Home » Galleria Immagini » Dettaglio Atto di Enti Vari » Dettaglio Deliberazione della Giunta Regionale
Materia: Informatica
Deliberazione della Giunta Regionale n. 1024 del 22 agosto 2023
Approvazione del progetto esecutivo del Computer Emergency Response Team (CERT) Regionale, in continuità con la D.G.R. n. 1174 del 27/09/2022.
Il provvedimento approva il progetto esecutivo del Computer Emergency Response Team (CERT) Regionale, in continuità con la D.G.R. n. 1174 del 27/09/2022.
L'Assessore Francesco Calzavara, di concerto con l'Assessore Manuela Lanzarin, riferisce quanto segue.
Negli ultimi venti anni, la diffusione delle nuove tecnologie dell'informazione e delle comunicazioni ha progressivamente focalizzato il centro delle attività umane di carattere sociale, politico ed economico all'interno di una nuova dimensione, denominata cibernetica. Lo straordinario aumento dell'utilizzo di internet ha contribuito allo sviluppo del settore ICT, con un notevole impatto su tutte le funzioni della società moderna. Lo spazio cibernetico ha permesso immense opportunità di sviluppo economico, grazie alle quali le economie dei paesi più avanzati hanno subito una forte accelerazione. Tuttavia, l'incremento delle opportunità è stato accompagnato da un parallelo incremento delle vulnerabilità. La digitalizzazione dei servizi e delle informazioni ha, infatti, inevitabilmente accresciuto l'esposizione al rischio; il pericolo di furto e la manomissione e compromissione dei dati nello spazio cibernetico hanno evidenziato la necessità di mettere in sicurezza le attività in esso condotte. Il crimine informatico costituisce la piaga maggiore della sicurezza delle reti e delle informazioni, a livello di portata e di danni economici. Il costo del cybercrime è in continua crescita, provocando un ingente trasferimento di risorse al di fuori delle economie nazionali.
Il contrasto e la prevenzione agli attacchi di natura cibernetica e la necessità di garantire elevati livelli di sicurezza di reti e informazioni rappresentano un ambito di grande attenzione regionale, con l’obiettivo primario di assicurare un corretto svolgimento dei servizi pubblici offerti e per garantire la continuità di quei servizi critici per la qualità di vita, la salute e la sicurezza del cittadino.
Per tale ragione, con D.G.R. n. 1174 del 27/09/2022, la Giunta regionale ha approvato il progetto del CERT (Computer Emergency Response Team) Regionale, avente i seguenti obiettivi:
Con il medesimo provvedimento è stata demandata alla Direzione ICT e Agenda Digitale la progettazione esecutiva di tale CERT Regionale.
Il progetto esecutivo di CERT Regionale, elaborato dalla Direzione ICT e Agenda Digitale, di cui segue una breve descrizione, è stato declinato al fine ultimo di potenziare il livello di resilienza cyber dei sistemi informativi per la messa in sicurezza dei dati e dei servizi dei cittadini (Allegato A).
Il CERT Regionale rappresenta, infatti, il punto di raccordo tra gli Enti locali, ovvero le pubbliche amministrazioni locali di riferimento, le società partecipate, gli enti strumentali ed eventuali altri Enti/Società che ne facciano richiesta o che in futuro intratterranno rapporti con Regione del Veneto.
I servizi erogati dal CERT Regionale, a favore dei singoli enti, possono essere raggruppati in quattro categorie:
Il CERT Regionale opererà alcuni servizi di sicurezza verso gli Enti aderenti, prevedendo un modello ibrido che garantisca il mantenimento delle responsabilità presso singolo Ente ed una suddivisione dei compiti operativi tra CERT Regionale e singolo Ente, sulla base del gruppo di appartenenza.
Il modello organizzativo del CERT di Regione del Veneto sarà organizzato su tre livelli di Governo che identificano gli attori principali ed i relativi ruoli per lo sviluppo e l’operatività del CERT stesso. Tale modello definisce le relazioni tra il CERT di Regione del Veneto, gli aderenti (enti locali), le Istituzioni nazionali (CSIRT Italiano e altri CERT di settore) e le istituzioni internazionali. In particolare:
Dal punto di vista operativo, il CERT Regionale sarà organizzato presso la Direzione ICT e Agenda Digitale e sarà composto da un gruppo di lavoro, che verrà nominato con apposito Decreto dal Direttore della Direzione ICT e Agenda Digitale, in grado di supportare gli Enti nella risposta agli incidenti, nonché fornire risorse specialistiche in grado di erogare supporto su tematiche di sicurezza ad alta specializzazione e nell’utilizzo dei diversi sistemi e strumenti in uso. L’ufficio del CERT Regionale sarà governato da un responsabile al quale afferiranno i diversi team incaricati allo svolgimento delle attività operative. In particolare, all’interno del CERT saranno individuate tre funzioni:
Il progetto esecutivo, come sopra descritto, è stato ampiamente condiviso all'interno dell'Unità di Coordinamento - PNRR Sanità e Sociale, istituita con Decreto n. 32 del 4 aprile 2023 del Direttore Generale dell'Area Sanità e Sociale, al fine di garantire che le attività di programmazione e di realizzazione degli interventi e dei connessi investimenti in attuazione delle Missioni del PNRR interessanti l'ambito sanitario, socio sanitario e sociale, si sviluppino secondo un quadro organico, sinergico, integrato e sistemico.
Il progetto esecutivo è stato, inoltre, condiviso con Azienda Zero con nota prot. n. 409345 del 31/07/2023.
Il progetto suddetto risulta, peraltro, coerente con la “Proposta di intervento per la sicurezza ICT della Sanità della Regione del Veneto”, trasmessa, con nota in data 01/06/2022, prot. n. 16449, da Azienda Zero all’Area Sanità e sociale per la successiva trasmissione al Crite e da quest’ultimo approvata nella seduta del 5 dicembre 20222, come risulta dalla nota prot. n. 592014 in data 22/12/2022 trasmessa dall'Area Sanità e Sociale ad Azienda Zero.
La Direzione ICT e Agenda Digitale nell’ambito dell’esecuzione delle attività inerenti il CERT Regionale, si qualificherà come Responsabile del Trattamento, ai sensi dell’Art. 28 del GDPR, al fine di supportare gli Enti aderenti (Titolari del trattamento) nel mettere in atto misure di sicurezza tecniche e organizzative volte ad assicurare l’applicazione del GDPR e garantire livelli di sicurezza adeguati per valutare e ridurre i rischi derivanti dal trattamento dei dati di competenza.
L’adesione al CERT Regionale sarà rivolta agli Enti pubblici regionali strumentali a Regione del Veneto (quali ad es. le varie ATER presenti nel territorio veneto, AVEPA, ARPAV, ecc…), alle società a partecipazione regionale maggioritaria (ad es. Sistemi Territoriali S.p.A., Veneto Innovazione S.p.A., ecc…) ed agli altri Enti regionali (ad es. Consiglio Regionale del Veneto, Azienda Zero, ecc…).
Per poter aderire al CERT i suddetti Enti dovranno possedere i seguenti requisiti:
L’adesione degli Enti interessati al CERT regionale avverrà attraverso la stipula di apposita convenzione della durata massima di tre anni (Allegato B), ai sensi dell’art. 15 della Legge n. 241 del 1990.
A seguito dell’adesione al CERT Regionale, gli Enti dovranno raggiungere i seguenti obiettivi:
Ciò posto, si reputa, quindi, allo stato opportuno, in attuazione del percorso avviato con la citata DGR n. 1174/2022, procedere all'approvazione del progetto esecutivo CERT Regionale e dello Schema di Convenzione di adesione al CERT Regionale da parte degli Enti Regionali, allegati al presente provvedimento quale parte integrante e sostanziale dello stesso, rispettivamente, sotto la lettera A) e B).
Il progetto prevede i costi di funzionamento a capo di Regione del Veneto (Direzione ICT e Agenda Digitale e Area Sanità e Sociale) e dei relativi Enti strumentali. Si precisa che detti costi sono parzialmente diversi da quelli indicati nella D.G.R. n. 1174 del 27/09/2022 in quanto i relativi servizi in sede di progettazione esecutiva sono stati dettagliati e ampliati comportando un aumento dei costi rispetto all’originaria previsione. Si precisa altresì che i servizi relativi agli ambiti di intervento “Altri Servizi” e “Sviluppo sicuro/Analisi del Codice”, saranno avviati successivamente al primo anno.
In particolare la spesa sarà così articolata:
- per il primo anno di attività, a partire dal mese di ottobre 2023, Euro 7.771.339,00 iva compresa, che saranno coperti mediante ricorso a:
si precisa che il costo del primo anno di attività del CERT Regionale comprende i costi dell’eventuale adesione degli Enti non afferenti all’Area Sanità e Sociale;
- per i successivi 2 anni di attività Euro 8.729.039,00 (iva compresa) annuali, che saranno coperti mediante ricorso:
Gli importi complessivi in capo alla Direzione ICT e Agenda Digitale, pari ad Euro 2.005.680,00 iva compresa, troveranno copertura sul capitolo di spesa corrente n. 7200 del Bilancio regionale 2023 - 2025. Al riguardo, il Direttore della Direzione ICT e Agenda Digitale attesta che il suddetto capitolo presenta sufficiente capienza.
Per quanto attiene alle risorse regionali derivanti dai capitoli di spesa in capo all’Area Sanità e Sociale saranno messe a disposizione del budget della Direzione ICT e Agenda Digitale secondo la seguente esigibilità:
Risorse
2023 (3 mesi)
2024 (9+3 mesi)
2025 (12 mesi)
2026 (9 mesi)
TOTALE
Sanità e Sociale
€ 1.152.169,75
€ 4.942.164,25
€ 5.942.620,00
€ 4.456.965,00
€ 16.493.919,00
Il trasferimento delle risorse dell’Area Sanità Sociale avverrà nell’ambito di una convenzione da sottoscrivere tra Azienda Zero e Direzione ICT e Agenda Digitale.
Si demanda al Direttore della Direzione ICT e Agenda Digitale il compimento di ogni atto connesso, consequenziale e comunque necessario a dar corso al presente provvedimento.
Il relatore conclude la propria relazione e propone all'approvazione della Giunta regionale il seguente provvedimento.
LA GIUNTA REGIONALE
UDITO il relatore, il quale dà atto che la struttura competente ha attestato, con i visti rilasciati a corredo del presente atto, l'avvenuta regolare istruttoria della pratica, anche in ordine alla compatibilità con la vigente legislazione statale e regionale, e che successivamente alla definizione di detta istruttoria non sono pervenute osservazioni in grado di pregiudicare l'approvazione del presente atto;
VISTO l’art. 15 della Legge n. 241 del 1990;
- VISTO l’art. 7 del D.Lgs. n. 36 del 2023;
- VISTA la DGR n. 1174 del 22/09/2022;
- VISTO l'art. 2 comma 2 della legge regionale n. 54 del 31 dicembre 2012;
- VISTO il D.Lgs. n. 33 del 14/03/2013;
delibera
Allegati (omissis)
(seguono allegati)
Torna indietro