A cura del Dott. Andrea Venanzoni, Vicepresidente AssoCyber con delega agli affari istituzionali
La pubblicazione della Relazione al Parlamento per l’anno 2024 della Agenzia per la Cybersicurezza Nazionale (ACN) fornisce preziosa occasione per fare il punto sullo stato dell’arte della sicurezza digitale, ormai elemento irrinunciabile di presidio del sistema-Italia, riguardato questo tanto nella angolazione prospettica delle imprese quanto in quella degli apparati pubblici.
L’Italia continua, come rileva l’Agenzia, ad essere uno dei Paesi più esposti a livello europeo e mondiale agli attacchi informatici, con un trend in crescita di attacchi contro infrastrutture cibernetiche tanto private quanto pubbliche, alcune delle quali definibili ai sensi della vigente normativa ‘critiche’, ovvero serventi interessi e esplicanti servizi di assoluta rilevanza e dalla cui vulnerabilità possono discendere esiti catastrofici per il Paese.
Le minacce sono estese, varie, poliformi, tra loro cospiranti in una intensa attività DDoS (Distributed Denial of Service), ma anche nutrita di attacchi di tipo ransomware e di attività malevole ad opera di Advanced Persistent Threat (APT).
Se un tempo la sicurezza digitale appariva riferita a una dimensione limitata ai meri incombenti di difesa statica, nel perimetro limitato di una azienda o di un ente pubblico, ormai, soprattutto dopo la pandemia e con l’utilizzo massivo da parte di Stati ostili di gruppi hacker, non è più possibile ragionare in termini monadici, come se ogni realtà digitale fosse una isola impenetrabile e impermeabile al contatto con altri soggetti.
E questa consapevolezza, l’idea cioè che nessuna realtà sia autosufficiente, conchiusa e che soprattutto non indichi, se sotto attacco, anche una minaccia per gli altri, rappresenta uno degli esiti più notevoli e concreti della normativa adottata negli ultimi mesi.
L’anno 2024, infatti, è stato un anno impegnativo per la mole crescente di attacchi e per i notevoli sforzi esperiti da ACN: l’Agenzia si è trovata a prestare la propria opera e la propria assistenza a soggetti effettivamente colpiti, sovente in combinato con la Polizia Postale e per la Sicurezza Cibernetica.
Lo stesso cambio di denominazione, e di struttura organizzativa, della Direzione della Polizia postale, che ora ha acquisito sin dal nome l’orizzonte funzionale della ‘sicurezza cibernetica’, indica non solo segnaleticamente ma sostanzialmente l’attenzione e la cura che gli apparati pubblici stanno investendo nel presidio del dominio digitale.
Ma l’anno 2024, e qui ci si ricollega al discorso accennato in tema di legislazione, è stato un anno impegnativo anche se riguardato nella angolazione prospettica degli oneri amministrativi, degli incombenti e delle nuove responsabilità germinate da un sempre più complesso framework normativo: la legge n.90 del giugno 2024, il d.lgs. n. 138/2024 con cui l’Italia ha dato attuazione alla Direttiva NIS2, la quale segna un cambio di paradigma vocato alla cyber-resilienza rispetto il dispositivo complessivo di NIS1, più il non meno articolato e sovente labirintico intreccio di Regolamenti euro-unitari e di soft-law.
Le imprese si trovano davanti una sfida complessa, onerosa ma irrinunciabile. E si badi, non solo irrinunciabile perché obbligate in termini di legge ad adottare nuove policy organizzative o a formare il proprio personale: concepire e vivere i moduli organizzativi sistematizzati dalla nuova normativa come un mero incombente burocratico sarebbe l’approccio peggiore.
Questo perché ogni sistema digitale, privato o pubblico, è interconnesso e rimanda davvero il quadro di un reticolo-Paese, per cui una in apparenza pur piccola impresa rientrante però, ratione materiae, nel quadro di applicabilità di NIS2 potrebbe divenire porta di accesso per malintenzionati digitali nel nostro ordinamento complessivo, con grave minaccia al sistema economico, finanziario, infrastrutturale, persino politico.
Le imprese devono concepire il presidio digitale come una vocazione esistenziale, perché davvero, e senza enfasi terrorizzante o retorica, un errore, una leggerezza, per quanto commessa in buona fede, o un ossequio meramente formale agli incombenti, senza verifica di effettiva efficacia, possono cagionare la rovina a catena della impresa stessa e di altre realtà.
In questo senso, culturalmente parlando, ci si deve approcciare alla sicurezza digitale come se essa fosse, pur con ovvie e non banali differenze, una estensione più raffinata e complessa della sicurezza sui luoghi di lavoro.
Un orizzonte di compliance che passa attraverso organizzazione, formazione, consapevolezza del personale tutto, nuove responsabilità.
Il 2025, non a caso, sarà anno non meno impegnativo: perché molti degli incombenti richiesti e previsti dalla normativa del 2024 stanno iniziando a prendere corpo, oscillando dalla necessitata iscrizione in piattaforma ACN per i soggetti obbligati, alla nomina dei referenti per la cybersicurezza e i CISO.
Per le imprese si tratta di una sfida delicata. Nel corso della recente edizione del Festival dell’economia di Trento, in un panel specificamente dedicato alla natura strategica della cybersecurity, ormai sempre più convergente con la sicurezza nazionale, si è rilevato come si registri un notevolissimo divario tra grandi imprese, più attrezzate, e PMI, al contrario con minori disponibilità e più difficoltà: questa divaricazione, proprio per quanto detto fino ad ora, non è accettabile.
Proprio per questo, coerentemente con la propria mission istituzionale e fondante, AssoCyber vuole proporsi non solo come soggetto capace di aumentare la cultura della sicurezza digitale, mediante necessitata disseminazione culturale della nuova funzione esistenziale della sicurezza digitale, ma anche come partner che sappia fornire ai propri associati quella necessitata consapevolezza organizzativa e del pari offrire loro adeguata consulenza al fine di un coerente ed efficace adeguamento alla sempre più complessa realtà normativa e amministrativa.
