l’approfondimento

Nis 2: nuova frontiera di cyber resilienza per aziende e PA



Indirizzo copiato

La Direttiva NIS 2 ridefinisce la cyber resilienza nelle aziende e nelle pubbliche amministrazioni, aggiornando le precedenti norme e migliorando la gestione delle responsabilità e delle sanzioni. Il suo impatto è fondamentale per affrontare le nuove sfide della sicurezza informatica

Pubblicato il 2 gen 2025

Rita Forsi

Vicepresidente e Direttore del Comitato Tecnico-Scientifico di Women4Cyber Italia



cybersecurity (1)

La Direttiva NIS 2 si propone di incidere in modo più deciso di sempre sulla capacità delle realtà pubbliche e private di contrastare gli attacchi cyber, sempre più frequenti e spesso così violenti da lasciare segni indelebili nei soggetti colpiti.

Cybersicurezza, un approccio normativo rinnovato

Colpisce l’approccio scelto dal legislatore che cancella la precedente direttiva NIS del 2016 e la sostituisce integralmente, rilanciandone nel contempo i principi basilari ma soprattutto scegliendo di inquadrare meglio le misure di contrasto nei contesti nei quali saranno applicate, scegliendo altresì di attribuire con maggiore chiarezza le responsabilità di chi le deve applicare e intervenendo anche sull’impianto sanzionatorio.

Ampliamento degli ambiti di applicazione

Come noto, gli ambiti di applicazione sono significativamente aumentati.

Inoltre, l’interazione fra di essi in generale complica il lavoro di chi deve predisporre regole di comportamento, dovendo mettere in conto i rapidi sviluppi tecnologici che potrebbero cambiare in tempi brevi le organizzazioni aziendali, la forza lavoro, il livello di investimenti e tanti altri aspetti della rivoluzione legata alla transizione digitale.

Andavano quindi potenziate quanto prima, e armonizzate con urgenza, le capacità di qualunque soggetto, pubblico o privato in attività, di fronteggiare minacce informatiche anch’esse in rapida trasformazione per numero, grado di sofisticazione e probabile molteplicità di provenienze.

La direttiva NIS 2, se ben interpretata ed applicata, può incidere positivamente in questo scenario.

Le sfide per le piccole e medie aziende

E’ presumibile che ad alcuni livelli si incontrino ancora difficoltà a concepire gli interventi indicati dalla direttiva come azioni da mettere in atto con puntualità ed urgenza; si pensi per esempio al settore delle piccole e medie aziende, e in qualche caso anche ad alcune tipologie di microimprese che vengono tirate in ballo dalla nuova direttiva.

Per queste ultime il peso degli interventi per corrispondere alle previsioni normative della NIS 2 può risultare a prima vista eccessivo, ma quegli obblighi che andranno ad assolvere possono costare molto meno di quanto inciderebbe il ripristino delle condizioni precedenti ad un possibile violento attacco informatico.

Stime di questo genere hanno accompagnato la predisposizione del testo della NIS 2; inoltre poiché la questione riveste particolare importanza, potrebbero rivelarsi necessari interventi di sostegno a quelle piccole realtà che da sole farebbero fatica a compiere in piena autonomia il percorso che le inserisce, in sicurezza, in filiere importanti.

Supporto alle piccole realtà

Dalle prime fasi di studio su come rendere operative le previsioni della direttiva a livello nazionale, considerata la tempistica delle operazioni che ACN ha appena iniziato ad illustrare, giunge forte e chiaro il segnale che queste operazioni debbano avvenire in progressione.

E’ auspicabile quindi che tutte le componenti interessate abbiano il tempo di organizzarsi, pur nella consapevolezza che non c’è tempo da perdere per farlo.

La necessità di un cambiamento culturale

La protezione effettiva che dovrà concretizzarsi con l’applicazione della NIS 2, senza dimenticare i restanti capisaldi dell’impianto normativo riguardante la cybersecurity in Europa e quindi anche in Italia, non potrà tuttavia prescindere da un cambiamento culturale davvero importante.

Auspicarlo, tuttavia, e capirne il ruolo di indispensabile, fondamentale e ulteriore “misura “da adottarsi e sulla quale basare tutte le altre, non lo rende già disponibile.

Eppure sembra quasi banale rendersi conto che ogni servizio pubblico offerto in un prossimo futuro, così come una prestazione professionale qualsiasi, con la trasformazione digitale in atto, saranno molto diversi da come sono stati erogati finora, e il fattore umano inciderà enormemente.

Il cambiamento culturale dovrà informare la progettazione delle nuove attività, l’interazione fra Pubbliche Amministrazioni e cittadini, la modalità con cui una grande o piccola azienda offre i propri servizi, il linguaggio utilizzato nel presentarli, l’onere anche finanziario che dovrà essere sostenuto per conoscere i propri asset più strategici e lo studio che sarà necessario per individuarne la migliore protezione possibile.

Fra queste, non ultima, la protezione di tipo cyber richiederà un approccio diverso e più consapevole.

Importanza della condivisione delle informazioni

Un’analisi di possibili benefici che l’applicazione della Direttiva NIS2 può apportare realmente al settore pubblico e privato può partire, per esempio, dall’articolo 29 dal titolo “Accordi di condivisione delle informazioni sulla cibersicurezza”.

Il principio della condivisione delle informazioni in materia di attacchi cyber scardina un caposaldo della vita e delle relazioni che intercorrono tra aziende private, soprattutto se operanti in mercati concorrenziali.

La riservatezza delle operazioni interne, in particolare se queste operazioni riguardano debolezze o malfunzionamenti, è difficile da violare.

Un attacco cyber subìto diventa, allora, un evento da nascondere onde evitare ripercussioni, per esempio, sulla reputazione aziendale.

Ruolo del Cert nazionale

Agli inizi dell’attività del CERT nazionale nel 2014, avviato presso l’allora Ministero dello Sviluppo Economico a sostegno di imprese e cittadini, ogni tentativo di creare occasioni di scambio di informazioni tra imprese si infrangeva non appena proposto.

Era stato allora creato un tavolo permanente al quale erano stati invitati i rappresentanti delle aziende “top player” nei settori telco, energia, finanziario e pochi altri, proprio per iniziare a condividere informazioni e creare i primi modelli di collaborazione in materia cyber; tecnicamente il tavolo poteva interpretarsi come un primordiale partenariato pubblico-privato.

Nella realtà, la fiducia fra i soggetti presenti al tavolo non era sufficiente a far decollare un proficuo dialogo e già si sentiva la necessità di un cambiamento culturale in grado di far percepire l’importanza di una solidarietà tra soggetti destinati comunque a compiere percorsi paralleli.

Gli alert che sarebbero potuti arrivare da chi già aveva subito un attacco potevano rivelarsi davvero preziosi per molti altri.

L’esperimento del tavolo congiunto fu tuttavia prezioso, un dialogo importante era stato avviato anche se evidentemente serviva tempo per far crescere sia la consapevolezza dell’esistenza e delle possibili conseguenze del rischio informatico, sia la fiducia fra Istituzioni e settore privato come pure fra elementi dello stesso ambito operativo.

Intanto il CERT Nazionale già riusciva a fornire informazioni tramite i primi bollettini e news circa i malware in circolazione o le minacce in arrivo.

L’esercizio, seppure con lentezza, contribuì a lanciare le basi di una postura innovativa che, creando sinergie tra pubblico e privato, anticipava quanto poi era destinato a diventare uno dei principi fondamentali della cybersecurity, quello cioè dello scambio efficace di informazioni, ovviamente escludendo quelle riservate, unitamente all’aspetto altrettanto fondamentale delle esercitazioni di sicurezza informatica.

Per chi ha vissuto quelle fasi pioneristiche, assistere alla codifica di certi comportamenti in norme di settore e nemmeno in posizione subordinata, rappresenta un passaggio altamente significativo e il segnale che qualche progresso culturale è stato compiuto.

Per questi motivi ritengo che l’art.29 richiami l’attenzione su uno degli strumenti più potenti per accrescere la resilienza di sistemi complessi, strategici e interconnessi tra loro e apporti benefici immediati a chi appartenga alla catena delle informazioni.

E’ ovvio che devono essere scambiate notizie relative a “… minacce informatiche, quasi incidenti, vulnerabilità, tecniche e procedure, indicatori di compromissione, tattiche avversarie, informazioni specifiche sugli attori delle minacce, allarmi di cibersicurezza e raccomandazioni concernenti la configurazione degli strumenti di cibersicurezza per individuare le minacce informatiche”.

Il risultato tuttavia è raggiungibile se si verificano un paio di condizioni abilitanti: la prima è la presenza attiva nei circuiti collegati con le strutture ufficiali della cybersicurezza nazionale ( mi riferisco in primis allo CSIRT ); la seconda riguarda la scelta di inserire il rischio cyber tra i rischi d’impresa e di adottare, fra le prime misure possibili, quella dell’investimento in risorse competenti alle quali riferirsi costantemente e in modo nuovo da parte del top management, anche se si tratti di una piccola impresa.

Sulla base della sperimentazione avviata con il CERT nazionale, la potenza attuale dell’azione informativa dello CSIRT operante in ACN, con strumenti, competenze e risorse adeguate alle necessità, è garanzia di aiuto e supporto agli attori pubblici e privati che vi guardino con continuità ed attenzione.

L’importanza della catena di approvvigionamento e contrattualistica

Con la NIS 2 è stata sottolineata altresì l’importanza strategica della supply chain.

Questa scelta è particolarmente significativa e colma una lacuna esistita troppo a lungo, se si considera da quanto tempo chi opera nel settore avesse ravvisato la necessità e l’urgenza di un intervento in merito.

Le analisi delle modalità con le quali si presentavano incidenti e attacchi informatici hanno messo in evidenza quanto fosse indispensabile pensare a delle soluzioni sostenibili per rafforzare l’intera catena delle forniture e richiamare tutti gli attori coinvolti a comportamenti controllati e di più alta responsabilità.

Nel contempo il Codice degli Appalti ha introdotto nuove previsioni in materia di contrattualistica, per contemplare le esigenze di cybersicurezza negli acquisti della Pubblica Amministrazione.

Anche questo intervento è stato particolarmente apprezzato nell’ottica dei benefici che si devono poter concretizzare con un cambio di passo non formale.

Il ruolo delle microimprese

Su questa base, anche le microimprese assumono un ruolo di attore importante della catena della fornitura e dovranno porsi il problema di accrescere la loro resilienza al fine di potersi inserire in modalità sicura e affidabile in rapporti di lavoro con grandi aziende o Pubbliche Amministrazioni.

Se il legislatore ha fatto la sua parte, è compito adesso di tutti svolgere il proprio ruolo o funzione con puntualità e impegno.

Vanno infatti messi in atto veri e propri comportamenti virtuosi, riconducibili peraltro al principio di “cyber higiene”, riservando attenzione -e fondi- all’adozione di posture corrette, tecniche di difesa, iniziative formative e innovazioni organizzative e procedurali.

Uno strumento particolarmente utile per districarsi nello studio di un testo non semplicissimo come quello della NIS 2 è la lettura approfondita della parte che precede l’articolato.

Il “Considerando” 21 introduce, per esempio, il ricorso ad eventuali orientamenti che potrebbero essere forniti dalla Commissione europea stessa per sostenere gli Stati Membri fra l’altro, nella valutazione della proporzionalità delle misure da adottare.

Se le misure prescelte sono coordinate a livello europeo e sono rigorose, ma anche rispettose delle capacità delle aziende, si può pensare di giungere a soluzioni tecnologiche e organizzative sostenibili dai vari attori; su queste basi è presumibile che il tasso di “disobbedienza” non sia in futuro così elevato da compromettere il miglioramento della cifra di sicurezza informatica dei cosiddetti anelli deboli della supply chain.

La NIS 2 e il settore privato

Se rivolgiamo la nostra attenzione al vasto panorama delle PMI, il più importante obiettivo da raggiungere è quello di includere questo settore il più possibile nel percorso intrapreso, sia a livello europeo che a livello nazionale, di rafforzamento della resilienza di un intero sistema Paese affinché possa crescere la sua economia e la sua affidabilità.

Tutti sanno che questo obiettivo rappresenta una vera e propria sfida in quanto le difficoltà da superare spaziano dalla mancanza o insufficienza di consapevolezza dell’esistenza e pericolosità del rischio informatico, alla carenza di personale provvisto di idonea preparazione fino alla cronica assenza di investimenti ai livelli organizzativo-procedurale-tecnologico per contrastare quello che non è ancora ben percepito come rischio d’impresa.

Per questo diventa significativo quanto riportato dal considerando 52 circa il contributo che gli strumenti e le applicazioni di cybersicurezza open source possono apportare soprattutto nel settore delle PMI.

Come detto, occorre innovare in qualsiasi tipo di azienda, e nel Considerando citato si sottolinea come gli strumenti e le applicazioni di cibersicurezza open source possono contribuire a un livello più elevato di apertura e avere un impatto positivo sull’efficienza dell’innovazione industriale.

Ed ancora, è interessante la riflessione su quanto potrebbero in effetti essere realizzato dagli Stati Membri in termini di utilizzo di software con l’adozione di “politiche relative all’uso di dati aperti e open source come parte della sicurezza attraverso la trasparenza. Le politiche che promuovono l’introduzione e l’uso sostenibile di strumenti di sicurezza informatica open source rivestono particolare importanza per le piccole e medie imprese che devono sostenere notevoli costi per l’attuazione, e che potrebbero essere minimizzati riducendo la necessità di applicazioni o strumenti specifici.”

Se nell’applicazione della NIS 2 le questioni fondamentali risultano essere l’individuazione puntuale dei soggetti interessati ( operazione che non viene più effettuata con procedura top-down come nella precedente direttiva NIS, essendo cambiato nella NIS 2 proprio l’approccio alla tematica da regolare), unitamente alla creazione di un insieme di misure da adottarsi in modo che gli interventi siano più aderenti alla realtà delle cose, e alla conseguente applicazione delle sanzioni previste dal nuovo impianto, sono da considerarsi ancora con grande attenzione le questioni relative alle PMI o addirittura alle microimprese.

Conviene allora, preliminarmente, riprendere direttamente dalla Raccomandazione 2003/361/CE, pubblicata sulla Gazzetta ufficiale n. L 124 del 20/05/2003, la definizione di piccole, medie e micro imprese, previa precisazione che , in base agli articoli 48, 81 e 82 del trattato CE, peraltro interpretati dalla Corte di giustizia delle Comunità europee, quando si fa riferimento ad un’impresa, si tiene in conto una qualsiasi entità, a prescindere dalla forma giuridica che riveste, che svolge un’attività economica, comprese le entità che conducono un’attività artigianale o altre attività a titolo individuale o familiare, le società di persone o le associazioni che svolgono regolarmente un’attività economica.

Una considerazione va ovviamente riservata al numero degli occupati ma anche l’aspetto finanziario è da valutarsi.

Occorre quindi riferirsi anche al fatturato, meglio se non considerato come criterio unico; ad esso infatti è consigliato di aggiungere anche quello del totale di bilancio.

Nel giugno 2000, inoltre, è stata approvata la Carta europea delle piccole imprese da parte del Consiglio europeo di Santa Maria da Feira, con la quale si è provveduto anche a definire meglio le microimprese, riconosciute come entità che, nell’ambito delle piccole imprese, rivestono particolare importanza in termini di creazione di posti di lavoro e contributo all’imprenditorialità in generale.

Il Titolo 1 dell’Allegato alla Raccomandazione riporta pertanto le soglie da considerarsi per le varie categorie:

1. La categoria delle microimprese delle piccole imprese e delle medie imprese (PMI) è costituita da imprese che occupano meno di 250 persone, il cui fatturato annuo non supera i 50 milioni di EUR oppure il cui totale di bilancio annuo non supera i 43 milioni di EUR.

2. Nella categoria delle PMI si definisce piccola impresa un’impresa che occupa meno di 50 persone e realizza un fatturato annuo o un totale di bilancio annuo non superiori a 10 milioni di EUR.

3. Nella categoria delle PMI si definisce microimpresa un’impresa che occupa meno di 10 persone e realizza un fatturato annuo oppure un totale di bilancio annuo non superiori a 2 milioni di EUR.”

Il segmento delle PMI entra nella gestione dei rischi cyber e nella attuazione pratica delle previsioni della Direttiva soprattutto per le implicazioni che l’adozione di misure ha nei confronti della supply chain.

E’ pur vero infatti che i soggetti essenziali e i soggetti importanti hanno degli obblighi in materia di sicurezza informatica ormai ben codificati, peraltro descritti nella NIS 2 all’art.24; in esso si sottolinea come l’approccio su cui si basano le misure da mettere in campo sia chiaramente del tipo “multirischio” e che il cuore di questo nuovo atteggiamento filosofico preveda di considerare la sicurezza della catena di approvvigionamento riservando la massima attenzione ai rapporti fra i soggetti importanti e quelli essenziali con i diretti fornitori o fornitori di servizi.

E questi ultimi, in genere, sono aziende medio-piccole che devono altrettanto conformarsi ai principi operativi delle aziende più grandi.

Il beneficio che anche soggetti piccoli possono avere, a fronte ovviamente di costi da sostenere, risiede proprio nell’ingresso in una filiera protetta, nel cambiamento di mentalità che questa innovazione comporta, in quanto tali soggetti non potranno esimersi dall’impostare la loro attività secondo regole nuove dovendo anch’essi considerare il rischio cyber come uno dei maggiori rischi d’impresa.

A valle di questa assunzione, la postura nella contrattualistica dovrà essere rivista, dovendo ormai inserire clausole di garanzia per le fasi di fornitura, di sviluppo e di manutenzione di apparati/sistemi/servizi.

Le regole valide per i grandi player dei vari settori relative alle indispensabili policy aziendali di comportamenti e modalità organizzative e operative da adottarsi, sotto la direzione consapevole e competente del top management, dovranno essere ricalcate dai piccoli soggetti della filiera.

Se necessario dovranno essere eventualmente scardinate vecchie abitudini gestionali, come una estrema prudenza in caso di adozione di linee guida la cui applicazione sia abbastanza onerosa in termini di investimenti in innovazione tecnologica; tali logiche sono purtroppo ormai le principali responsabili della estrema debolezza dal punto di vista di molte infrastrutture, rispetto a possibili e violenti attacchi.

Il cambiamento di mentalità e l’adozione di nuovi e benefici comportamenti, spinti dalle imposizioni e soprattutto dalla nuova filosofia di gestione e dai nuovi obblighi imposti dalla NIS 2 al settore privato, passeranno soltanto se ci si ispirerà a due fondamentali capisaldi: la formazione del personale per ridurre al minimo tutti i tipi di rischio, compresi quelli dovuti al fattore umano, e la prassi delle esercitazioni di sicurezza informatica.

Formazione e esercitazioni di sicurezza

La formazione del personale è il tassello più significativo nella costruzione di una cultura di sicurezza informatica, diffusa e assimilata da qualsiasi persona che si trovi ad operare con procedure informatizzate e nei ruoli più diversi.

La preparazione di nuovo personale da assumere, sia amministrativo che tecnico, dovrà essere continua ma differenziata, a seconda della cultura di base posseduta; l’organizzazione aziendale dovrà poter considerare funzioni nuove, quindi nuovi ruoli e nuove interazioni interne ed esterne alle realtà aziendali che non potranno più fare a meno di contare sulla qualità della preparazione anche informatica di certo personale applicato in settori particolari se si vogliono proteggere adeguatamente sia il know how che gli asset strategici.

E anche i vertici aziendali dovranno entrare in partita in modo diverso, consapevoli e sempre aggiornati sui rischi e sulle opportunità introdotti dal digitale e da un’informatizzazione spinta di processi e procedure.

Quanto poi alla prassi delle esercitazioni di sicurezza informatica, non si sottolinea mai abbastanza quanto vane siano anche le migliori iniziative di sicurezza informatica se non sono accompagnate da continui e rigidi momenti di verifica.

Nel 2010 la Commissione Europea, in collaborazione con Enisa, lanciò la prima esercitazione di sicurezza informatica invitando gli Stati Membri a parteciparvi.

Furono 22 i partecipanti, e l’Italia era tra questi.

La prima esperienza fu riservata alle Pubbliche Amministrazioni, ma ben presto si passò ad esercitazioni congiunte tra realtà pubbliche e private.

A livello nazionale furono messe in campo immediatamente esperienze simili per testare anche le capacità di dialogo e l’esistenza di diversi livelli di preparazione fra i soggetti partecipanti, per iniziare a progettare iniziative di supporto nella crescita di quello che si stava già mostrando un percorso irreversibile.

Naturalmente si capì fin da subito che, sia per la PA che per le Aziende private, il risultato più prezioso di tale tipo di iniziative, a fronte di scenari immaginati sempre più complessi e sfidanti, era rappresentato dalle valutazioni finali, le cosiddette “lezioni apprese”.

Più severe erano le analisi a consuntivo, più proficui potevano essere i correttivi.

Il modello è ancora valido, a tutti i livelli di complessità di Amministrazioni Pubbliche, di grandi player privati e di PMI.

Feedback e cyber hygiene

L’art.24 della NIS 2, al comma 2 lettera f) non a caso indica, fra gli elementi che compongono le misure tecniche, operative e organizzative da adottarsi, le politiche e procedure per valutare l’efficacia delle misure di gestione dei rischi.

I feedback pertanto sono importanti e costituiscono la base su cui costruire ulteriori passi in termini di comportamenti virtuosi, improntati ai principi di cyber hygiene, così spesso oggi richiamata. I monitoraggi e gli auditing previsti dalla NIS 2 rientrano in questa ottica.

La cyber higiene può davvero tradursi come una serie di buone pratiche giornaliere talvolta anche molto semplici ma dal forte impatto nelle varie realtà operative.

Comunità e iniziative congiunte

Una ulteriore opportunità di crescita per le PA ed il settore privato è rappresentata dall’appartenenza a particolari community, come quella che ruota intorno allo CSIRT per esempio, come anticipato in precedenza, oppure nei Tavoli tecnici di implementazione della copiosa normativa che in materia cyber è stata prodotta negli ultimi periodi, anche per i numerosi atti regolamentari emessi a livello europeo.

Enormi vantaggi, per esempio, possono essere acquisiti da tutti, compresi i cittadini professionisti del settore o meno, grazie alla conoscenza di news, di allerte e di bollettini che sono disponibili pubblicamente nelle apposite sezioni del sito web dello Csirt.

In ogni caso, tra gli sviluppi futuri che si auspicano per lo CSIRT nazionale, il più importante resta quello di diventare un vero e proprio hub, conosciuto e riconosciuto da tutti perché capace e pronto a fornire il supporto tecnico massimamente qualificato.

Intorno allo Csirt si dovrebbero incontrare le più svariate istanze e risposte sulle problematiche tecniche maggiormente diffuse.

Inoltre, in esso dovrebbe attestarsi un’innovazione tecnologica spinta in grado di contrastare e anticipare il maggior numero di minacce informatiche e processare un numero di informazioni, dati, indicatori di compromissione drammaticamente numerosi e in crescita continua.

Un livello di comunicazione adeguato trasmetterà fiducia e accrescerà la consapevolezza in qualsiasi soggetto che vi si avvicini.

La possibilità di conoscere le vulnerabilità e le minacce in circolazione, disponendo quindi di aggiornamenti continui e affidabili, o di avere un rapporto con una struttura dialogante, potrebbe far parte di un percorso di prima formazione tecnica, conoscenza delle Istituzioni e delle rispettive competenze, di stimolo ad approfondire l’argomento per successive declinazioni, specialistiche o generiche che siano, non solo per i cittadini, spesso ignorati da tutti, ma anche e soprattutto per quelle aziende, di piccola o media dimensione, che non hanno ancora fatto investimenti in tal senso.

Anche attraverso questo strumento di condivisione, l’applicazione della NIS 2 potrebbe trovare terreno fertile per far crescere la cultura della resilienza, vista come patrimonio condiviso da intere comunità.

Le iniziative poste in essere da apparati statali e adeguatamente comunicate, potrebbero costituire un modello cui riferirsi anche da parte di quei soggetti (pochi ormai) esclusi dalle previsioni della NIS 2 ma che non potranno comunque permettersi di evitare certi passaggi se vogliono competere sui mercati del digitale o dell’innovazione tecnologica.

Problematiche specifiche delle pubbliche amministrazioni

Una considerazione specifica meritano le Pubbliche Amministrazioni.

Non comprese nella Direttiva NIS, entrano di diritto e con le sfaccettature necessarie nella NIS2; l’allegato III riporta le Amministrazioni centrali, regionali locali e di altro tipo interessati dalle relative previsioni normative.

Gli obiettivi e le priorità che riguardano le Pubbliche Amministrazioni devono essere ricompresi in una Strategia nazionale come previsto dall’art.9 del Decreto Legislativo 138/2024 di recepimento della NIS 2.

La Strategia nazionale deve individuare gli obiettivi e le priorità anche al fine di raccordare le varie competenze dei soggetti a vario titolo convolti nell’applicazione della direttiva, per garantire la formazione, la gestione del funzionamento della supply chain, così come altre funzioni rilevanti nell’ambito PA, esattamente come per altri segmenti.

Anche le Pa, in quanto destinatarie di obblighi, sono passibili di sanzioni in caso di inottemperanza.

Il rispetto degli obblighi e le minacce incombenti richiedono di mettere in campo con urgenza le azioni di protezione.

Risulta pertanto degna di nota e di supporto alle misure previste dalla NIS 2, la novità introdotta dalla legge 90 del 28 giugno 2024, che all’art.8 contempla l’istituzione di una struttura, nelle Pubbliche Amministrazioni, dedicata allo sviluppo di politiche e procedure di sicurezza informatica.

Dall’ambito di questa speciale struttura dovrà provenire il “referente per la cybersicurezza”.

Gli investimenti destinati al rafforzamento della resilienza delle Pubbliche Amministrazioni, destinatarie di massicci attacchi anche nei periodi più recenti, come tutti gli Osservatori riportano, partono proprio da qui: dalla predisposizione di una struttura composta da unità preparate e in numero adeguato.

Queste strutture devono altresì essere dotate di strumentazione all’altezza delle minacce e di risorse che traducano in realtà la volontà di farle funzionare.

L’ostacolo maggiore che potrebbe impedire di raggiungere l’obiettivo, in questo caso, potrebbe rinvenirsi nella insufficiente dotazione finanziaria e in possibili sovrapposizioni di competenze, oltre all’impossibilità vera e propria di individuare al proprio interno un referente con le competenze richieste.

La gestione dei sistemi informativi e di rete e, in caso di ricorso a forme di smart working

La gestione dei sistemi informativi e di rete e, in caso di ricorso a forme di smart working, delle autorizzazioni per gli accessi dalle postazioni operanti da remoto, la creazione di policy e di piani operativi che devono attagliarsi ad una Amministrazione specifica, non potrebbero ragionevolmente portare a risultati apprezzabili se il referente cyber non fosse presente o provenisse da altra Amministrazione.

Formazione di sicurezza informatica del personale

Quanto alla formazione di sicurezza informatica del personale, in qualche Amministrazione pubblica sono state da tempo attivate preziose iniziative e programmi di erogazione di corsi ad altre Amministrazioni, utilizzando risorse interne come docenti.

Tali iniziative, alcune delle quali risalgono a molti anni fa, dovrebbero essere implementate in quanto, se non mantenute nel tempo e aggiornate continuativamente e soprattutto non equamente diffuse, rischierebbero di non essere efficaci per gli scopi della NIS 2.

Può giocare a sfavore anche l’età media elevata dei dipendenti pubblici e il dislivello significativo tra le unità più anziane e le nuove leve; i neo-assunti invece hanno in generale un approccio più favorevole all’utilizzo di nuove tecnologie o maggiori capacità e competenze nel gestire processi e procedure ormai completamente informatizzate.

Il referente cyber dovrà inoltre essere un punto di contatto affidabile all’interno della propria Amministrazione, riferimento unico nei confronti dell’Agenzia per la cybersicurezza nazionale e per ogni altro collegamento eventualmente necessario.

Dovrà inoltre costruire un rapporto inedito ed efficace con i responsabili delle risorse umane e finanziarie, affinché il suo ruolo non resti privo di contenuti.

Infine è auspicabile che, con una struttura dedicata, rientrino nelle policy le esercitazioni interne per testare il reale livello di competenze acquisite e il grado di resilienza raggiunto.

Le prove dovrebbero essere organizzate all’insaputa del personale e in certi casi anche degli stessi vertici.

Dallo studio delle risultanze emergerebbero importanti valutazioni circa la capacità di comprendere o respingere possibili attacchi informatici in base alle misure di protezione già adottate, eventuali falle nell’operatività quotidiana, l’efficacia di corsi di formazione già sostenuti e le ulteriori iniziative eventualmente ancora necessarie per apportare i necessari e possibili correttivi qualora necessari.

La NIS 2 potrà, su queste basi, iniziare a sviluppare i propri effetti positivi anche nelle PA.

Conclusioni e prospettive future

A conclusione di queste annotazioni appare evidente come la crescita della cultura di cybersicurezza è destinata ad accompagnare validamente la trasformazione digitale del Paese potenziandone gli effetti.

Tuttavia, affinché ci si incammini su questo percorso occorre che le si attribuisca con grande convinzione carattere di priorità a livello generale, nella scuola, nella Pubblica Amministrazione, nel settore Privato, nell’Accademia, nelle Associazioni e negli Enti di qualsiasi tipo, fino a comprendere il singolo cittadino di ogni età o livello culturale.

Non sembra che ci siano alternative a questa rivoluzione, già in essere in qualche settore più avanzato.

Se tuttavia questo cambiamento non si diffonde con sufficiente velocità ed uniformità, sarà primariamente penalizzato il nostro futuro ma sarà debole anche la partecipazione alla crescita della resilienza dell’intera Europa.

Dal Considerando 68 della Direttiva, infatti estraiamo: “Gli Stati membri dovrebbero contribuire all’istituzione del quadro di risposta alle crisi di cibersicurezza dell’UE, di cui alla raccomandazione (UE) 2017/1584 della Commissione, attraverso le reti di cooperazione esistenti, in particolare la rete europea di collegamento per le crisi informatiche (EU-CyCLONe), la rete di CSIRT e il gruppo di Cooperazione”.

L’Europa deve poter contare su solide contribuzioni da parte degli Stati Membri per raggiungere l’obiettivo dell’innalzamento del livello comune di cybersicurezza, per rispondere a minacce ed attacchi con strumenti potenti ed allineati fra loro, come la direttiva NIS auspicava e come si propone, in maniera assai più impattante e determinata, la NIS 2.

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Social
Analisi
Video
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4