L’evoluzione digitale aumenta le opportunità per le imprese, ma anche i rischi di cyberattacchi, richiedendo politiche di sicurezza efficaci. In questo contesto, le certificazioni di cybersicurezza, sebbene cruciali, sono ancora poco diffuse a causa degli elevati costi e lunghi tempi di ottenimento. Gli standard EUCC potrebbero facilitare l’adozione di misure di sicurezza comuni, promuovendo una maggiore sicurezza e gestione aziendale.
Un’indagine I-Com sottolinea come la compliance normativa pesi sulla competitività delle aziende, con difficoltà legate a costi e competenze e come le imprese richiedano formazione e procedure più semplici per migliorare la cybersicurezza.
L’evoluzione dell’ecosistema digitale e i rischi della minaccia cibernetica
La minaccia cibernetica ha continuato a crescere e a evolversi negli ultimi anni e ha assunto un ruolo sempre più centrale tra le sfide nazionali, eurounitarie e globali affrontate dalle istituzioni, soprattutto in virtù dell’instabilità geopolitica degli ultimi anni che influenza il panorama della sicurezza informatica, traducendosi in cyberattacchi sempre più gravi e numerosi, che – potendo superare i confini politici – spingono i Paesi e le organizzazioni internazionali allo sviluppo di policy, strategie e normative che ruotino attorno (o comunque includano in maniera rilevante) alla tutela del cyberspazio.
Questi sono alcuni dei temi approfonditi dall’Istituto per la Competitività (I-Com) nell’ultima versione del Rapporto annuale sulla Cibersicurezza presentato lo scorso 15 febbraio. In particolare, per verificare gli effetti sulle imprese della compliance rispetto al quadro regolatorio europeo e nazionale in materia di cybersecurity l-Com ha condotto un’indagine che ha coinvolto 145 imprese appartenenti a vari settori (acqua, rifiuti, energia, trasporti, TLC/digitale, ecc).
L’impatto delle normative sulle imprese italiane
L’analisi realizzata da I-Com ha cercato innanzitutto di comprendere quali effetti stia generando la crescita delle prescrizioni normative in ambito cyber sulle imprese italiane. Secondo il 74% dei partecipanti all’indagine, l’aumento del numero di adempimenti sta influendo negativamente la competitività delle aziende. Le principali criticità percepite cambiano notevolmente a seconda della dimensione: per le grandi imprese sono legate maggiormente agli investimenti tecnico-organizzativi necessari alla compliance (39%), mentre le aziende di medie dimensioni si concentrano prettamente sulla numerosità degli oneri burocratici e amministrativi richiesti (54%) e, infine, le piccole imprese si preoccupano prioritariamente dell’impatto sui rapporti con la supply chain (29%).
Le difficoltà nella compliance delle normative
Tra i fattori che rendono più difficoltosa la compliance spicca la mancanza di competenze idonee sia internamente sia sul mercato del lavoro (51,2%), seguita dall’incertezza interpretativa della normativa (44%) e dalla moltiplicazione – a volte disorganica – di prescrizioni che impongono adempimenti diversi ma che sono tese al raggiungimento del medesimo obiettivo (41%).
Va inoltre evidenziato come molti dei rispondenti abbiano lamentato una mancante (o insufficiente) consapevolezza dei livelli apicali per quanto riguarda l’ambito cybersecurity, che sommata all’aspetto rigido e prescrittivo di alcune normative di settore, crea una situazione estremamente complessa per gli addetti ai lavori.
L’importanza delle certificazioni per la resilienza delle imprese
Uno strumento fondamentale per garantire la resilienza delle imprese verso le minacce cyber sono le certificazioni. Queste, infatti, danno una chiara indicazione sulla sicurezza del prodotto e sull’affidabilità del costruttore contribuendo a migliorare la stabilità dell’intero ecosistema. Nonostante ciò, come emerge dall’analisi effettuata da I-Com, ad oggi sono pochissime le imprese che si avvalgono di questo strumento a causa dei costi elevati e della lunghezza delle tempistiche del processo di accreditamento.
Qual è la posizione della sua impresa circa le certificazioni volontarie di cybersicurezza?
In merito all’adozione di una o più certificazioni volontarie di cybersicurezza, si può osservare che la maggior parte delle imprese delle tre classi dimensionali non ha conseguito alcun tipo di certificazione. Tuttavia, considerando solo le grandi imprese, il 36% ha già adottato una o più certificazioni di cybersecurity, mentre un ulteriore 8% sta lavorando per ottenere la prima entro un anno. Di converso, tra le medie imprese i risultati appaiono ben diversi, in quanto solo l’11% ha acquisito almeno una certificazione e il 14% intende ottenere la prima certificazione entro un anno. Quanto alle piccole imprese, solo una ha già adottato una certificazione e un’altra punta a perseguire la prima entro un anno.
Tra coloro che hanno dichiarato di aver adottato almeno una certificazione, i principali effetti direttamente riconducibili ad essa sono stati: un miglioramento dell’immagine e della reputazione dell’impresa nei confronti degli stakeholders (45% dei rispondenti), una maggiore consapevolezza dei dipendenti e dei collaboratori esterni (39,7%) e più possibilità di partecipare a bandi di gara pubblici o privati (29,5%). Peraltro, è interessante evidenziare come oltre il 15% dei rispondenti non abbia valutato effetti direttamente riconducibili all’ottenimento della certificazione. Inoltre, si può osservare come solo le grandi imprese abbiano registrato un impatto degli incidenti di sicurezza più contenuto per le attività di impresa successivamente all’adozione di una certificazione di cybersecurity.
In aggiunta, agli intervistati è stato chiesto di indicare i principali parametri che prendono in considerazione nella scelta di un fornitore che eroghi servizi o fornisca prodotti ICT. A riprova dell’importanza della standardizzazione in tale ambito, il 79,6% delle aziende valuta la presenza di certificazioni di sicurezza sul prodotto o servizio, seguita dalla capacità comprovata di prevenire e gestire il rischio ICT (61%) e dalla previsione di clausole contrattuali di sicurezza prestabilite (57,5%). Diversamente, per le medie imprese intervistate rilevano maggiormente tempistiche ridotte di assistenza in caso di incidenti di sicurezza, opzione selezionata dal 48,6% del totale dei rispondenti, di cui il 63% sono aziende di medie dimensioni. Il parametro meno considerato per la scelta di un fornitore ICT (12,4%) concerne l’assenza di incidenti di cybersecurity nel corso degli ultimi 3 anni.
I problemi evidenziati dalle imprese nel conseguimento delle certificazioni
Accanto ad un ricco quadro di opportunità non vanno sottovalutate le difficoltà che interessano le imprese intente ad ottenere una certificazione volontaria di cybersecurity. Difatti, dall’analisi svolta da I-Com si evince che il principale ostacolo per il raggiungimento di questo obiettivo risieda, per il 38% delle aziende, nei costi elevati del processo di certificazione, percepiti come non proporzionati ai benefici che ne possono conseguire. In secondo luogo, quasi il 27% sostiene che i tempi per l’esecuzione della valutazione e il rilascio della certificazione siano troppo lunghi. Circa il 18% ritiene invece che la necessità di ripetere la procedura di valutazione in caso di nuove patch per aggiornamenti sia uno degli aspetti che limitano il perseguimento di una certificazione di cybersicurezza.
Quali ritiene siano i principali ostacoli con riferimento al perseguimento di una certificazione volontaria di cibersicurezza?
Per di più c’è anche il fatto che le certificazioni volontarie non siano considerate sufficienti dalla normativa sul PSNC e, in particolare, nell’ambito della procedura di testing dinanzi al CVCN. Difatti questo è considerato come un ostacolo dall’8% dei rispondenti, tutti afferenti alle grandi imprese. Anche il tema della mancanza di competenze e di personale appositamente dedicato a curare l’intero processo di certificazione appare piuttosto ricorrente, così come il caso in cui la scelta aziendale sia di perseguire certificazioni solo per il core business (client facing). Diversamente, il 22% delle imprese non rinviene difficoltà particolari nell’ottenimento di una certificazione.
Il ruolo degli EUCC
Detto ciò, appare evidente lo scopo e l’importanza degli European Common Criteria-based cybersecurity certification scheme (EUCC), il cui regolamento di esecuzione (“Implementing Act”) è stato adottato dalla Commissione europea lo scorso 31 gennaio e tramite il quale tali standard possono diventare ufficialmente parte della legislazione europea e supportare la certificazione di un numero maggiore di prodotti e sistemi ICT.
Dall’analisi condotta da I-Com emerge che, indipendentemente dal fatto che l’impresa abbia adottato o intenda adottare una certificazione di cybersicurezza, il 70% delle aziende è parzialmente o totalmente d’accordo in merito al fatto che standard comunitari – come, appunto, gli EUCC – possono incentivare il ricorso a questi strumenti. Non sorprende che le imprese che non si esprimono sul punto raggiungano quasi il 23%, con una prevalenza di quelle di medie e piccole dimensioni.
Tra le motivazioni correlate alle risposte pervenute e che accolgono con favore standard di certificazione a livello comunitario, viene sottolineato che – se questi ultimi condividono una base comune di requisiti – possono comportare una serie di vantaggi inerenti, fra l’altro, una più corretta gestione delle scelte aziendali, che passa anche per una maggiore proceduralizzazione dei processi interni, oltre a uniformare e chiarire in modo trasparente e pubblicamente accessibile i requisiti di sicurezza comuni. Inoltre, è stato segnalato che la complessità del procedimento per ottenere e mantenere nel tempo i Common Criteria possa rendere più difficile la creazione di una cultura aziendale, per cui si ritengono maggiormente adeguati gli standard della famiglia ISO 27000.
Proposte per migliorare la situazione della cybersicurezza in Italia
Lo scenario che risulta dall’indagine impone una riflessione su come intervenire per risolvere le criticità riscontrate e, più in generale, su come migliorare lo stato della cibersicurezza in Italia.
Per la netta maggioranza delle imprese (81%) è opportuno puntare sulla consapevolezza e sulla formazione del personale in maniera diversificata per ruolo e competenze. Inoltre, uno sforzo andrebbe fatto anche nella direzione di rendere più snelle le prescrizioni che portano all’esecuzione di frequenti test allungando i tempi e incrementando i costi. Infatti, questi possono generare un effetto negativo sul time-to-market delle aziende, complicando la programmazione circa l’acquisto di soluzioni tecnologiche aggiornate e più performanti anche in termini di sicurezza, oltre che aumentando la percezione per le imprese della cybersecurity come fattore ostativo e non abilitante alla digitalizzazione e all’innovazione. Meritevole di attenzione è anche la proposta dei partecipanti all’indagine di incentivare l’utilizzo di certificazioni della cybersicurezza di prodotti ICT ai sensi del Cybersecurity Act, prevedendo una semplificazione della procedura di valutazione del CVCN, qualora l’operatore acquisti un prodotto già certificato.
È dunque auspicabile che l’iter terminato di recente sulla creazione degli European Common Criteria (EUCC) possa stimolare e incentivare le organizzazioni e i laboratori nazionali a certificare un numero maggiore di prodotti e sistemi ICT, dato che tali standard puntano a garantire livelli di sicurezza elevati e un’adeguata snellezza dei processi di certificazione, consentendo di affrontare in maniera più efficace la dinamicità tipica della minaccia cibernetica e irrobustire la postura di cybersicurezza nazionale.
