IPRA
Questionario NIS2
La Direttiva NIS2 (Network and Information Security Directive 2) rafforza le misure di sicurezza informatica per le organizzazioni che svolgono funzioni essenziali o importanti, promuovendo una maggiore attenzione alla gestione dei rischi e alla protezione delle informazioni.
Nell’ambito delle attività del Politecnico di Milano, il presente questionario ha lo scopo di raccogliere alcune informazioni sulle attività di ricerca al fine di individuare eventuali elementi di criticità dal punto di vista della riservatezza, del valore strategico e della sicurezza delle informazioni trattate.
Le informazioni raccolte saranno utilizzate esclusivamente per supportare le valutazioni interne relative agli adempimenti previsti dalla normativa NIS2 e per individuare eventuali misure di protezione proporzionate al livello di rischio delle attività di ricerca.
Il questionario richiede pochi minuti per la compilazione.
Si invita a rispondere facendo riferimento allo specifico progetto o attività di ricerca oggetto della valutazione.
A1 – Vincoli di riservatezza o protezione
L’attività prevede che al termine della ricerca i risultati vengano resi pubblici ed è priva di specifiche restrizioni sulla circolazione delle informazioni prodotte o utilizzate?
A2 – Livello di Maturità Tecnologica (TRL)
L’attività ha un TRL > 3?
Descrizione livelli TRL:
TRL1 Osservati i principi fondamentali
TRL2 Formulato il concetto della tecnologia
TRL3 Prova di concetto sperimentale
TRL4 Tecnologia convalidata in laboratorio
TRL5 Tecnologia convalidata in ambiente (industrialmente) rilevante
TRL6 Tecnologia dimostrata in ambiente (industrialmente) rilevante
TRL7 Dimostrazione di un prototipo di sistema in ambiente operativo
TRL8 Sistema completo e qualificato
TRL9 Sistema reale provato in ambiente operativo (produzione competitiva, commercializzazione)
A3.1 – Criticità dell’ambito di ricerca
Il progetto riguarda, anche solo in parte, uno o più dei seguenti ambiti?
- materiali avanzati e tecnologie per bassa osservabilità;
- esplosivi ad alte prestazioni, sistemi di innesco, impulsi ad alta energia;
- acustica subacquea, sonar, idrofoni, riduzione della segnatura acustica;
- tecnologie avanzate di decifrazione, information security offensiva;
- sistemi di guida, navigazione e controllo per vettori o piattaforme assimilabili;
- tecnologie spaziali, inclusi lanciatori, propulsione, sistemi di rientro;
- tecnologie nucleari, isotopiche o materiali fissili sensibili;
- strumentazione avanzata per diagnostica di fenomeni estremi o ad alta energia;
- altro ambito tecnologico riconducibile a famiglie sensibili analoghe.
A3.2 – Valore strategico
L’attività riguarda conoscenze, tecnologie, prototipi, processi, algoritmi, materiali o risultati suscettibili di applicazioni di elevato valore strategico?
L’obiettivo della domanda è identificare attività di ricerca che generano conoscenze, tecnologie o risultati potenzialmente rilevanti per interessi economici, industriali, infrastrutturali o di sicurezza nazionale.
Si suggerisce di rispondere “Sì” qualora l’attività produca o utilizzi tecnologie, algoritmi, materiali, prototipi, processi o risultati che:
- possano essere impiegati in settori strategici (ad esempio energia, trasporti, telecomunicazioni, spazio, difesa, salute, manifattura avanzata);
- possiedano un significativo potenziale di trasferimento tecnologico o valorizzazione industriale;
- possano costituire un vantaggio competitivo rilevante per organizzazioni pubbliche o private.
La sola rilevanza scientifica o accademica dell’attività non implica necessariamente una risposta affermativa
A3.3 – Sensibilità scientifica o tecnologica
L’attività produce o utilizza conoscenze, dati, metodi, modelli o sperimentazioni che, se sottratti, alterati o divulgati, potrebbero arrecare un danno rilevante all’ateneo o ai partner (ad esempio perché soggetti a NDA o perché sottoposti a restrizioni normative)?
La domanda è finalizzata a valutare le possibili conseguenze derivanti dalla perdita di riservatezza, integrità o disponibilità delle informazioni trattate nell’ambito della ricerca.
Si suggerisce di rispondere “Sì” qualora l’attività:
- sia soggetta ad accordi di riservatezza (NDA) o ad altri vincoli contrattuali;
- utilizzi o produca dati, modelli, metodi o risultati non pubblici il cui accesso non autorizzato potrebbe arrecare un danno significativo all’Ateneo o ai partner;
- sia soggetta a specifici obblighi normativi o regolamentari;
- comporti la gestione di informazioni proprietarie, segreti industriali o dati particolarmente sensibili.
In generale, occorre valutare se un’eventuale divulgazione, alterazione o sottrazione delle informazioni potrebbe avere conseguenze rilevanti sotto il profilo scientifico, economico, reputazionale o legale.
A3.4 – Interesse di soggetti esterni critici
L’attività coinvolge o interessa in modo sostanziale grandi imprese strategiche o operatori di infrastrutture critiche?
La domanda mira a identificare attività che coinvolgono, direttamente o indirettamente, organizzazioni considerate strategiche per il sistema economico o per il funzionamento di servizi essenziali.
Si suggerisce di rispondere “Sì” qualora l’attività:
- sia svolta in collaborazione con grandi imprese operanti in settori strategici;
- abbia come destinatari, utilizzatori o beneficiari operatori di infrastrutture critiche o servizi essenziali;
- produca risultati destinati ad applicazioni rilevanti per tali soggetti.
A titolo esemplificativo, rientrano in questa categoria operatori dei settori energia, telecomunicazioni, trasporti, finanza, sanità, spazio, acqua e infrastrutture digitali.
A3.5 – Collaborazioni esterne con Paesi potenzialmente critici
L’attività prevede la collaborazione e condivisione di dati e conoscenze con soggetti al di fuori dell’Unione Europea o operanti in contesti geopolitici sensibili o la ricezione di finanziamenti da tali soggetti?
La domanda è finalizzata a evidenziare eventuali profili di rischio connessi alla condivisione internazionale di conoscenze, dati e risultati della ricerca.
Si suggerisce di rispondere “Sì” qualora l’attività preveda:
- collaborazioni scientifiche, condivisione significativa di dati, risultati o conoscenze con enti, università o imprese localizzati al di fuori dell’Unione Europea operanti in contesti geopolitici sensibili;
- finanziamenti provenienti da organizzazioni pubbliche o private localizzate al di fuori dell’Unione Europea operanti in contesti geopolitici sensibili
La presenza di collaborazioni internazionali non costituisce di per sé un elemento negativo; l’obiettivo della domanda è esclusivamente consentire una corretta valutazione del livello di criticità dell’attività ai fini degli adempimenti NIS2.
A3.6 – Dati trattati nell’ambito della ricerca
Nell’ambito della ricerca vengono direttamente gestiti, elaborati o archiviati dati personali particolari o sensibili (es. dati particolari ex art. 9 GDPR, dati finanziari critici, atti riservati)?