le proposte

DDL Cybersicurezza, AIPSA: “Inefficace senza gradualità né incentivi”



Indirizzo copiato

AIPSA, associazione che rappresenta i professionisti della security aziendale, ha presentato osservazioni alle Commissioni Affari Costituzionali e Giustizia della Camera dei deputati, impegnate nell’esame del Disegno di Legge 1717 – 2024. Ecco le proposte per rendere immediatamente operativo e applicabile il nuovo corpus normativo

Pubblicato il 17 apr 2024



Cyber,Security,Concept;,A,Key,Formed,From,Binary,Code,Goes

Progressività, armonizzazione, controlli e incentivi.

Sono queste, a nostro avviso, le parole d’ordine da utilizzare alla stregua di punti cardinali se si vuole realmente rendere efficace il nuovo Disegno di legge sulla cybersecurity all’esame delle Commissioni parlamentari.

Come AIPSA, l’Associazione dei Professionisti della Security, che raccoglie al suo interno i security manager delle principali grandi aziende del Paese, abbiamo sentito la necessità di inviare alle Commissioni Affari Costituzionali e Giustizia della Camera dei Deputati alcune osservazioni, al fine di rendere immediatamente operativo e applicabile il nuovo corpus normativo che dovrà incrementare i livelli di sicurezza cibernetica del sistema Paese.

Gli attuali livelli di minaccia cyber richiedono maggiore sicurezza

Questo perché le nuove disposizioni dovranno applicarsi all’interno di contesti che, dal punto di vista culturale e organizzativo, non sono, a oggi, adeguatamente preparate a recepirle e a tradurle in disposizioni e procedure definite.

Penso in particolare alla PA locale e alle Società in house, per lo più assimilabile alla nostra complessa rete di PMI che fanno parte della supply chain delle grandi imprese che operano in settori strategici come l’energia, le telecomunicazioni, i trasporti. La Pubblica Amministrazione, è stata, e continua a essere, bersaglio favorito di attacchi cibernetici e, cosa ancora più preoccupante, titolare di uno degli asset maggiormente appetibili per i criminali, i dati dei cittadini, ma anche altri settori come le realtà manifatturiere dei settori moda, meccanica, siderurgia sono stati, e continuano a essere, target di attacchi informatici.

Necessaria un’operazione sinergica di protezione del tessuto imprenditoriale nazionale

Secondo i dati contenuti nella relazione al Parlamento del Sistema di informazione per la sicurezza della Repubblica, nel 2023 si è registrato un aumento significativo degli attacchi informatici nel Paese, con un totale di 532 attacchi documentati alle infrastrutture critiche e 267 attacchi alle pubbliche amministrazioni.

Al contrario di quanto accaduto nel 2022, il rapporto tra attacchi ai danni di soggetti pubblici e privati si è ribaltato. Nel 2023 il 60% dei cybercriminali ha colpito asset pubblici e lo ha fatto, nell’82% dei casi, utilizzando malware come gli spyware o, maniera ancora maggiore, i ransomware. Obiettivo, nell’81,6% dei casi, la sottrazione di dati sensibili, credenziali per l’accesso a informazioni riservate, con lo scopo finale di conseguire un vantaggio economico o strategico (85% dei casi).

Ed è proprio alla luce di alcuni dei dati contenuti nella predetta Relazione, che trovano perfetta corrispondenza da parte del nostro Osservatorio interno, che si rende necessaria un’operazione sinergica di protezione del tessuto imprenditoriale nazionale, ma al tempo stesso una assunzione di responsabilità diretta da parte delle aziende, comprese quelle più piccole.

Il contesto normativo comunitario: direttiva NIS e Regolamento DORA

L’esigenza di un incremento dei livelli di sicurezza cibernetica per il nostro Paese non può non tenere conto di quanto si sta muovendo a livello di Unione europea.

Entro la fine di ottobre, infatti, il Parlamento italiano sarà chiamato a recepire la direttiva comunitaria NIS2 e, poco dopo, il regolamento DORA destinato alle istituzioni finanziarie, sarà pienamene operativo.

Due passaggi tutt’altro che formali.

La Direttiva NIS2, infatti, mira a standardizzare le politiche di sicurezza digitale tra gli Stati membri, concentrandosi su settori vitali come energia, retail, trasporti, banche, sanità e pubblica amministrazione, oltre alle relative catene di approvvigionamento.

Risulta dunque del tutto evidente la necessità di armonizzare la legislazione nazionale a quella comunitaria per evitare sovrapposizioni o, peggio, discrasie normative e procedurali.

La carenza di professionisti nel settore della cybersecurity

Ultima considerazione, ma non certo per importanza, di cui dovrà tenere conto il Parlamento italiano è il contesto professionale legato ai responsabili della sicurezza informatica, o come vengono chiamati oggi i responsabili della cybersecurity (Chief Information Security Officer) e, in generale, a chi si occupa di sicurezza cibernetica.

Secondo le stime più accreditate, nel sistema italiano privato oggi mancano all’appello circa 250mila cybersecurity manager e questo lascia scoperte le 160mila PMI italiane che, secondo le stime di Confindustria, generano un valore di 204 miliardi di euro l’anno.

A queste si sommano altre 90mila piccole imprese inserite nelle value chain delle grandi aziende che operano nei settori strategici del Paese.

Un quadro aggravato dal fatto che, se anche – come giusto che sia – il settore pubblico comincerà ad incrementare il reclutamento di professionisti per far fronte alle crescenti minacce dovute all’aggravarsi del contesto internazionale, la situazione si complicherà per tutto il comparto industriale delle aziende private.

Risultato, la coperta è corta. Ecco perché, come AIPSA, da tempo invitiamo le PMI a costituire piattaforme di impresa utili a mettere in comune le professionalità necessarie a sviluppare piani di analisi del rischio e intervento comuni, razionalizzando così risorse umane ed economiche. Al tempo stesso suggeriamo al legislatore di introdurre incentivi e decontribuzioni per favorire la costituzione di questo tipo di opportunità.

Le proposte di AIPSA per una maggiore sicurezza

Tutte le considerazioni sopra riportate, ci hanno spinto a produrre un breve documento in cinque punti e sottoporlo alle Commissioni competenti per chiedere attenzione su alcuni fondamentali elementi.

L’armonizzazione con il contesto europeo

Entro il 17 ottobre 2024 il Parlamento sarà chiamato a recepire la Direttiva comunitaria NIS2 che, in maniera maggiormente puntuale e aggiornata rispetto alla versione precedente, si propone di armonizzare le misure e gli approcci negli Stati membri dell’UE per proteggere le infrastrutture digitali, mettendo nero su bianco le best practice per affrontare il crescente assalto di attacchi informatici. Una misura che riguarda in maniera particolare i settori energia, retail, trasporti, banche, sanità, pubblica amministrazione, ma anche la supply chain dei gestori capofila.

Il Disegno di Legge in esame dovrà pertanto essere armonizzato con il Decreto di recepimento della suddetta Direttiva, al fine di scongiurare eventuali sovrapposizioni o duplicazioni che creerebbero confusione negli attori preposti alla loro applicazione.

La gradualità nell’applicazione

Alla luce dei ritardi accumulati nel corso degli ultimi anni dalle imprese e dalla Pubblica amministrazione nell’inserimento negli organici di professionisti della sicurezza informatica, si rende quanto mai necessaria l’adozione di misure drastiche quanto graduali.

È necessario dunque che questo DDL preveda un’applicazione graduale delle misure tecnico organizzative, che consenta alle Pubbliche amministrazioni di aumentare efficacemente ed effettivamente il loro livello di sicurezza.

Ma preveda altresì un approccio per obiettivi di sicurezza in un determinato periodo, con livelli di sicurezza incrementali, sistemi di controlli mitigativi e un piano da notificare all’autorità che poi svolgerà le opportune verifiche.

Il DDL deve inoltre mantenere i requisiti di attualità imposti dalla transizione digitale, ovvero una norma con principi di diritto ma che lasci il compito all’autorità di settore – ACN –

di specificare le misure tecniche che possono cambiare nel tempo.

Un passaggio, quest’ultimo, non banale, a meno di voler sacrificare l’effettiva applicabilità della norma.

La professionalità dei responsabili della security

Risulta indispensabile prevedere che il soggetto designato quale referente per la cyber sicurezza sia effettivamente dotato delle necessarie competenze tecniche ed organizzative (magari anche certificate), prevedendo un periodo di transizione che consenta alle Pubbliche amministrazioni di dotarsi di professionalità esterne (outsourcing), sempre rispettando il suddetto principio di gradualità sopra esposto.

Mutualità di azione

In ragione del gap formativo e del sottodimensionamento di alcuni dei soggetti preposti all’applicazione di norme così complesse, si suggerisce la previsione di costituire poli aggregativi di cybersicurezza a livello centrale, in modo che possano essere erogati servizi base a beneficio delle Pubbliche Amministrazioni o alle aziende di minori dimensioni, sfruttando anche strumenti di finanza agevolata.

Sanzioni

Per rendere effettivamente applicabile il corpus normativo contenuto nel DDL in oggetto, si suggerisce di destinare parte dei proventi derivanti dalle sanzioni alle imprese inadempienti ad un fondo precostituito e finalizzato all’erogazione dei servizi accentrati di cyber sicurezza.

Conclusioni

Siamo perfettamente consapevoli della difficoltà di redazione di un testo che sia al contempo coercitivo e protettivo, soprattutto in un contesto imprenditoriale pubblico e privato dove il gap di professionalità pesa in modo sostanziale.

Per questo, come Associazione professionale, auspichiamo il coinvolgimento sempre più massiccio e sistematico di chi ha già maturato le competenze necessarie allo svolgimento di un’opera meritoria, indispensabile non solo per massimizzare i livelli di sicurezza del sistema-Paese, ma per contribuire alla diffusione di una cultura della security su scala sempre più ampia.

EU Stories - La coesione innova l'Italia

Tutti
Social
Iniziative
Video
Analisi
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4