relative:

  • alla gestione del rischio;

  • alla sicurezza delle infrastrutture critiche;

  • alla protezione delle reti e dei sistemi informativi.

Per chi sviluppa servizi digitali pubblici, questo implica l’adozione di pratiche di sviluppo sicuro, gestione delle vulnerabilità e adeguate misure di protezione coerenti con il livello di rischio.

Normativa europea

La Direttiva (UE) 2022/2555 (“NIS2”) rafforza il quadro europeo in materia di sicurezza delle reti e dei sistemi informativi, imponendo obblighi di gestione del rischio, sicurezza della supply chain, gestione delle vulnerabilità e notifica degli incidenti.