Il percorso di adeguamento alla NIS2 non rappresenta soltanto una sfida tecnica, ma segna l’ingresso definitivo della sicurezza informatica nelle dinamiche di governance aziendale.
Durante la tavola rotonda conclusiva del convegno “Cybersecurity: immaginare l’imprevedibile”, organizzato dall’Osservatorio Cybersecurity & Data Protection degli del Politecnico di Milano, esperti e responsabili del settore si sono confrontati sulle implicazioni pratiche della nuova direttiva.
L’incontro ha visto la partecipazione di Anna Cataleta (Senior Legal Advisor di Partners4Innovation), Elisa Romano (Head of Data Protection & Information Security di Lamborghini) e Luigi Tuissi (Head of IT Italy di Alpiq Energia Italia), i quali hanno analizzato come la normativa stia forzando un cambiamento culturale necessario per proteggere il tessuto industriale italiano.
Indice degli argomenti
Il perimetro soggettivo e la semplificazione del Digital Omnibus
Uno dei primi ostacoli che le organizzazioni si trovano ad affrontare riguarda l’identificazione della propria natura giuridica all’interno della nuova cornice normativa. Cataleta evidenzia come la determinazione del perimetro soggettivo sia un’operazione complessa, che richiede una profonda conoscenza delle norme oltre che della struttura aziendale. «Dire se un soggetto è “essenziale” o “importante”, o se rientra o meno, non dipende da un codice, dipende da una serie di fattori che implicano la conoscenza di una serie di norme». Questo approccio multi-compliance sta diventando centrale, specialmente alla luce del Digital Omnibus, che mira a semplificare alcuni adempimenti previsti dalla NIS2.
La modifica legislativa introdotta dal Digital Omnibus promette di alleggerire il carico burocratico relativo alla segnalazione degli incidenti. Secondo Cataleta, la normativa prevederà un unico punto di notifica gestito da ENISA, che poi veicolerà le informazioni alle autorità indipendenti, evitando così di «duplicare o triplicare tutti questi adempimenti».
Inoltre, cambierà l’approccio valutativo sull’impatto degli incidenti: l’attenzione si sposterà sulla gravità del data breach piuttosto che sulla mera probabilità, influenzando direttamente i termini di notifica.
La governance della NIS2 e il coinvolgimento degli organi apicali
Un punto di rottura fondamentale rispetto al passato è rappresentato dall’Articolo 23 della NIS2, che coinvolge direttamente i vertici aziendali nella gestione della sicurezza. Non si tratta più di una responsabilità delegata esclusivamente ai reparti tecnici, ma di un obbligo che ricade sugli amministratori delegati e sui rappresentanti legali.
Romano sottolinea come la normativa funga da leva per imporre una consapevolezza che avrebbe dovuto essere già radicata: «È una leva che ha forzata una consapevolezza che, a mio avviso, doveva esserci già».
La NIS2 obbliga gli organi apicali a partecipare attivamente alla governance del sistema informativo e alla formazione sulla sicurezza, estendendo tale requisito anche ai membri del Consiglio di Amministrazione. La prospettiva di sanzioni amministrative onerose e la responsabilità personale degli amministratori diventano driver potentissimi per il cambiamento. Romano nota che, sebbene il Codice Civile prevedesse già forme di responsabilità professionale, la nuova norma rende la questione principale: «C’è una forzatura nell’ascolto del top management di queste tematiche che magari fino a qualche anno fa… erano temi prettamente tecnici e chiusi nello scantinato dell’IT, solo per pochi appassionati e smanettoni».
Il CISO ai tavoli decisionali
L’evoluzione normativa sta portando i responsabili della sicurezza, come i CISO, a cambiare radicalmente il proprio modo di comunicare. Per essere efficaci di fronte a un board, è necessario abbandonare il linguaggio tecnico per adottare metriche legate al risk management. Elisa Romano suggerisce che la trasparenza sia fondamentale, ma deve essere accompagnata dalla capacità di sintetizzare e dare priorità ai rischi maggiori.
Secondo Romano, il compito del CISO è fornire all’organo decisorio la possibilità di valutare alternative concrete: «Bisogna dare all’organo decisorio anche la trasparenza di quali sono le situazioni e quali possono essere le scelte in capo a loro, perché poi comunque è il top management che decide».
La NIS2 non chiede solo l’installazione di strumenti tecnologici come EDR o XDR, ma pretende un’organizzazione che abbia una postura di sicurezza strutturata, supportata dal commitment e dal budget garantito dai vertici.
L’impatto operativo e il peso della burocrazia tecnica
Se dal punto di vista strategico la NIS2 apre porte precedentemente chiuse, dal punto di vista operativo l’adeguamento può trasformarsi in quello che Luigi Tuissi definisce, con una metafora efficace, un «bagno di sangue» documentale. La quantità di procedure e politiche da redigere è imponente: si parla di un numero compreso tra i 20 e i 30 documenti tecnici che devono essere approvati dal Consiglio di Amministrazione.
Tuissi riporta l’esperienza di Alpiq Energia Italia, dove la struttura aziendale composta da diverse legal entity ha moltiplicato lo sforzo richiesto: «Noi abbiamo dovuto moltiplicare per 10 tutta questa documentazione, che poi è passata all’approvazione dei 10 CdA, in cui abbiamo dovuto spiegare ai Consigli di Amministrazione di che cosa fosse la natura di questi documenti». Spiegare tecnicismi come il vulnerability management o le password policy a un organo che si occupa di business non è immediato, ma Tuissi avverte che avere queste procedure approvate e pubblicate è vitale in caso di incidente reale, poiché riduce i gap emersi durante le crisi.
La gestione degli impianti produttivi e dell’Operation Technology
Un aspetto spesso sottovalutato della NIS2 è l’impatto sul mondo dell’Operation Technology (OT), ovvero i sistemi che controllano gli impianti produttivi. A differenza dell’IT, che vanta una maturità sulla cybersecurity decennale, l’OT rappresenta spesso un territorio inesplorato o, come definito da Tuissi, un «greenfield». Anche solo ottenere un asset inventory accurato rappresenta un traguardo fondamentale della conformità normativa.
Mentre l’IT si sta spostando massicciamente verso il cloud, rendendo la gestione degli asset locali meno complessa, la produzione rimane legata a infrastrutture fisiche in casa.
Tuttavia, il futuro sembra tracciato verso una convergenza: «Tra un po’ avremo in cloud anche i sistemi SCADA e DCS, quindi tutto, secondo me, lo scenario cambia». Questa trasformazione richiederà una multidisciplinarietà ancora maggiore, unendo competenze tecniche, giuridiche e di business per garantire la continuità operativa in scenari complessi.
La vulnerabilità della Supply Chain e la gestione delle terze parti
La sicurezza della catena di fornitura emerge come uno dei punti critici della NIS2. Luigi Tuissi sottolinea come il fattore di rischio maggiore oggi sia rappresentato proprio dalle terze parti. L’esperienza sul campo dimostra che i breach di sicurezza spesso non colpiscono direttamente l’azienda principale, ma avvengono attraverso i fornitori: «Il nostro rischio cyber sempre e solo a causa di breach di terze parti, cioè la causa è stata sempre legata a eventi che hanno impattato terze parti».
La sfida non è solo tecnologica, ma anche contrattuale. Molte aziende non dispongono ancora di accordi che obblighino i fornitori a informare tempestivamente in caso di incidente informatico. Gestire la supply chain ai sensi della NIS2 significa quindi rivedere le relazioni commerciali e imporre standard di sicurezza elevati a tutti gli attori coinvolti, indipendentemente dalla loro dimensione.
Questo percorso di maturità culturale, accelerato dalla normativa, sta portando alla nascita di nuove figure professionali come il BISO (Business Information Security Officer), capaci di mediare tra le esigenze di sicurezza e le necessità del business. Come osservato da Elisa Romano, l’obiettivo finale non è il semplice adempimento formale, ma la creazione di un’organizzazione resiliente capace di monitorare continuamente i rischi esterni, siano essi geopolitici o tecnologici.
FAQ: Cybersecurity
Che cos’è la cybersecurity e quali sono i suoi principali elementi?
La cybersecurity, o sicurezza informatica, è un campo in continua evoluzione che si occupa di proteggere sistemi, reti, dati e informazioni digitali da accessi non autorizzati, uso improprio, divulgazione e distruzione di informazioni. Si basa su una combinazione di tecnologie, processi e best practice per proteggere i sistemi informatici. La cybersecurity è più di un insieme di strumenti: è un ecosistema complesso che integra tecnologia, processi e responsabilità umana, rappresentando una vera e propria strategia complessiva, un equilibrio tra innovazione tecnologica e responsabilità umana.
Quali sono le principali minacce alla cybersecurity?
Le minacce alla cybersecurity sono in continua evoluzione e diventano sempre più sofisticate. Tra le principali minacce troviamo gli attacchi digitali intenzionali che crescono significativamente in termini sia di diffusione sia di sofisticazione, con conseguenti difficoltà di individuazione e contrasto. Particolarmente rilevanti sono le APT (Advanced Persistent Threats), minacce tenaci che possono celarsi in una rete per diverso tempo prima di ottenere l’accesso e prelevare le informazioni desiderate. Altri attacchi comuni includono il ransomware, particolarmente pericoloso per le piccole realtà, che può causare non solo danni diretti legati alla perdita dei dati, ma anche ingenti danni di immagine e blocco totale dell’operatività per settimane o addirittura mesi.
Quali sono i ruoli chiave nella gestione della cybersecurity aziendale?
Nella gestione della cybersecurity aziendale, due ruoli fondamentali sono il CIO (Chief Information Officer) e il CISO (Chief Information Security Officer). Il CIO ha visione e responsabilità più ampie, a 360 gradi, dalla infrastruttura ICT agli ambiti applicativi, dagli utenti ai fornitori ICT. Il CISO, invece, ha una responsabilità e specializzazione verticale sulla sicurezza informatica. Tra i principali compiti del CISO troviamo: definire e far rispettare la normativa di sicurezza dell’azienda, prevenire e individuare eventuali debolezze, reagire con prontezza a qualsiasi incidente di cybersicurezza, nonché formare l’organizzazione in materia di sicurezza informatica. La collaborazione efficace tra CIO e CISO è essenziale per rendere sicuro, affidabile e resiliente il sistema informativo aziendale.
Quali metriche dovrebbe monitorare un CISO per valutare l’efficacia della cybersecurity?
Un CISO dovrebbe monitorare KPI specifici suddivisi in tre aree principali: inventario degli asset, gestione delle vulnerabilità e quantificazione del rischio informatico. È fondamentale legare le metriche di sicurezza a quelle di business, traducendo il linguaggio tecnico della sicurezza in termini comprensibili per il business. I CISO dovrebbero concentrarsi su metriche che parlino di costi e rischi in termini economici, focalizzandosi sui risultati per comunicare chiaramente come gli investimenti in sicurezza portino a riduzioni misurabili del rischio. Non si tratta di scegliere tra metriche operative e aziendali, ma di identificare metriche che colleghino i risultati operativi della sicurezza alla mission aziendale.
Come possono le aziende affrontare la carenza di competenze specialistiche in cybersecurity?
Per affrontare la carenza di competenze specialistiche in cybersecurity, le aziende possono adottare diverse strategie. Una soluzione è il ricorso al “temporary management” per i ruoli di CIO e CISO, portando valore aggiunto grazie all’esperienza maturata in diverse organizzazioni. Un’altra opzione è l’utilizzo di MSS (Managed Security Services) per la terziarizzazione della gestione operativa della sicurezza digitale, erogata da consulenti o aziende specializzate, e i CSaaS (CyberSecurity as a Service), erogati in cloud. Queste soluzioni sono particolarmente efficaci per le piccole e micro-organizzazioni dove mancano competenze interne specifiche. È importante anche investire nella formazione continua delle persone, trasformando la sicurezza da costo percepito a leva di resilienza.
Quali sono le opzioni formative disponibili per chi vuole specializzarsi in cybersecurity?
Per chi vuole specializzarsi in cybersecurity, esistono numerosi corsi online sia gratuiti che a pagamento, adatti a diversi livelli di competenza: neofiti, profili intermedi e avanzati. Questi corsi sono raccomandati da esperti del settore e possono essere utili per studenti di informatica, imprenditori e professionisti della sicurezza che puntano a perfezionare le competenze e ad arricchire il proprio percorso di carriera. Oltre alla formazione, è importante considerare anche le certificazioni individuali con validità internazionale, come quelle relative al framework e-CF (European Competence Framework), che possono qualificare le competenze necessarie per ruoli come CIO e CISO, in continua evoluzione data la parallela evoluzione delle tecnologie informatiche e dei processi aziendali.
Quali sono le tendenze emergenti nel campo della cybersecurity?
La cybersecurity è un campo in continua evoluzione, con nuove tecnologie e minacce emergenti che pongono sfide sempre maggiori. Tra le tendenze emergenti si nota una crescente attenzione verso un approccio di cybersecurity end-to-end che comprende protezione dei dati, gestione delle identità digitali, sicurezza infrastrutturale, DevSecOps e formazione continua delle persone. Si osserva anche un aumento dell’utilizzo di servizi gestiti come MSS (Managed Security Services) e CSaaS (CyberSecurity as a Service), particolarmente utili per le organizzazioni che non dispongono di competenze interne specifiche. La gestione delle vulnerabilità si è inoltre estesa oltre le tradizionali vulnerabilità software (CVE) per includere problemi di accesso e configurazioni errate, con particolare attenzione alle configurazioni errate del cloud, aspetto critico per molte organizzazioni nel loro percorso di migrazione alla nuvola.
Come si può sviluppare una strategia di sicurezza informatica efficace a livello aziendale?
Per sviluppare una strategia di sicurezza informatica efficace a livello aziendale, è fondamentale adottare un approccio integrato che unisca tecnologie, normative e valorizzazione delle persone. È essenziale la collaborazione efficace tra CIO e CISO, con una chiara definizione dei ruoli e delle responsabilità. La strategia dovrebbe includere la definizione e l’applicazione di normative di sicurezza, la prevenzione e individuazione di debolezze, la capacità di reagire prontamente agli incidenti e la formazione continua dell’organizzazione. È importante anche collegare le metriche di sicurezza a quelle di business, traducendo il linguaggio tecnico della sicurezza in termini comprensibili per il management aziendale. La cybersecurity dovrebbe essere vista non come un mero costo, ma come un investimento per garantire la resilienza dell’organizzazione di fronte alle minacce informatiche in continua evoluzione.
