Cybersecurity, una priorità strategica per le aziende

I tempi in cui il termine hacker era circoscritto al cinema o alla letteratura sono ormai lontani: la domanda che attualmente gli imprenditori si pongono non è legata alla possibilità di subire un attacco informatico quanto, piuttosto, al momento in cui ciò avverrà. È per questo che la cybersecurity rappresenta un tema imprescindibile, una necessità stimolata non tanto dalla crescita della normativa atta alla regolamentazione dell’attività, quanto dal drammatico ed esponenziale aumento delle truffe.

Il cybercrime è in costante crescita: il Rapporto Clusit 2024 rileva che nei primi sei mesi dell’anno gli attacchi informatici in Italia sono cresciuti del 23% rispetto al semestre precedente , evidenziando l’urgenza di adottare sistemi di sicurezza atti alla protezione delle infrastrutture digitali aziendali. Un primo tentativo per migliorare la sicurezza delle reti e dei sistemi informativi a livello europeo si è concretizzato con la normativa NIS (Network and Information Security), introdotta nel 2016 e recepita dagli Stati membri entro i successivi due anni. Malgrado le buone intenzioni, il provvedimento ha palesato presto lacune, dettate soprattutto dal ridotto perimetro di applicazione. In ambito informatico, infatti, le aziende non operano come isole, ma vivono interconnesse in un unico “arcipelago” digitale: all’interno di un’organizzazione protetta un soggetto vulnerabile può divenire un “cavallo di Troia” capace di compromettere l’intera catena.

Per risolvere queste criticità è stata introdotta nel 2022 la normativa NIS2, di fatto una versione aggiornata della precedente, che oltre a introdurre requisiti più stringenti rafforza le misure protettive ampliando esponenzialmente il campo di applicazione. Se solo in Italia la NIS1 interessava circa 400 aziende, la NIS2 include un numero stimato di organizzazioni tra 14 e 16 mila. L’adeguamento giuridico più significativo riguarda l’estensione della responsabilità alle terze parti che forniscono servizi (o prodotti critici) alle organizzazioni soggette alla normativa; l’obiettivo risiede nell’affrontare i rischi derivanti dalle catene di approvvigionamento garantendo adeguati livelli di sicurezza a tutti gli attori coinvolti.

A partire dal 1° dicembre 2024 è stato attivato sul sito di ACN (Agenzia per la Cybersicurezza Nazionale) un portale di autocensimento: una volta registrate, le aziende possono verificare la loro inclusione nei criteri della direttiva NIS2 andando comprendere i derivanti obblighi. Il portale consente di identificare le organizzazioni operanti nei settori essenziali e importanti definiti dalla normativa (come energia, trasporti, sanità, telecomunicazioni e infrastrutture digitali) supportandole nell’avvio delle azioni necessarie all’adeguamento agli standard richiesti. Si tratta di misure di sicurezza non particolarmente complesse, best practice comuni nell’ambito della cyber security come l’installazione di firewall, sistemi di crittografia dei dati o autenticazione a più fattori. Inoltre sono previste procedure da adottare in caso di incidente: ad esempio è obbligatorio documentare tutti gli episodi rilevati, segnalando quelli significativi alle autorità competenti entro il termine previsto (generalmente 24 ore per notifiche iniziali).

Nonostante l’inasprimento delle sanzioni per il mancato rispetto della normativa – con multe che possono raggiungere milioni di euro – NIS2 presenta una lacuna importante: l’assenza di incentivi concreti per favorire l’adeguamento. In altre parole, viene usato il bastone ma non la carota: per mettersi in regola le aziende devono affrontare investimenti significativi senza disporre di un sufficiente supporto economico.