Osservatorio sulla Cybersicurezza e Direttiva NIS2 

Indice dei contenuti

• La direttiva NIS2: un’opportunità per la resilienza digitale 
• Il ruolo strategico dei vertici aziendali 
• Collaborazione internazionale e Sistema Paese 

L’evoluzione delle minacce digitali e la crescente complessità dei sistemi informatici richiedono un approccio strategico e strutturato alla sicurezza. L’Osservatorio sulla Cybersicurezza, presentato alla Camera dei Deputati, offre uno spaccato dello stato di preparazione delle aziende italiane di fronte alla Direttiva Europea NIS2.

Questo articolo esplora le implicazioni della normativa, il livello di compliance delle imprese, le lacune nella gestione del rischio e le opportunità offerte da un approccio resiliente alla sicurezza informatica. 

La direttiva NIS2: un’opportunità per la resilienza digitale 

La Direttiva NIS2, recepita in Italia con il Decreto Legislativo 138/2024, rappresenta una pietra miliare nella costruzione di un sistema europeo sicuro. La normativa richiede alle imprese di settori critici di adottare misure di sicurezza adeguate per proteggere i propri asset e garantire la continuità operativa.

Ma non si tratta solo di adeguarsi a norme burocratiche: l’obiettivo è promuovere una vera resilienza digitale, un concetto che include la capacità di reagire e adattarsi alle nuove minacce. 

Secondo l’analisi di Tinexta Cyber, il 61% delle aziende italiane ha intrapreso un percorso strutturato verso la conformità alla NIS2. Tuttavia, aree come la formazione del personale e la gestione del rischio restano carenti, evidenziando l’urgenza di un cambio di passo. 

Lo stato di preparazione delle aziende italiane 

La prontezza delle aziende italiane nel rispondere alle sfide poste dalla Direttiva NIS2 rappresenta un elemento cruciale per la protezione del sistema paese e per la competitività delle imprese stesse.

Tuttavia, i dati emersi dall’analisi dell’Osservatorio sulla Cybersicurezza mostrano che molte realtà sono ancora in una fase iniziale del percorso verso la conformità. Questa condizione evidenzia il divario tra la consapevolezza delle imprese riguardo alla crescente importanza della sicurezza informatica e la reale implementazione di strategie efficaci per affrontare i rischi cyber. 

La frammentazione degli approcci alla sicurezza 

Una delle principali difficoltà riscontrate è la mancanza di una visione strategica integrata. Molte aziende si affidano a soluzioni isolate, spesso reattive, per gestire i rischi informatici.

Esempio
Sistemi di protezione perimetrale e antivirus tradizionali sono ancora ampiamente utilizzati, ma non sono più sufficienti a fronte delle nuove minacce, sempre più sofisticate e in rapida evoluzione. 

Inoltre, si nota una scarsa integrazione tra i vari reparti aziendali nel trattare i temi della cybersicurezza. Questo approccio frammentario non solo espone le imprese a potenziali vulnerabilità, ma ostacola anche la costruzione di una resilienza digitale solida, che è il fulcro delle richieste della NIS2. 

Gap specifici nei settori strategici 

Alcuni settori, considerati particolarmente critici per la loro importanza strategica e il loro ruolo nel garantire la continuità operativa nazionale, mostrano carenze significative. Settori come: 

• Energia
  Dove l’interconnessione delle reti aumenta il rischio di attacchi che possono compromettere l’intero sistema. 

• Sanità
  Che deve affrontare il problema della protezione dei dati sensibili dei pazienti, spesso gestiti tramite infrastrutture obsolete. 

• Trasporti
  In cui l’automazione e la digitalizzazione stanno ampliando la superficie di attacco. 

Queste lacune sono particolarmente preoccupanti poiché minano la capacità del paese di rispondere a situazioni di crisi, come attacchi su larga scala o incidenti che coinvolgono infrastrutture critiche. 

Formazione e cultura della sicurezza 

Un altro problema cruciale è la mancanza di una cultura aziendale diffusa in materia di sicurezza informatica. L’Osservatorio sulla Cybersicurezza ha rilevato che la formazione dei dipendenti, fondamentale per ridurre gli errori umani, è spesso trascurata o limitata a pochi individui chiave. 

Solo il 30% circa delle aziende italiane ha implementato programmi formativi regolari rivolti a tutto il personale, mentre il restante si limita a interventi occasionali, spesso legati a specifiche emergenze.

Questo è particolarmente problematico se si considera che il fattore umano è uno dei principali vettori di attacco sfruttati dai cybercriminali. 

Ritardi nella gestione del rischio e nella supply chain 

Un’altra area critica è rappresentata dalla gestione del rischio e dalla protezione delle catene di approvvigionamento. Le aziende italiane faticano a implementare framework completi per identificare, valutare e mitigare i rischi lungo tutta la filiera.

Molti fornitori, soprattutto PMI, non dispongono delle risorse necessarie per soddisfare i requisiti imposti dalla NIS2, aumentando così il rischio per le imprese che si affidano a loro. 

Le catene di fornitura globali, inoltre, amplificano la vulnerabilità, poiché un singolo punto debole può avere conseguenze sistemiche. Tuttavia, solo una minoranza delle imprese adotta misure efficaci per valutare e verificare la sicurezza dei propri fornitori. 

Progressi e prospettive 

Nonostante le sfide, vi sono segnali incoraggianti. Settori come quello bancario e assicurativo stanno guidando l’adozione di pratiche avanzate di cybersicurezza, grazie anche alla stretta regolamentazione del settore finanziario.

Inoltre, l’aumento degli attacchi globali sta spingendo un numero crescente di aziende a considerare la sicurezza informatica come una priorità strategica e non solo come un costo da sostenere. 

Un quadro in evoluzione 

Il percorso verso la conformità alla NIS2 è impegnativo, ma rappresenta un’opportunità per le aziende italiane di ripensare i propri modelli operativi, migliorare la gestione del rischio e costruire una resilienza digitale che le renda competitive non solo a livello nazionale, ma anche internazionale. 

Per accelerare questo processo, è fondamentale che le imprese: 

• investano in tecnologie avanzate di rilevamento e risposta agli incidenti;

• collaborino con principali player del settore per implementare soluzioni personalizzate;

• adottino un approccio olistico alla sicurezza, coinvolgendo ogni livello aziendale, dai dipendenti al top management. 

Il ruolo strategico dei vertici aziendali 

L’efficacia della conformità alla NIS2 dipende in larga parte dal coinvolgimento attivo del top management. I consigli di amministrazione devono assumere un ruolo guida nella definizione delle strategie di sicurezza.

La sicurezza informatica non può più essere considerata un compito delegato a tecnici IT, ma deve diventare una priorità strategica che influenza ogni decisione aziendale. 

Investire in cybersicurezza non è solo una protezione contro gli attacchi cyber; è una dichiarazione di affidabilità e competitività, che aumenta la fiducia di clienti e partner. Adottare un approccio olistico alla gestione del rischio permette alle aziende di affrontare scenari complessi con maggiore flessibilità. 

Collaborazione internazionale e Sistema Paese 

La protezione contro le minacce cyber non è un tema confinato ai confini nazionali. Come sottolineato durante la presentazione dell’Osservatorio, l’Italia deve collaborare con altri paesi occidentali, inclusi gli Stati Uniti, il Regno Unito e il Giappone, per costruire una difesa comune contro attacchi sempre più sofisticati. 

La costruzione di un ecosistema condiviso, basato su best practice e tecnologie avanzate, è essenziale per rafforzare la sovranità digitale del paese. In questo contesto, l’ANGI si pone come un ponte tra istituzioni, aziende e pubblica amministrazione per promuovere un’innovazione sicura e resiliente. 

Conclusioni 

La cybersicurezza non è solo una questione tecnica o normativa, ma un motore di crescita e innovazione. L’adozione di misure strategiche richieste dalla NIS2 può trasformarsi in un vantaggio competitivo, migliorando l’efficienza operativa e creando opportunità di sviluppo.

In un panorama digitale sempre più complesso, la conformità non è un punto di arrivo, ma un percorso continuo verso una sicurezza che tutela il presente e prepara al futuro. 

Domande e risposte 

1. Cosa prevede la Direttiva NIS2?
   La NIS2 impone alle aziende di settori critici di adottare misure di sicurezza avanzate per garantire la resilienza digitale. 

2. Quali settori sono coinvolti dalla NIS2?
   Energia, trasporti, sanità, finanza e altri settori strategici sono inclusi nella normativa. 

3. Perché è importante la resilienza digitale?
   La resilienza digitale permette alle aziende di reagire e adattarsi rapidamente a minacce e attacchi cyber. 

4. Qual è il livello di preparazione delle aziende italiane?
   Solo il 61% delle imprese ha avviato un percorso strutturato di conformità alla NIS2. 

5. Quali sono le principali lacune nella sicurezza informatica?
   Formazione insufficiente, scarsa gestione del rischio e investimenti limitati sono tra i punti critici. 

6. Come possono le aziende migliorare la propria sicurezza?
   Attraverso l’adozione di best practice, investimenti strategici e collaborazione con esperti del settore. 

7. Qual è il ruolo del top management nella NIS2?
   I vertici aziendali devono guidare la strategia di sicurezza e promuovere una cultura della cybersicurezza. 

8. Qual è l’importanza della collaborazione internazionale?
   La cooperazione con altri paesi rafforza le difese contro attacchi cyber globali. 

9. Che ruolo gioca la formazione del personale?
   La formazione è essenziale per creare una cultura aziendale consapevole e preparata. 

10. Quali vantaggi offre la compliance alla NIS2?
    Oltre alla protezione, la conformità migliora la fiducia dei clienti e la competitività delle aziende.