REGIONE LAZIO
DECISIONE N. DELPROPOSTA N. 33822 DEL 29/09/2021 GIUNTA REGIONALE
STRUTTURA PROPONENTE
ASSESSORATO PROPONENTE
DI CONCERTO
Direzione: AFFARI ISTITUZIONALI E PERSONALE
Area:
Prot. n. ___________________ del ___________________
OGGETTO: Schema di decisione concernente:
(CORBELLI ANDREA) (CORBELLI ANDREA) (AD INTERIM M. MARAFINI)
___________________________ ___________________________ ___________________________ ___________________________ ___________________________
L' ESTENSORE IL RESP. PROCEDIMENTO IL DIRIGENTE RESPONSABILE IL DIRETTORE REGIONALE
PRESIDENZA DELLA GIUNTA REGIONALE
(Zingaretti Nicola) ___________________________
IL PRESIDENTE
TRANS. ECOLOG. E TRASF. DIGITALE (AMB. E RISORSE NAT.LI, ENERGIA, AGENDA DIGITALE E INVEST. VERDI)
(Lombardi Roberta) (A. Sabbadini)
___________________________ ___________________________ ___________________________ ___________________________
L' ASSESSORE IL DIRETTORE IL DIRETTORE
VISTO PER COPERTURA FINANZIARIA:
SEGRETERIA DELLA GIUNTA Data di ricezione ______________________
ISTRUTTORIA:
____________________________________ ____________________________________
IL RESPONSABILE DEL PROCEDIMENTO IL DIRIGENTE COMPETENTE
(LUIGI FERDINANDO NAZZARO)
____________________________________ ____________________________________
IL SEGRETARIO DELLA GIUNTA IL PRESIDENTE
Interventi in materia di sicurezza informatica. Atto d'indirizzo
(MARCO MARAFINI) ___________________________
IL DIRETTORE DELLA DIREZIONE REGIONALE BILANCIO, GOVERNO SOCIETARIO, DEMANIO E PATRIMONIO
Pagina 1 / 1 Richiesta di pubblicazione sul BUR: NO
Richiesta di pubblicazione sul BUR: NO Richiesta di pubblicazione sul BUR: NO
08/10/2021 - prot. 676
OGGETTO: Interventi in materia di sicurezza informatica. Atto d’indirizzo LA GIUNTA REGIONALE
SU PROPOSTA del Presidente, di concerto con l’Assessore alla Transizione Ecologica e Trasformazione Digitale (Ambiente e Risorse Naturali, Energia, Agenda Digitale e Investimenti Verdi)
VISTI:
- lo Statuto della Regione Lazio;
- la legge regionale 18 febbraio 2002, n. 6 “Disciplina del sistema organizzativo della Giunta e del Consiglio e disposizioni relative alla dirigenza ed al personale regionale” e successive modificazioni ed integrazioni;
- il regolamento regionale 6 settembre 2002, n. 1 “Regolamento di organizzazione degli uffici e dei servizi della Giunta regionale” e successive modificazioni ed integrazioni;
PRESO ATTO che nella notte tra il 31 luglio ed il 1° agosto u.s. i sistemi informativi della Regione Lazio sono stati oggetto di un grave attacco hacker;
CONSIDERATO che l'incidente ha messo in evidenza come, nonostante gli ingenti investimenti effettuati da Regione Lazio, sia necessario ulteriormente implementare le misure di sicurezza e di protezione dei dati al fine di garantire un costante aggiornamento;
ATTESO che la maggiore consapevolezza e le riflessioni che sono scaturite a seguito dell’incidente si accompagnano, sul piano nazionale, alla recentissima istituzione dell’Agenzia per la Cybersicurezza e, sul piano interregionale, alla costituzione di una task force sulla cybersicurezza tra le Regioni. In particolare, nel corso della seduta della Commissione Innovazione Tecnologica e Digitalizzazione della Conferenza delle Regioni e delle Province Autonome del 4 agosto è stato richiesto di avviare un tavolo tecnico interregionale, rappresentativo delle migliori esperienze e professionalità a livello regionale, volto a scambiare esperienze, elaborare proposte e dialogare sul tema con l’Amministrazione Centrale;
RITENUTO che l’obiettivo da perseguire sia pertanto quello di “fare sistema”, nella consapevolezza che solo attraverso la sinergia, il dialogo ed il confronto tecnico sia possibile individuare procedure e misure di prevenzione volte a contrastare in modo adeguato i sempre più evoluti attacchi da parte della criminalità informatica e che l’incidente avvenuto deve stimolare una profonda ed accurata riflessione da parte delle istituzioni;
CONSIDERATO che, pur essendo un tema – quello della gestione della sicurezza informatica – eminentemente tecnico ed organizzativo, resta inteso che le conseguenze derivanti da un attacco ai sistemi informativi non rimangono confinate sui predetti piani, atteso che la compromissione degli applicativi informatici e l’indisponibilità dei dati (seppure temporanee) in essi contenuti dispiegano inevitabili conseguenze anche sulla qualità e sulla fruibilità dei servizi pubblici erogati dalla Regione;
RILEVATA l’esigenza di ridefinire in una logica di sistema la centralità del tema della sicurezza, attraverso l’impulso e la partecipazione di tutti gli attori istituzionali che esercitano, all’interno della governance regionale, ruoli su tale tema;
RILEVATO che i profili connessi alla sicurezza informatica rivestono un ruolo centrale nell’Agenda regionale e che da molti anni l’Amministrazione Regionale investe importanti risorse su tale tema. Nel 2019 è stato inaugurato il nuovo Data Center Regionale, finanziato con risorse della programmazione Por Fesr 2014-2020, nell’ambito anche di un Accordo di Collaborazione stipulato con l’AgID. Nell’ambito dei Programmi Operativi Annuali (POA) approvati con cadenza annuale dalla Giunta Regionale, sono state previste azioni finalizzate al consolidamento dei profili di cybersicurezza dei sistemi informativi regionali. Da ultimo, il POA approvato dalla Giunta Regionale con Deliberazione n. 1024 del 22 dicembre 2020 ha autorizzato il finanziamento di importanti risorse pari a € 11.285.500,00 per il triennio 2021- 2023 da destinare a progetti/servizi ICT ''Servizi di backup e Disaster & Recovery in cloud”
(codice progetto CLODER) e CYBERSECURITY (codici progetti: CMDBCED, LZCERT, SICINT, LZ- CLOUD);
CONSIDERATO che, anche sotto il profilo organizzativo, la Regione Lazio ritiene che i temi legati all’ICT rivestano un ruolo centrale, anche alla luce dei nuovi obiettivi tracciati dal PNRR.
In tal senso, con la Deliberazione di Giunta Regionale 20 luglio 2021, n. 475 è stata prevista l’istituzione di una nuova Direzione regionale per l’Innovazione Tecnologica e la Trasformazione Digitale, che dovrà definire in modo organico e razionale gli indirizzi di natura tecnologica e digitale che dovranno orientare lo sviluppo dei sistemi applicativi e delle reti di interesse regionale;
CONSIDERATO che l'obiettivo della Regione Lazio, anche in concomitanza con l'istituzione della nuova Direzione regionale per l’Innovazione Tecnologica e la Trasformazione Digitale, è quello di strutturare il proprio modello organizzativo e tecnico a supporto del costante sviluppo della governance e dell’azione amministrativa;
RITENUTO pertanto opportuno costituire una cabina di regia permanente composta dall’Assessore e dalla Struttura Amministrativa competenti in materia di innovazione tecnologica e trasformazione digitale, da un rappresentante individuato dalla Presidenza e dalla società in house LazioCrea S.p.A. con il compito di supportare il processo di revisione e aggiornamento organizzativo finalizzato allo sviluppo e potenziamento delle condizioni della sicurezza informatica della Regione Lazio;
RITENUTO che il processo di revisione e aggiornamento dovrà interessare i seguenti macroambiti:
modello organizzativo della governance della sicurezza;
profili e gestione della sicurezza fisica e logica delle infrastrutture digitali regionali e delle dotazioni informatiche;
tutela e conservazione dei dati;
continuità operativa degli applicativi a supporto dell'attività amministrativa;
piano di coordinamento degli investimenti in tema di cybersicurezza.
PRESO ATTO della Convenzione in essere, approvata da LAZIOcrea S.p.A. con Determinazione 670/2021, che affida attività di studio, ricerca ed assistenza inerenti agli interventi in materia di
trasformazione digitale al Centro Economia Digitale, associazione senza scopo di lucro, ex artt. 36 e ss. del Codice Civile, cui partecipano docenti ed eminenze accademiche delle Università della Sapienza, Tor Vergata e Roma Tre e che persegue, tra gli altri, l’obiettivo di promuovere istituzioni adatte all’economia digitale ed allo sviluppo tecnologico;
RITENUTO opportuno che il predetto Centro Economia Digitale possa partecipare, senza oneri aggiuntivi a carico della finanza pubblica, alla istituenda Cabina di Regia.
CONSIDERATO che le risultanze di tale attività di revisione
,
aggiornamento e sviluppo dovranno essere condivise, nella logica di sistema precedentemente affermata, con AgID, l’agenzia tecnica della Presidenza del Consiglio che ha il compito di garantire la realizzazione degli obiettivi dell’Agenda digitale italiana e contribuire alla diffusione dell'utilizzo delle tecnologie dell'informazione e della comunicazione, favorendo l'innovazione e la crescita economica, e con l’Agenzia per la Cybersicurezza, che avrà il compito di promuovere, coordinare e supervisionare gli interventi volti a rafforzare la cybersecurity in Italia e sarà l'interlocutore nazionale di riferimento per il competence center europeo sulla cybersicurezza, che attingerà ai fondi europei di Horizon Europe e Digital Europe.DECIDE
di avviare un dialogo ed un confronto tecnico con le altre istituzioni coinvolte sul tema al fine di individuare procedure e misure di prevenzione volte a contrastare in modo adeguato i sempre più evoluti attacchi da parte della criminalità informatica;
di istituire una cabina di regia permanente composta, dall’Assessore e dalla Struttura Amministrativa competenti in materia di innovazione tecnologica e trasformazione digitale, da un rappresentante individuato dalla Presidenza, dalla società in house LazioCrea S.p.A. e dal Centro Economia Digitale con l’obiettivo di aggiornare e sviluppare il proprio modello organizzativo e tecnico;
di individuare i seguenti macroambiti che devono essere oggetto della revisione:
o modello organizzativo della governance della sicurezza
o profili e gestione della sicurezza fisica e logica delle infrastrutture digitali regionali e delle dotazioni informatiche
o tutela e conservazione dei dati
o continuità operativa degli applicativi a supporto dell'attività amministrativa o piano di coordinamento degli investimenti in tema di cybersicurezza
che le risultanze dell’attività di revisione dovranno essere condivise con AgID e con l’Agenzia per la Cybersicurezza.
