La cybersecurity “non è più un tema di resilienza, ma di sicurezza nazionale, e la nuova direttiva Nis2 in vigore mira a imprimere una svolta culturale se pensiamo alle conseguenze che gli attacchi cyber hanno sulle nostre vite”. Lo ha affermato il Sottosegretario alla Presidenza del Consiglio, Alfredo Mantovano, intervenuto al convegno dell’Agenzia per la cybersicurezza nazionale (Acn) “La nuova direttiva Nis per un più alto livello di cybersicurezza del sistema Paese”, tenutosi a Roma all’Università La Sapienza.
Mantovano ha affermato che la cybersecurity non è solo un tema di tecnologia sofisticata, ma soprattutto di formazione delle persone, visto che “il fattore umano è responsabile del 68% delle violazioni dei dati”.
“Non esiste una tecnologia che da sola garantisca la sicurezza di un sistema, serve il gioco di squadra, che a sua volta richiede ragionevolezza, buonsenso, buona volontà”, ha detto Mantovano.
“La sicurezza informatica è una questione che riguarda ogni cittadino e organizzazione, non solo gli esperti del settore”, ha sottolineato nel suo intervento il prefetto Bruno Frattasi, direttore generale dell’Acn. “La direttiva porta con sè uno sguardo nuovo sulla realtà, stabilisce uno scenario di riferimento che avremo davanti per i prossimi decenni”.
Mantovano: La cybersicurezza è cultura
Il Sottosegretario alla Presidenza del Consiglio ha aperto il suo intervento al convegno Acn ricordando il grave problema alla rete Microsoft del luglio scorso, che coinvolse in Italia l’aeroporto di Bologna e causò problemi alla Borsa di Londra e, in Francia, ai sistemi informatici legati alle Olimpiadi. La causa fu proprio un errore umano nella programmazione di un aggiornamento e ora con la Nis2 sono previste “misure di rafforzamento del fattore umano, anche con politiche di controllo dell’accesso”.
Proprio per agire sul cambiamento culturale, la direttiva Nis2 prevede che i responsabili della cybersicurezza delle organizzazioni siano i vertici aziendali, non solo i direttori dell’It o della sicurezza, ha evidenziato Mantovano.
La formazione è importante, ha proseguito il Sottosegretario, perché è proprio la scarsità di competenze cyber “quella che fa lievitare i costi delle violazioni”.
Mantovano nel suo intervento ha ricordato anche diversi casi di ransomware, un tipo di attacco cibernetico che comporta la richiesta di pagamento di un riscatto per recuperare i dati criptati e sottratti dagli hacker – una minaccia che colpisce spesso le strutture sanitarie, visti i grandi ritorni economici della vendita sul dark web dei dati delle cartelle cliniche.
Tra gli attacchi degli hacker collegati con soggetti esteri, Mantovano ha citato quello simultaneo ai ministeri degli Esteri e dell’Interno nel maggio del 2023 mentre l’aereo che portava in Italia il presidente ucraino Zelenski toccava la pista dell’aeroporto.
La Nis2 è un’opportunità
Il Sottosegretario (che è anche l’autorità delegata alla sicurezza del paese) ha ribadito che l’ammodernamento del quadro delle regole europee sulla cybersicurezza “non è qualcosa che opprime, ma un’opportunità“, considerando che il costo medio degli incidenti informatici in Italia è stimato a 4,3 milioni di euro (4,8 milioni a livello globale).
Il quadro legislativo per la sicurezza informatica, ha ricordato Mantovano, si completa con la legge 90 del giugno scorso approvata con un passaggio parlamentare rapido ma approfondito e con “contributo positivo anche delle opposizioni”.
Da parte sua Frattasi ha evidenziato che “La sicurezza digitale parte dalla consapevolezza del rischio e coinvolge il singolo cittadino. La direttiva Nis non ha solo una valenza tecnica: stabilisce uno scenario che unisce pubblico e privato in un approccio collaborativo e multilivello, sia a livello nazionale che europeo”.
Le nuove attività di Acn, c’è anche il Tavolo Nis
Come autorità nazionale competente, l’Acn metterà a disposizione in Italia la piattaforma per il censimento e la registrazione dei soggetti pubblici e privati che rientreranno nell’ambito della disciplina della Nis2. Attraverso la piattaforma, ha informato il direttore dell’Acn, “saranno offerti orientamento e supporto ai soggetti Nis”. “La messa in esercizio della direttiva – ha proseguito Frattasi – implica l’attuazione di un complesso modello di coordinamento, sia nazionale che europeo, ponendo così le basi di una governance multilivello”. Il Tavolo Nis, recentemente convocato, rappresenta un primo passo in questa direzione, con la partecipazione delle Regioni e delle Province autonome.
L’Agenzia per la cybersicurezza nazionale, inoltre, collaborerà con nove amministrazioni centrali individuate come autorità verticali di settore e parteciperà a reti europee come Cyclone, dedicate alla gestione coordinata degli incidenti su vasta scala.
La Nis2 mira a rafforzare la sicurezza informatica in Europa imponendo misure più stringenti e ampliando i settori di applicazione. La direttiva si applica non solo a settori altamente critici, come energia e trasporti, ma anche ad altri ambiti strategici, come il cloud computing e i servizi sanitari. La direttiva prevede obblighi di cybersecurity per garantire una risposta tempestiva alle minacce, favorendo la cooperazione tra Stati membri e l’adozione di un approccio comune alla gestione del rischio. Con l’eliminazione della distinzione tra operatori di servizi essenziali e fornitori di servizi digitali, la Nis2 introduce un sistema unico basato sull’importanza dei servizi offerti.
Frattasi ha ribadito che l’attuazione della direttiva richiederà l’impegno congiunto di pubblico e privato per assicurare livelli di sicurezza adeguati e costruire un sistema resiliente in grado di affrontare le crescenti minacce digitali. “Non si tratta di un tema tecnico riservato agli addetti ai lavori, ma di un impegno collettivo per proteggere le infrastrutture e i cittadini”, ha detto Frattasi.
