Progressività, armonizzazione, controlli e incentivi.
Sono queste, a nostro avviso, le parole d’ordine da utilizzare alla stregua di punti cardinali se si vuole realmente rendere efficace il nuovo Disegno di legge sulla cybersecurity all’esame delle Commissioni parlamentari.
Come AIPSA, l’Associazione dei Professionisti della Security, che raccoglie al suo interno i security manager delle principali grandi aziende del Paese, abbiamo sentito la necessità di inviare alle Commissioni Affari Costituzionali e Giustizia della Camera dei Deputati alcune osservazioni, al fine di rendere immediatamente operativo e applicabile il nuovo corpus normativo che dovrà incrementare i livelli di sicurezza cibernetica del sistema Paese.
Gli attuali livelli di minaccia cyber richiedono maggiore sicurezza
Questo perché le nuove disposizioni dovranno applicarsi all’interno di contesti che, dal punto di vista culturale e organizzativo, non sono, a oggi, adeguatamente preparate a recepirle e a tradurle in disposizioni e procedure definite.
Penso in particolare alla PA locale e alle Società in house, per lo più assimilabile alla nostra complessa rete di PMI che fanno parte della supply chain delle grandi imprese che operano in settori strategici come l’energia, le telecomunicazioni, i trasporti. La Pubblica Amministrazione, è stata, e continua a essere, bersaglio favorito di attacchi cibernetici e, cosa ancora più preoccupante, titolare di uno degli asset maggiormente appetibili per i criminali, i dati dei cittadini, ma anche altri settori come le realtà manifatturiere dei settori moda, meccanica, siderurgia sono stati, e continuano a essere, target di attacchi informatici.
Necessaria un’operazione sinergica di protezione del tessuto imprenditoriale nazionale
Secondo i dati contenuti nella relazione al Parlamento del Sistema di informazione per la sicurezza della Repubblica, nel 2023 si è registrato un aumento significativo degli attacchi informatici nel Paese, con un totale di 532 attacchi documentati alle infrastrutture critiche e 267 attacchi alle pubbliche amministrazioni.
Al contrario di quanto accaduto nel 2022, il rapporto tra attacchi ai danni di soggetti pubblici e privati si è ribaltato. Nel 2023 il 60% dei cybercriminali ha colpito asset pubblici e lo ha fatto, nell’82% dei casi, utilizzando malware come gli spyware o, maniera ancora maggiore, i ransomware. Obiettivo, nell’81,6% dei casi, la sottrazione di dati sensibili, credenziali per l’accesso a informazioni riservate, con lo scopo finale di conseguire un vantaggio economico o strategico (85% dei casi).
Ed è proprio alla luce di alcuni dei dati contenuti nella predetta Relazione, che trovano perfetta corrispondenza da parte del nostro Osservatorio interno, che si rende necessaria un’operazione sinergica di protezione del tessuto imprenditoriale nazionale, ma al tempo stesso una assunzione di responsabilità diretta da parte delle aziende, comprese quelle più piccole.
Il contesto normativo comunitario: direttiva NIS e Regolamento DORA
L’esigenza di un incremento dei livelli di sicurezza cibernetica per il nostro Paese non può non tenere conto di quanto si sta muovendo a livello di Unione europea.
Entro la fine di ottobre, infatti, il Parlamento italiano sarà chiamato a recepire la direttiva comunitaria NIS2 e, poco dopo, il regolamento DORA destinato alle istituzioni finanziarie, sarà pienamene operativo.
Due passaggi tutt’altro che formali.
La Direttiva NIS2, infatti, mira a standardizzare le politiche di sicurezza digitale tra gli Stati membri, concentrandosi su settori vitali come energia, retail, trasporti, banche, sanità e pubblica amministrazione, oltre alle relative catene di approvvigionamento.
Risulta dunque del tutto evidente la necessità di armonizzare la legislazione nazionale a quella comunitaria per evitare sovrapposizioni o, peggio, discrasie normative e procedurali.
La carenza di professionisti nel settore della cybersecurity
Ultima considerazione, ma non certo per importanza, di cui dovrà tenere conto il Parlamento italiano è il contesto professionale legato ai responsabili della sicurezza informatica, o come vengono chiamati oggi i responsabili della cybersecurity (Chief Information Security Officer) e, in generale, a chi si occupa di sicurezza cibernetica.
Secondo le stime più accreditate, nel sistema italiano privato oggi mancano all’appello circa 250mila cybersecurity manager e questo lascia scoperte le 160mila PMI italiane che, secondo le stime di Confindustria, generano un valore di 204 miliardi di euro l’anno.
A queste si sommano altre 90mila piccole imprese inserite nelle value chain delle grandi aziende che operano nei settori strategici del Paese.
Un quadro aggravato dal fatto che, se anche – come giusto che sia – il settore pubblico comincerà ad incrementare il reclutamento di professionisti per far fronte alle crescenti minacce dovute all’aggravarsi del contesto internazionale, la situazione si complicherà per tutto il comparto industriale delle aziende private.
Risultato, la coperta è corta. Ecco perché, come AIPSA, da tempo invitiamo le PMI a costituire piattaforme di impresa utili a mettere in comune le professionalità necessarie a sviluppare piani di analisi del rischio e intervento comuni, razionalizzando così risorse umane ed economiche. Al tempo stesso suggeriamo al legislatore di introdurre incentivi e decontribuzioni per favorire la costituzione di questo tipo di opportunità.
Le proposte di AIPSA per una maggiore sicurezza
Tutte le considerazioni sopra riportate, ci hanno spinto a produrre un breve documento in cinque punti e sottoporlo alle Commissioni competenti per chiedere attenzione su alcuni fondamentali elementi.
L’armonizzazione con il contesto europeo
Entro il 17 ottobre 2024 il Parlamento sarà chiamato a recepire la Direttiva comunitaria NIS2 che, in maniera maggiormente puntuale e aggiornata rispetto alla versione precedente, si propone di armonizzare le misure e gli approcci negli Stati membri dell’UE per proteggere le infrastrutture digitali, mettendo nero su bianco le best practice per affrontare il crescente assalto di attacchi informatici. Una misura che riguarda in maniera particolare i settori energia, retail, trasporti, banche, sanità, pubblica amministrazione, ma anche la supply chain dei gestori capofila.
Il Disegno di Legge in esame dovrà pertanto essere armonizzato con il Decreto di recepimento della suddetta Direttiva, al fine di scongiurare eventuali sovrapposizioni o duplicazioni che creerebbero confusione negli attori preposti alla loro applicazione.
La gradualità nell’applicazione
Alla luce dei ritardi accumulati nel corso degli ultimi anni dalle imprese e dalla Pubblica amministrazione nell’inserimento negli organici di professionisti della sicurezza informatica, si rende quanto mai necessaria l’adozione di misure drastiche quanto graduali.
È necessario dunque che questo DDL preveda un’applicazione graduale delle misure tecnico organizzative, che consenta alle Pubbliche amministrazioni di aumentare efficacemente ed effettivamente il loro livello di sicurezza.
Ma preveda altresì un approccio per obiettivi di sicurezza in un determinato periodo, con livelli di sicurezza incrementali, sistemi di controlli mitigativi e un piano da notificare all’autorità che poi svolgerà le opportune verifiche.
Il DDL deve inoltre mantenere i requisiti di attualità imposti dalla transizione digitale, ovvero una norma con principi di diritto ma che lasci il compito all’autorità di settore – ACN –
di specificare le misure tecniche che possono cambiare nel tempo.
Un passaggio, quest’ultimo, non banale, a meno di voler sacrificare l’effettiva applicabilità della norma.
La professionalità dei responsabili della security
Risulta indispensabile prevedere che il soggetto designato quale referente per la cyber sicurezza sia effettivamente dotato delle necessarie competenze tecniche ed organizzative (magari anche certificate), prevedendo un periodo di transizione che consenta alle Pubbliche amministrazioni di dotarsi di professionalità esterne (outsourcing), sempre rispettando il suddetto principio di gradualità sopra esposto.
Mutualità di azione
In ragione del gap formativo e del sottodimensionamento di alcuni dei soggetti preposti all’applicazione di norme così complesse, si suggerisce la previsione di costituire poli aggregativi di cybersicurezza a livello centrale, in modo che possano essere erogati servizi base a beneficio delle Pubbliche Amministrazioni o alle aziende di minori dimensioni, sfruttando anche strumenti di finanza agevolata.
Sanzioni
Per rendere effettivamente applicabile il corpus normativo contenuto nel DDL in oggetto, si suggerisce di destinare parte dei proventi derivanti dalle sanzioni alle imprese inadempienti ad un fondo precostituito e finalizzato all’erogazione dei servizi accentrati di cyber sicurezza.
Conclusioni
Siamo perfettamente consapevoli della difficoltà di redazione di un testo che sia al contempo coercitivo e protettivo, soprattutto in un contesto imprenditoriale pubblico e privato dove il gap di professionalità pesa in modo sostanziale.
Per questo, come Associazione professionale, auspichiamo il coinvolgimento sempre più massiccio e sistematico di chi ha già maturato le competenze necessarie allo svolgimento di un’opera meritoria, indispensabile non solo per massimizzare i livelli di sicurezza del sistema-Paese, ma per contribuire alla diffusione di una cultura della security su scala sempre più ampia.
