Enti pubblici e privati, imprese sono oggetto di minacce informatiche sempre più complesse. Al fine di contrastarle, nel 2024 si è cercato di rafforzare ulteriormente il quadro normativo in ambito Ue (Direttiva NIS2). Cybertech Europe a Roma è stata così l’occasione per un confronto sul tema tra stakeholder di alto livello, intervenuti nell’ambito del panel “The Adoption of a Cyber Regulatory Framework”.
NIS2, la cybersecurity tra compliance e realtà negli interrogativi posti, in qualità di moderatore, da Carlo Didonè, Senior Public Policy Manager presso Anitec-Assinform, ai professionisti ed esperti intervenuti al panel “The Adoption of Cyber Regulatory Framework” nella cornice di Cybertech Europe a Roma.
Citando il Rapporto Clusit 2024 (con 2.779 incidenti gravi analizzati a livello globale, il 2023 restituisce una fotografia nettamente peggiorativa rispetto ai dodici mesi precedenti, proseguendo a descrivere una curva degli attacchi in inesorabile aumento, che registra un +12% sul 2022), e parlando di “un incremento degli attacchi in Europa anche come conseguenza del conflitto russo-ucraino”, Didonè ha rimarcato l’importanza che “le aziende permangano resilienti per garantire la continuità nell’operatività”. Nella convinzione che “il rischio zero non esiste”.
Quindi il Senior Public Policy Manager presso Anitec-Assinform è rivolto agli ospiti del panel chiedendo il loro punto di vista sul quadro normativo regolatorio, se e come andrà perfezionato e sui principali aspetti per una corretta gestione della sicurezza informatica in azienda.
Non si può morire di compliance
Facendo riferimento all’articolo su Cybersecurity Italia “Recepimento della Direttiva NIS2: niente panico!”, scritto a quattro mani con la collega Flavia Bavetta, Stefano Mele, Partner presso Gianni&Origoni, ha spiegato che “per le aziende il pericolo è di girare a vuoto e restare verticalizzati sul Regolamento Generale sulla Protezione dei Dati Personali (GDPR), la Direttiva NIS2, il Regolamento DORA, quando invece occorre cogliere le linee alte, strategiche dell’Ue”.
Fermo restando che, ribadisce, “non si può morire di compliance”, l’avvocato Mele ha fatto presente che “in tutte le normative europee e in quelle nazionali possiamo cogliere cinque macroaree di intervento: approccio basato sul risk management; applicazioni di misure di sicurezza in rapporto all’analisi del rischio; condivisione delle informazioni in relazione ai cyber incidenti; protezione della supply chain; essere soggetti alle rispettive agenzie per la cybersicurezza nazionale”.
Parole alle quali hanno fatto eco quelle di Alessandro Marzi, CISO del Gruppo A2A, secondo cui “le direttive come la nuova NIS2 sono grandi opportunità da cogliere, dei rilevanti acceleratori per noi che siamo tenuti a proteggere l’azienda dalle minacce informatiche e a minimizzare eventuali attacchi”. Dunque, ha continuato, “l’accezione alla praticità rappresenta una componente fondamentale soprattutto per chi, come nel nostro caso, ha un business eterogeneo”.
Sfide tutt’altro che agevoli, è inevitabile, per una global company come MSC Crociere. Nel premettere che “le nostre navi da crociera sono delle smart city con 9.500 passeggeri a bordo, piccole città automatizzate in movimento che devono essere sempre efficienti, con aspetti regolamentatori particolari” – si parla, dunque, di Diritto internazionale del mare – Simone Fortin (CISO del Gruppo Cruises Division, MSC Cruises, Svizzera) ha spiegato: “La cyber, anche solo con la NIS2, costituisce un bel punto di domanda. Per una realtà come la nostra, ci sono delle rigidità a livello operativo. Sfide complesse che siamo chiamati ad affrontare”
Difficoltà a trovare risorse e competenze digitali adeguate
Nel sottolineare l’importanza, per il gruppo industriale internazionale Leonardo, della cooperazione tra dominio civile e militare (“non sono due universi disgiunti. Le operazioni militari fanno leva su piattaforme critiche, è impossibile ammettere una visione separata tra le parti”), Enrico Giacobbe, Head of Cyber & Digital Advisory presso la Divisione Cyber & Security Solutions di Leonardo, ha rimarcato anche il doppio ruolo del partner tecnologico di Governi, Amministrazioni della Difesa, Istituzioni e imprese (“siamo soggetti ad alcune normative, come service provider, e supportiamo in nostri clienti in Italia e all’estero”).
Quindi Giacobbe ha affrontato l’argomento, assai dibattuto, delle nuove competenze digitali sempre più richieste. Ma anche della difficoltà di individuarle. “Le università fanno la loro parte – le sue parole – e come aziende siamo chiamati a fare altrettanto. È una necessità. Oggi però abbiamo problemi a trovare personale, e questo è un tema essenziale da affrontare e risolvere per rendere sostenibile il percorso cyber a tutto tondo”.
Criticità espresse anche da Enrico Colaiacovo, che dal 2022 dirige il Dipartimento di Roma Capitale responsabile dell’innovazione dei sistemi digitali, delle reti di telecomunicazione dell’Amministrazione e dei programmi di finanziamento PNRR per la trasformazione digitale. “È bene ribadirlo: siamo l’amministrazione di una capitale di un Paese del G7, abbiamo un ecosistema digitale che va oltre l’obiettivo specifico dei dipartimenti interni. Dobbiamo affrontare grandi salti di qualità”.
Per poi chiosare: “Disponiamo di un Dipartimento Cybersecurity e Sicurezza Urbana, trovandoci ad affrontare situazioni che richiedono specializzazione importante e formazione continua. Non nascondo che la nostra difficoltà è proprio l’allestimento del capitale umano per seguire il tema cyber nel miglior modo possibile”.