La minaccia cyber, come dice nella relazione 2023 della nostra Agenzia, si abbatte e riguarda in maniera particolare il settore manifatturiero; questo dicono i numeri.
Acn, le aziende manifatturiere sono nel mirino: si attrezzino subito
La gran parte di questa minaccia che oggi incombe sul nostro Paese riguarda quindi aziende, soprattutto piccole e medie imprese, che operano nel settore manifatturiero e quindi è chiaro che la minaccia determina la necessità, l’esigenza, l’obbligo per tutta la filiera produttiva italiana – costituita gran parte come sappiamo dalle PMI che ne rappresentano in qualche modo la spina dorsale – di dover incrementare la postura cibernetica di sicurezza attraverso mirati investimenti.
Ora, da questo punto di vista l’attività che sta facendo l’Agenzia (Acn), sia in termini di spingere questo vasto mondo delle piccole e medie imprese a una maggiore consapevolezza del rischio cyber, sia a sostenerne lo sforzo di investimento, dovrà essere cruciale.
Dovrà essere sostenuto anche da una campagna di sensibilizzazione che stiamo portando avanti quasi puntualmente, cioè facendo delle tappe sul territorio attraverso incontri con le rappresentanze di categoria dei vari settori del manifatturiero, proprio per far comprendere loro che il rischio cyber è un grave rischio e ne va anche della loro stessa sopravvivenza nel mercato.
Ed è vero soprattutto se guardiamo a questo rischio con riferimento all’orizzonte temporale piuttosto ristretto, ottobre 2024, per l’entrata in vigore della misura Nis2.
Come sono messe le nostre pmi
A proposito di iniziative, va citata quella che abbiamo già avviato e stiamo portando ancora avanti in collaborazione con altri attori, in particolare con Confindustria e l’Osservatorio del Politecnico di Milano: il Cyber Index PMI, che è una ricognizione della capacità delle nostre imprese di avere consapevolezza del rischio cyber innanzitutto, cioè di essere consapevole che pende su questo settore, su questo ambito, una minaccia che può compromettere la loro stessa stabilità economica.
Ecco, da questo punto di vista abbiamo visto una realtà chiaroscurale, come spesso dico, cioè una realtà in cui ci sono sostanzialmente tre diversi segmenti che si presentano ai nostri occhi.
- Un primo segmento di coloro che hanno -delle imprese che hanno- una piena consapevolezza del rischio e lo hanno anche affrontato con adeguati investimenti.
- C’è un secondo corpo centrale, che possiamo dire abbastanza significativo ma non quanto desidereremmo credo fosse, di imprese che hanno consapevolezza ma non hanno ancora effettuato quel passo che è decisivo verso una migliore postura cibernetica.
- E poi c’è infine, ahimè, il segmento più corposo, più significativo dal punto di vista dei numeri, che è quello delle imprese che, dai questionari che sono stati somministrati, diciamo non hanno dimostrato di avere sufficiente consapevolezza della gravità del rischio cyber e quindi dovrebbero essere spinte invece ad avere questa maggiore coscienza del pericolo in cui versano.
Sostanzialmente è un pericolo che rischia appunto di estrometterle al mercato, perché se queste imprese dovessero appartenere a filiere critiche certamente non potrebbero più rimanere in gioco con quella determinata postura cibernetica; perché la NIS2 pretende una maggiore capacità, da parte delle imprese che fanno capo, di fornitori che fanno capo alle filiere critiche, di difendersi dal rischio cibernetico.
Gli interventi dell’Acn
Noi abbiamo due tipi di interventi: ovviamente quello di stimolare una maggiore consapevolezza, ma anche quello di fare in modo che una parte -certamente non saranno tutte- di questo universo, di questo arcipelago così frastagliato e così corposo possano accedere anche ai finanziamenti europei che saranno disponibili anche per il prossimo anno e già in questo esercizio, per irrobustire la loro capacità cyber.
Ecco, da questo punto di vista credo che e dico anche che questi sono diciamo forme di sostegno finanziario non vincolate alla regola degli aiuti di Stato, quindi possono, diciamo, andare a favore di queste imprese indipendentemente da quei limiti che sono legati appunto alle NIS.
Quindi si tratta di poter portare le imprese italiane a capire di poter accedere finalmente non solo ai sostegni, alle forme di sostegno e di aiuto che potranno venire anche a livello nazionale -nei limiti in cui gli spazi economici lo consentiranno- ma di poter anche accedere alle risorse europee a cui noi contribuiamo.
E così sanando anche un noto gap: siamo uno dei principali contributori del bilancio europeo, ma siamo anche uno dei Paesi che approfitta di meno, se posso usare questo termine, di quelle stesse risorse perché non ha consapevolezza e non ha gli strumenti, non li ha affinati ancora bene, per poterci arrivare.
Lo stato dell’attuazione della Nis2
La NIS2 è d’altro canto un appuntamento molto serio che ci aspetta a ottobre.
Il 17 di ottobre 2024, la direttiva NIS andrà trasposta nel nostro ordinamento interno.
Abbiamo delle tappe che dobbiamo rispettare per arrivare a questo risultato finale, dovremo entro il prossimo mese portare in Consiglio dei Ministri un decreto delegato che diciamo provvederà al recepimento di questa direttiva. Poi si aprirà uno spazio per il Parlamento per la discussione e l’esame e infine si avrà il decreto delegato.
Che cosa stiamo facendo per poter mettere a terra questa direttiva? Intanto c’è tutto un lavoro preparatorio, a cui sta attendendo la nostra Agenzia; Servizi, Autorità e Sanzioni ha tenuto in questi mesi vari incontri con tutte le amministrazioni centrali che sono in qualche modo implicate in questo esercizio.
Perché com’è noto, la direttiva NIS2 amplia in maniera significativa i settori che erano prima coinvolti nell’applicazione della NIS1; sono entrati nuovi settori e tra questi nuovi settori segnalo la Pubblica Amministrazione, in particolare quella locale.
Poi vedremo come verrà esattamente declinata dal Governo e dal legislatore delegato questa possibilità di includere quali pezzi dell’Amministrazione locale.
In qualche modo, se posso qui aprire un piccolo collegamento al disegno di legge sulla cybersicurezza che è in Parlamento adesso, l’atto Camera 1717: noi abbiamo fatto sì che questo coinvolgimento nell’ambiente NIS (non è propriamente l’ambiente NIS perché non è ancora entrato nel nostro ordinamento, ma un qualcosa che gli assomiglia) fosse già anticipato con il coinvolgimento di una migliore postura cibernetica di amministrazioni locali che oggi vediamo fortemente interessate alla minaccia cyber.
Sto parlando delle aziende sanitarie locali e dei Comuni, che hanno soprattutto dei servizi digitali erogati a una vasta platea di destinatari; quindi questo microcosmo, che poi non è tanto micro, delle amministrazioni locali deve essere portato nel fascio di luce della NIS, prima o poi.
Perché stiamo parlando di amministrazioni pubbliche, naturalmente, che erogano servizi in favore dei cittadini e anche delle imprese. Qui le imprese sono interessate non solo per gli investimenti che devono fare in sicurezza cibernetica per quanto riguarda la protezione dei propri servizi e della propria superficie digitale, ma anche in quanto beneficiari destinatari di servizi erogati da pubbliche amministrazioni verso le imprese, che devono essere declinati nella necessaria condizione di sicurezza.
Perché altrimenti avremmo alla fine digitalizzato il rischio digitale, non i servizi.
Ecco, quindi ripeto: riguardo alla NIS stiamo quindi tenendo questi tavoli tematici con tutte le amministrazioni, perché anche le amministrazioni centrali dello Stato avranno un ruolo: saranno autorità di settore.
La mia Agenzia sarà autorità nazionale e avrà un link con la Commissione Europea, risponderà alla Commissione europea nell’applicazione dello stato di applicazione della NIS. Ma le autorità di settore saranno necessarie, perché sono quel necessario trait d’union tra l’ACN, l’autorità nazionale, e tutta questa vasta platea di soggetti che sta ai piedi della catena, cioè sostanzialmente tutti i soggetti che saranno coinvolti dall’applicazione della NIS2.
L’importanza della cooperazione
E per le PMI è importante -ma per tutte le aziende- è importante far riferimento all’articolo 21 di questa direttiva. L’articolo 21 sostanzialmente parla di cooperazione nella sicurezza, la cyber-sicurezza.
Ecco, la cooperazione si fa in due, altrimenti non è cooperazione; significa quindi che anche le aziende e le filiere critiche delle aziende, cioè i fornitori che dovranno rispondere alle aziende che sono incluse nel perimetro NIS, in quanto soggetti essenziali o in quanto soggetti importanti -le due macrocategorie in cui diciamo la NIS2 si articola- dovranno in qualche modo garantire di fare investimenti in cybersicurezza, cioè di garantire procedure, processi, formazione del personale, acquisizione di mezzi sempre più avanzati per difendere da possibili crisi cibernetiche la propria superficie digitale.
E ne va di mezzo, nel caso delle filiere critiche, anche la sicurezza nazionale, perché ovviamente stiamo parlando di ambienti critici che possono corrispondere per esempio all’ambiente della situazione ambientale, cioè della protezione ambientale, può rispondere alle infrastrutture, può rispondere a un altro settore critico, come quello della gestione delle acque o dei rifiuti, che sono altri settori che possono presentare una particolare vulnerabilità dal punto di vista dell’impatto cibernetico.
E potrei fare tanti esempi ma è abbastanza palese lo scenario che abbiamo davanti ai nostri occhi.
*Trascrizione dell’intervista fatta dal direttore di Agendadigitale.eu al Cybersecurity360Summit 2024.
