“NIS 2 What’s Next”, SMI e il senso della vera compliance al servizio della sicurezza informatica

Il 16 ottobre, alla vigilia dell’entrata in vigore della tanto attesa direttiva europea NIS 2, SMI, nel cuore della sua sede di Roma, ha chiamato a raccolta esperti e istituzioni che hanno approfondito le implicazioni legali e le strategie di conformità. Un appuntamento di grande valore e utilità per le imprese del territorio che SMI ha fortemente voluto costruire in collaborazione con l’Università Europea di Roma. 

Un successo di pubblico e consensi che ha di fatto dato vita ad un ecosistema di straordinario valore composto, come anticipato, da Istituzioni, Amministrazioni Pubbliche e Private, Università, oltre a esponenti del mondo della ricerca.

Quello che serve e come serve in una fase in cui proprio la sfida della compliance normativa e della messa in sicurezza dello spazio digitale aziendale supera lo storico perimetro della funzione IT e coinvolge direttamente l’intero management di imprese di ogni forma e dimensione.

Qui di seguito una sintesi della giornata.

A Cesar­­e Pizzuto, CEO di SMI, il compito di dare il via ai lavori e salutare gli ospiti: «questo evento è stata un’opportunità di scambio di idee e informazioni che siamo orgogliosi di aver ospitato nella nostra casa. Una mattinata proficua per tutti quanti, grazie anche alla caratura dei relatori che sono intervenuti e per l’estrema attualità dei temi che sono stati affrontati».

L’Ammiraglio Gianluca Galasso, Direttore Servizio Operazioni/CSIRT Italia dell’Agenzia per la Cybersicurezza Nazionale (ACN) è entrato nel dettaglio di quanto previsto dalla NIS 2: 

«La sicurezza informatica è principalmente un tema culturale, che impone di cambiare approccio e paradigmi. La NIS2 rientra negli sforzi a livello europeo per aumentare la resilienza cyber; è una norma complessa che coinvolge tutti all’interno delle organizzazioni, non solo le figure tecniche che si occupano di cybersecurity. 
In Italia si stima siano tra i 25.000 ai 40.000 i soggetti pubblici e privati coinvolti dalla Direttiva; l’Agenzia per la Cybersicurezza Nazionale funge da unico punto di contatto, come autorità nazionale in materia e per la gestione delle crisi.
Gli elementi principali della NIS2 sono: l’estensione dell’ambito di applicazione, con l’aumento dei settori e dei sottosettori; il processo di identificazione automatica dei soggetti, distinguendo tra “essenziali” e “importanti”; il rafforzamento degli obblighi, con misure di sicurezza specifiche e proporzionate rispetto al rischio».

Valentina Arena, Responsabile della BU Cybersecurity di SMI ha poi inquadrato la NIS2 all’interno del contesto europeo: «Il quadro normativo EU è decisamente complesso. L’obiettivo a livello europeo è di arrivare ad un livello comune elevato di cybersicurezza, per proteggere non solo i mercati ma anche i diritti di tutti noi cittadini. Anche se l’orizzonte temporale della direttiva arriva al 2026 i tempi sono comunque stretti; utilizziamo questo tempo in modo consapevole: dobbiamo cambiare approccio e cultura, la cybersecurity deve essere vista come un investimento nel lungo periodo - e non solo come un onere - che ci protegge da eventuali danni o sanzioni».

Matilde Bini, Professore Ordinario di Statistica Economica, Direttore di Dipartimento e Coordinatore del Corso di Laurea Magistrale in Management Transizione Digitale all’UER - Università Europea di Roma ha parlato dell’importanza della cybersecurity per la tutela della ricerca scientifica, per evitare furti d’idee e proteggere la proprietà intellettuale, soprattutto per settori critici e inerenti alla sicurezza nazionale. «A livello di G7 è stata costituita una virtual academy che ha l’obiettivo di sviluppare principi di protezione dell’ecosistema della ricerca per tutelare la libertà e l’indipendenza della ricerca scientifica. L’Italia è parte integrante di questo strumento di coordinamento internazionale di competenze ed esperienze. È fondamentale proteggere il patrimonio informativo che viene raccolto e prodotto; la sicurezza della ricerca deve essere approcciata come anticipazione dei rischi».

Francesco Di Maio, Corporate Security Managing Director di ELT Group ha portato ad esempio un caso reale, quando un ransomware ha attaccato il gestore di un servizio per conto della pubblica amministrazione causando il blocco di servizi per oltre 1.300 amministrazioni, tra cui centinaia di Comuni e imprese private. Nonostante fossero presenti tutte le misure preventive previste dagli obblighi di legge, è stato l’attacco più grave subito finora dalla pubblica amministrazione italiana.
“Questo ci mostra in modo lampante che il semplice rispetto degli standard, la cosiddetta “paper security” (la “sicurezza di carta”), non equivale necessariamente a una riduzione efficace e continua della superficie di attacco: l’incidente di sicurezza è sempre dietro l’angolo!
Assumono un ruolo sempre più importante anche i partenariati pubblico-privato, che devono evolversi per salvaguardare gli interessi critici. Una strategia di sicurezza multiforme è essenziale, che includa l’intelligence sulle minacce e le reali capacità di risposta delle organizzazioni e delle Autorità”.

Davide Giribaldi, CISO di SMI, ha concluso la sessione di interventi dell’evento “NIS2: what’s next”: 

“La Direttiva comprende settori molto eterogenei, dalla sicurezza, alla ricerca, alla grande distribuzione, contesti differenti per strutture, complessità, catena di fornitura e maturità digitale.
Gli obiettivi e le conseguenze della NIS2 sono:
- Maggiore protezione dei clienti: crittografia e controlli di accesso
- Maggiore collaborazione tra imprese: cooperazione e scambio di informazioni per mitigare i rischi
- Maggiore sicurezza del fornitore: rigorosa sorveglianza e verifica dei fornitori
- Impatto sull’organizzazione: conformarsi ai requisiti comporta un aumento degli investimenti

Come emerso anche nel corso della mattinata, i tre pilastri della NIS2 sono la gestione degli incidenti, la loro notifica e la centralità della business continuity, declinati in quattro direttrici che sono i Diritti fondamentali, Protezione dei dati personali, Safety e Cybersecurity. Gli articoli 21 e 23 del Capitolo IV rappresentano il cuore della normativa: il primo, sulla gestione degli incidenti, richiede un approccio multirischio e di prevedere anche misure di gestione del rischio cyber di terze parti, lungo la supply chain. L’articolo 23, invece, prevede norme rigorose in materia di segnalazione delle violazioni informatiche.
In questo contesto, SMI ha sviluppato un approccio alla cybersecurity basato su Persone, Processi e Tecnologie, con l’obiettivo di perseguire un miglioramento continuo nella gestione delle minacce cyber. La cybersecurity oggi più che mai deve essere una responsabilità condivisa".

Alessandro Manfredini, Presidente AIPSA Associazione Italiana Professionisti Security Aziendale, ha affrontato le implicazioni per le imprese della sicurezza informatica: “Non dobbiamo perdere l’occasione di costruire un sistema resiliente: non dobbiamo affrontare la NIS2 solo dal punto di vista della compliance o per il timore di sanzioni; è una grandissima opportunità per adeguare con gradualità e proporzionalità dei sistemi di sicurezza che per moltissime ragioni non sono stati finora gestiti adeguatamente.
La minaccia cyber è oggi talmente pervasiva che può fare la differenza per la stessa esistenza di un’azienda sul mercato; la cybersecurity è diventata un tema centrale al pari della sicurezza sul lavoro e gli interventi normativi perseguono lo stesso obiettivo di costruzione di una cultura condivisa. 
Dobbiamo tutti innalzare i livelli di sicurezza per raggiungere un livello comune ed elevato di protezione. Non abbiamo più scuse e la NIS2 deve essere il nostro grimaldello: dobbiamo creare reti tra le PMI e studiare dei meccanismi di finanza agevolata per favorire l’adozione di misure di protezione anche nelle realtà più piccole. Dobbiamo passare da una supply chain ad una value chain per far crescere tutte le imprese ed aumentare la sicurezza complessiva dei nostri ecosistemi tecnologici e contribuire tutti, in conclusione, alla sicurezza nazionale”.

Fabio Lazzini, CISO di Sogei ha esplorato la necessità di una governance integrata della sicurezza informatica. “La NIS2 introduce l’obbligo di valutare l’adeguatezza, la proporzionalità e l’efficacia delle misure di sicurezza in relazione agli esiti dell’analisi multirischio effettuata da ciascun soggetto. L’obiettivo è di rafforzare la resilienza e la sicurezza grazie a misure di valutazione della catena di approvvigionamento, della continuità operativa, della sicurezza delle risorse umane, delle soluzioni di autenticazione e altri aspetti ancora.
Il modello di Governance integrato della sicurezza, come quello adottato da Sogei, si basa su:
- approccio metodologico
- multicompliance normativa
- allocazione delle risorse
- supporto alla definizione strategia di sicurezza

Fondamentali sono i processi di valutazione e monitoraggio, grazie ai quali riusciamo a fornire all’Alta Direzione elementi che possono indirizzare la definizione di una strategia di sicurezza informatica efficace”.