Bur n. 120 del 08 settembre 2023

Materia: Informatica

Deliberazione della Giunta Regionale n. 1024 del 22 agosto 2023

Approvazione del progetto esecutivo del Computer Emergency Response Team (CERT) Regionale, in continuità con la D.G.R. n. 1174 del 27/09/2022.

L'Assessore Francesco Calzavara, di concerto con l'Assessore Manuela Lanzarin, riferisce quanto segue.

Negli ultimi venti anni, la diffusione delle nuove tecnologie dell'informazione e delle comunicazioni ha progressivamente focalizzato il centro delle attività umane di carattere sociale, politico ed economico all'interno di una nuova dimensione, denominata cibernetica. Lo straordinario aumento dell'utilizzo di internet ha contribuito allo sviluppo del settore ICT, con un notevole impatto su tutte le funzioni della società moderna. Lo spazio cibernetico ha permesso immense opportunità di sviluppo economico, grazie alle quali le economie dei paesi più avanzati hanno subito una forte accelerazione. Tuttavia, l'incremento delle opportunità è stato accompagnato da un parallelo incremento delle vulnerabilità. La digitalizzazione dei servizi e delle informazioni ha, infatti, inevitabilmente accresciuto l'esposizione al rischio; il pericolo di furto e la manomissione e compromissione dei dati nello spazio cibernetico hanno evidenziato la necessità di mettere in sicurezza le attività in esso condotte. Il crimine informatico costituisce la piaga maggiore della sicurezza delle reti e delle informazioni, a livello di portata e di danni economici. Il costo del cybercrime è in continua crescita, provocando un ingente trasferimento di risorse al di fuori delle economie nazionali.

Il contrasto e la prevenzione agli attacchi di natura cibernetica e la necessità di garantire elevati livelli di sicurezza di reti e informazioni rappresentano un ambito di grande attenzione regionale, con l’obiettivo primario di assicurare un corretto svolgimento dei servizi pubblici offerti e per garantire la continuità di quei servizi critici per la qualità di vita, la salute e la sicurezza del cittadino.

Per tale ragione, con D.G.R. n. 1174 del 27/09/2022, la Giunta regionale ha approvato il progetto del CERT (Computer Emergency Response Team) Regionale, avente i seguenti obiettivi:

1. fornire supporto ed assistenza specialistica nell’analisi dei dati relativi alle minacce informatiche emergenti e nella risoluzione degli incidenti di cyber security;
2. agevolare la diffusione di informazioni tempestive e immediatamente utilizzabili su nuovi scenari di rischio, attacchi in corso, trend di fenomeni cibernetici indirizzati a specifici settori, organizzazioni o territori;
3. incentivare l’applicazione dei processi di gestione della sicurezza, delle metodologie e delle metriche valutative per il governo della sicurezza cibernetica definite;
4. facilitare le attività di prevenzione e monitoraggio degli eventi cibernetici sul territorio, agendo come unità capaci di esercitare un controllo più diretto a livello locale;
5. collaborare e cooperare con le altre organizzazioni nazionali ed internazionali nel potenziamento e miglioramento della capacità difensiva delle organizzazioni in materia di cyber security;
6. accrescere le competenze specialistiche degli addetti alla sicurezza cibernetica e migliorare le attività di sensibilizzazione su questi temi a livello locale.

Con il medesimo provvedimento è stata demandata alla Direzione ICT e Agenda Digitale la progettazione esecutiva di tale CERT Regionale.

Il progetto esecutivo di CERT Regionale, elaborato dalla Direzione ICT e Agenda Digitale, di cui segue una breve descrizione, è stato declinato al fine ultimo di potenziare il livello di resilienza cyber dei sistemi informativi per la messa in sicurezza dei dati e dei servizi dei cittadini (Allegato A).

Il CERT Regionale rappresenta, infatti, il punto di raccordo tra gli Enti locali, ovvero le pubbliche amministrazioni locali di riferimento, le società partecipate, gli enti strumentali ed eventuali altri Enti/Società che ne facciano richiesta o che in futuro intratterranno rapporti con Regione del Veneto.

I servizi erogati dal CERT Regionale, a favore dei singoli enti, possono essere raggruppati in quattro categorie:

• servizi Reattivi, orientati a gestire gli incidenti quando si verificano, riducendone il danno conseguente;
• servizi Proattivi, diretti a prevenire l'occorrenza degli incidenti, mediante la condivisione delle informazioni e l'utilizzo di strumenti specifici;
• gestione degli artefatti: raccolta ed analisi di qualsiasi elemento o evidenza (file, codici malevoli, tracce in memoria) coinvolti in azioni dolose;
• servizi di gestione della qualità della sicurezza: trattasi di servizi e pratiche per migliorare la sicurezza generale di un'organizzazione.

Il CERT Regionale opererà alcuni servizi di sicurezza verso gli Enti aderenti, prevedendo un modello ibrido che garantisca il mantenimento delle responsabilità presso singolo Ente ed una suddivisione dei compiti operativi tra CERT Regionale e singolo Ente, sulla base del gruppo di appartenenza.

Il modello organizzativo del CERT di Regione del Veneto sarà organizzato su tre livelli di Governo che identificano gli attori principali ed i relativi ruoli per lo sviluppo e l’operatività del CERT stesso. Tale modello definisce le relazioni tra il CERT di Regione del Veneto, gli aderenti (enti locali), le Istituzioni nazionali (CSIRT Italiano e altri CERT di settore) e le istituzioni internazionali. In particolare:

1. livello STRATEGICO: composto dal Comitato Strategico del CERT Regionale, è responsabile di fornire un indirizzo strategico sulle politiche di conduzione del CERT Regionale e costituisce un punto decisionale per l’escalation di incidenti gravi verso le autorità competenti;  è presieduto da un referente di Regione del Veneto - che ne è il Presidente -, da referenti degli enti aderenti (GRUPPI 1 & 2 e Consiglio Regionale) e dalle istituzioni ed autorità nazionali in termini di sicurezza nazionale cibernetica (i.e. ACN e Polizia Postale).
2. livello DIRETTIVO: composto dal Comitato Direttivo del CERT Regionale, è responsabile di indirizzare la strategia, definendo processi e procedure che garantiscano il raggiungimento degli obiettivi prefissati, avvalendosi di esperti di Cybersecurity ed interloquendo con le istituzioni/organizzazioni nazionali; è presieduto dal Responsabile del CERT Regionale e da rappresentanti con ruoli di Responsabili della Sicurezza Informatica/Responsabili Sistemi Informativi (CISO/CIO)  degli enti aderenti (GRUPPI 1 & 2 e Consiglio Regionale), coadiuvato da un team di esperti di cybersecurity.
3. livello OPERATIVO: composto dai referenti di sicurezza degli Enti locali aderenti è responsabile dell’implementazione e della manutenzione dei processi e delle procedure definite a livello direttivo;  è presieduto dalle risorse che indirizzano le tematiche di sicurezza all’interno del singolo ente aderente (GRUPPI 1, 2, 3, 4, 5) e di Regione del Veneto.

Dal punto di vista operativo, il CERT Regionale sarà organizzato presso la Direzione ICT e Agenda Digitale e sarà composto da un gruppo di lavoro, che verrà nominato con apposito Decreto dal Direttore della Direzione ICT e Agenda Digitale, in grado di supportare gli Enti nella risposta agli incidenti, nonché fornire risorse specialistiche in grado di erogare supporto su tematiche di sicurezza ad alta specializzazione e nell’utilizzo dei diversi sistemi e strumenti in uso. L’ufficio del CERT Regionale sarà governato da un responsabile al quale afferiranno i diversi team incaricati allo svolgimento delle attività operative. In particolare, all’interno del CERT saranno individuate tre funzioni:

• funzione di Governance: gestione delle attività amministrative dell’ufficio;
• funzione di Security Strategy: gestione del framework di monitoraggio del CERT; erogazione delle attività consulenziali relative alla gestione del rischio, alla business continuity, al disaster recovery, nonché sensibilizzazione, formazione e svolgimento di attività di supporto alla certificazione ISO 27001;
• funzione di esperti Cyber: monitoraggio di vulnerabilità, delle minacce e delle attività di risposta agli incidenti cyber.

Il progetto esecutivo, come sopra descritto, è stato ampiamente condiviso all'interno dell'Unità di Coordinamento - PNRR Sanità e Sociale, istituita con Decreto n. 32 del 4 aprile 2023 del Direttore Generale dell'Area Sanità e Sociale, al fine di garantire che le attività di programmazione e di realizzazione degli interventi e dei connessi investimenti in attuazione delle Missioni del PNRR interessanti l'ambito sanitario, socio sanitario e sociale, si sviluppino secondo un quadro organico, sinergico, integrato e sistemico.

Il progetto esecutivo è stato, inoltre, condiviso con Azienda Zero con nota prot. n. 409345 del 31/07/2023.

Il progetto suddetto risulta, peraltro, coerente con la “Proposta di intervento per la sicurezza ICT della Sanità della Regione del Veneto”, trasmessa, con nota in data 01/06/2022, prot. n. 16449, da Azienda Zero all’Area Sanità e sociale per la successiva trasmissione al Crite e da quest’ultimo approvata nella seduta del 5 dicembre 20222, come risulta dalla nota prot. n. 592014 in data 22/12/2022 trasmessa dall'Area Sanità e Sociale ad Azienda Zero.

La Direzione ICT e Agenda Digitale nell’ambito dell’esecuzione delle attività inerenti il CERT Regionale, si qualificherà come Responsabile del Trattamento, ai sensi dell’Art. 28 del GDPR, al fine di supportare gli Enti aderenti (Titolari del trattamento) nel mettere in atto misure di sicurezza tecniche e organizzative volte ad assicurare l’applicazione del GDPR e garantire livelli di sicurezza adeguati per valutare e ridurre i rischi derivanti dal trattamento dei dati di competenza.

L’adesione al CERT Regionale sarà rivolta agli Enti pubblici regionali strumentali a Regione del Veneto (quali ad es. le varie ATER presenti nel territorio veneto, AVEPA, ARPAV, ecc…), alle società a partecipazione regionale maggioritaria (ad es. Sistemi Territoriali S.p.A., Veneto Innovazione S.p.A., ecc…) ed agli altri Enti regionali (ad es. Consiglio Regionale del Veneto, Azienda Zero, ecc…).

Per poter aderire al CERT i suddetti Enti dovranno possedere i seguenti requisiti:

• nomina di un referente per la sicurezza delle informazioni, il quale dovrà interfacciarsi con i referenti del CERT di Regione del Veneto;
• raggiungimento di un livello minimo di sicurezza;
• personale dedicato alla gestione dei servizi di sicurezza forniti dal CERT Regionale;
• budget dedicato a tematiche di sicurezza.

L’adesione degli Enti interessati al CERT regionale avverrà attraverso la stipula di apposita convenzione della durata massima di tre anni (Allegato B), ai sensi dell’art. 15 della Legge n. 241 del 1990.

A seguito dell’adesione al CERT Regionale, gli Enti dovranno raggiungere i seguenti obiettivi:

• adozione dei requisiti di sicurezza AGID - requisiti minimi. Gli enti appartenenti al CERT dovranno soddisfare la lista di requisiti minimi come da linee guida AGID;
• adeguamento alla Direttiva NIS 2 (Direttiva UE 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022 sulla sicurezza delle reti e delle informazioni) per gli enti operanti nei settori critici.

Ciò posto, si reputa, quindi, allo stato opportuno, in attuazione del percorso avviato con la citata DGR n. 1174/2022, procedere all'approvazione del progetto esecutivo CERT Regionale e dello Schema di Convenzione di adesione al CERT Regionale da parte degli Enti Regionali, allegati al presente provvedimento quale parte integrante e sostanziale dello stesso, rispettivamente, sotto la lettera A) e B).

Il progetto prevede i costi di funzionamento a capo di Regione del Veneto (Direzione ICT e Agenda Digitale e Area Sanità e Sociale) e dei relativi Enti strumentali. Si precisa che detti costi sono parzialmente diversi da quelli indicati nella D.G.R. n. 1174 del 27/09/2022 in quanto i relativi servizi in sede di progettazione esecutiva sono stati dettagliati e ampliati comportando un aumento dei costi rispetto all’originaria previsione. Si precisa altresì che i servizi relativi agli ambiti di intervento “Altri Servizi” e “Sviluppo sicuro/Analisi del Codice”, saranno avviati successivamente al primo anno.

In particolare la spesa sarà così articolata:

- per il primo anno di attività, a partire dal mese di ottobre 2023, Euro 7.771.339,00 iva compresa, che saranno coperti mediante ricorso a:

• risorse del P.N.R.R. Missione 1, per l’importo di Euro 2.000.000,00 iva compresa,
• risorse relative al contratto in corso cig 8863863325 in capo alla Direzione ICT e Agenda Digitale per l’importo di Euro 494.100,00 iva compresa,
• risorse Regionali derivanti dai capitoli di spesa in capo alla Direzione ICT e Agenda Digitale, per l’importo massimo di Euro 668.560,00 iva compresa,
• risorse Regionali derivanti dai capitoli di spesa in capo all’Area Sanità e Sociale per l’importo massimo di Euro 4.608.679,00 iva compresa;

si precisa che il costo del primo anno di attività del CERT Regionale comprende i costi dell’eventuale adesione degli Enti non afferenti all’Area Sanità e Sociale;

- per i successivi 2 anni di attività Euro 8.729.039,00 (iva compresa) annuali, che saranno coperti mediante ricorso:

• risorse relative al contratto in corso cig 8863863325 in capo alla Direzione ICT e Agenda Digitale per l’importo di Euro 494.100,00 iva compresa,
• risorse Regionali derivanti dai capitoli di spesa in capo alla Direzione ICT e Agenda Digitale, per l’importo massimo di Euro 668.560,00 iva compresa,
• risorse Regionali derivanti dai capitoli di spesa in capo all’Area Sanità e Sociale per l’importo massimo di Euro 5.942.620,00 iva compresa;
• risorse relative agli Enti strumentali non afferenti all’Area Sanità e Sociale che aderiranno per l’importo massimo di Euro 1.623.759,00 iva compresa.

Gli importi complessivi in capo alla Direzione ICT e Agenda Digitale, pari ad Euro 2.005.680,00 iva compresa, troveranno copertura sul capitolo di spesa corrente n. 7200 del Bilancio regionale 2023 - 2025. Al riguardo, il Direttore della Direzione ICT e Agenda Digitale attesta che il suddetto capitolo presenta sufficiente capienza.

Per quanto attiene alle risorse regionali derivanti dai capitoli di spesa in capo all’Area Sanità e Sociale saranno messe a disposizione del budget della Direzione ICT e Agenda Digitale secondo la seguente esigibilità:

Il trasferimento delle risorse dell’Area Sanità Sociale avverrà nell’ambito di una convenzione da sottoscrivere tra Azienda Zero e Direzione ICT e Agenda Digitale.

Si demanda al Direttore della Direzione ICT e Agenda Digitale il compimento di ogni atto connesso, consequenziale e comunque necessario a dar corso al presente provvedimento.

Il relatore conclude la propria relazione e propone all'approvazione della Giunta regionale il seguente provvedimento.

LA GIUNTA REGIONALE

UDITO il relatore, il quale dà atto che la struttura competente ha attestato, con i visti rilasciati a corredo del presente atto, l'avvenuta regolare istruttoria della pratica, anche in ordine alla compatibilità con la vigente legislazione statale e regionale, e che successivamente alla definizione di detta istruttoria non sono pervenute osservazioni in grado di pregiudicare l'approvazione del presente atto;

VISTO l’art. 15 della Legge n. 241 del 1990;

- VISTO l’art. 7 del D.Lgs. n. 36 del 2023;

- VISTA la DGR n. 1174 del 22/09/2022;

- VISTO l'art. 2 comma 2 della legge regionale n. 54 del 31 dicembre 2012;

- VISTO il D.Lgs. n. 33 del 14/03/2013;

delibera

1. di approvare le premesse quale parte integrante e sostanziale del presente provvedimento;
2. di approvare, quale Allegato A) al presente provvedimento, nonché parte integrante/sostanziale dello stesso, il progetto esecutivo CERT (Computer Emergency Response Team) Regionale, che sarà organizzato presso la Direzione ICT e Agenda Digitale, attribuendo al Direttore della Direzione ICT e Agenda Digitale la facoltà di apportarvi delle modifiche a fronte di cambiamenti e/o nuove opportunità tecnologiche che intervenissero e a fronte di variazione dei costi;
3. di individuare il Presidente del Comitato Strategico del CERT Regionale nel Direttore della Direzione ICT e Agenda Digitale;
4. di approvare, quale Allegato B) al presente provvedimento, nonché parte integrante/sostanziale dello stesso, lo Schema di convenzione di adesione al CERT Regionale da parte degli Enti regionali, incaricando il Direttore della Direzione ICT e Agenda Digitale della sua sottoscrizione con facoltà di introdurvi nell'interesse dell'Amministrazione Regionale eventuali modifiche/integrazioni non sostanziali;
5. di incaricare il Direttore della Direzione ICT e Agenda Digitale del compimento di ogni atto connesso, consequenziale e comunque necessario a dar corso al presente provvedimento, compresa la facoltà, con propri decreti, di organizzare il funzionamento del CERT Regionale, sulla base delle indicazioni contenute nel progetto esecutivo, di cui all’Allegato A), compresa la costituzione dei relativi Comitati;
6. di dare atto che i costi e gli investimenti necessari per la realizzazione del CERT Regionale sono stimati, per il primo anno di attività (indicativamente da ottobre 2023 a settembre 2024), in Euro 7.771.339,00 iva compresa, che saranno coperti mediante ricorso a:

• risorse del P.N.R.R. Missione 1 per l’importo di Euro 2.000.000,00 iva compresa;
• risorse relative al contratto in corso cig 8863863325 in capo alla Direzione ICT e Agenda Digitale per l’importo di Euro 494.100,00 iva compresa;
• risorse Regionali derivanti dai capitoli di spesa in capo alla Direzione ICT e Agenda Digitale, per l’importo massimo di Euro 668.560,00 iva compresa;
• risorse Regionali derivanti dai capitoli di spesa in capo all’Area Sanità Sociale per l’importo massimo di Euro 4.608.679,00 iva compresa;
• si precisa che il costo del primo anno di attività del CERT Regionale comprende i costi dell’eventuale adesione degli Enti non afferenti all’Area Sanità e Sociale;

7. di dare atto che i costi e gli investimenti necessari per la realizzazione del CERT Regionale sono stimati, per i successivi 2 anni di attività (indicativamente da ottobre 2024 a settembre 2026) Euro 8.729.039,00 (iva compresa) annuali, che saranno coperti mediante ricorso:

• risorse relative al contratto in corso cig 8863863325 in capo alla Direzione ICT e Agenda Digitale per l’importo di Euro 494.100,00 iva compresa;
• risorse Regionali derivanti dai capitoli di spesa in capo alla Direzione ICT e Agenda Digitale, per l’importo massimo di Euro 668.560,00 iva compresa;
• risorse Regionali derivanti dai capitoli di spesa in capo all’Area Sanità e Sociale per l’importo massimo di Euro 5.942.620,00 iva compresa;
• risorse relative agli Enti strumentali non afferenti all’Area Sanità e Sociale che aderiranno per l’importo massimo di Euro 1.623.759,00 iva compresa.

8. di dare atto che gli importi complessivi in capo alla Direzione ICT e Agenda Digitale, pari ad Euro 2.005.680,00 iva compresa, troveranno copertura sul capitolo di spesa corrente n. 7200 del Bilancio regionale 2023 - 2025, annualità 2023, 2024, 2025 e 2026;
9. di dare atto che la Direzione ICT e Agenda Digitale, a cui è stato assegnato il capitolo di spesa n. 7200, ha attestato che il medesimo capitolo presenta sufficiente capienza;
10. di dare atto che le risorse regionali derivanti dai capitoli di spesa in capo all’Area Sanità e Sociale, pari ad Euro 16.493.919,00, iva compresa, saranno messe a disposizione del budget della Direzione ICT e Agenda Digitale secondo la seguente esigibilità: Euro 1.152.169,75 nel 2023, Euro 4.942.164,25 nel 2024, Euro 5.942.620,00 nel 2025 ed Euro 4.456.965 nel 2026. Il trasferimento delle risorse dell’Area Sanità Sociale avverrà nell’ambito di una convenzione da sottoscrivere tra Azienda Zero e Direzione ICT e Agenda Digitale;
11. di dare atto che il presente provvedimento è soggetto a pubblicazione ai sensi dell'art. 23 del D.Lgs. n. 33 del 14/03/2013;
12. di pubblicare la presente deliberazione nel Bollettino Ufficiale della Regione, omettendo gli allegati.

Allegati (omissis)

(seguono allegati)

Torna indietro