Nel primo semestre del 2024, l’Italia è stata uno dei principali bersagli di attacchi informatici a livello globale. Il 7,6% degli incidenti gravi registrati nel mondo si sono verificati nel nostro Paese. Gli attacchi sono in crescita del 23% rispetto al semestre precedente (in media sono 9 al giorno) e il manifatturiero è il settore più colpito.
Dati allarmanti quelli snocciolati da Cristian Feregotto, capogruppo Telecomunicazione e Informatica di Confindustria Udine, nel corso di un convegno, ospitato oggi a palazzo Torriani, dedicato agli obblighi di cybersicurezza per le aziende introdotti dalla normativa europea NIS2, recepita dal Decreto Legislativo 4 ottobre 2024, n. 138, entrata in vigore il 16 ottobre scorso.
Quali sono i soggetti obbligati ad attuare la NIS2? Cosa fare per adeguarsi? Quali conseguenze avrà sulla governance aziendale? Quali sanzioni sono previste? Come dimostrare la compliance alla norma?
Proprio per rispondere a queste domande l’Associazione degli industriali friulani e il DIH (Digital innovation hub) Udine, con la partecipazione tecnica di Bureau Veritas, hanno promosso un incontro riservato alle imprese associate.
“Sappiamo bene che il fenomeno degli attacchi informatici è in crescita esponenziale, che non risparmia nessuno e che le tensioni geopolitiche in atto non promettono nulla di buono”, ha affermato Dino Feragotto, che guida il DIH Udine, introducendo il convegno.
“La NIS2 – ha proseguito Feragotto - non si focalizza esclusivamente sui settori ritenuti ad alta criticità o critici, ma si estende anche alla catena di approvvigionamento, ampliando notevolmente il novero dei soggetti “essenziali” e “importanti” interessati dall’applicazione del D.Lgs. 138/2024. Certamente, queste disposizioni rappresenteranno il filo conduttore del mercato della sicurezza nei prossimi anni. È opportuno quindi che i soggetti in perimetro e i loro fornitori si preparino ad affrontarle in modo tempestivo ed efficace, per ridurre gli impatti negativi sulle proprie organizzazioni, ma anche e soprattutto per gestire adeguatamente i rischi, che comunque nei prossimi anni si troveranno ad affrontare”.
A doversi adeguare alle regole saranno le grandi aziende (quelle con oltre 250 dipendenti, o con un fatturato superiore ai 50 milioni di euro) e le medie imprese (con massimo 50 dipendenti o dal fatturato da oltre dieci milioni). Ma anche le piccole e le microimprese potranno essere chiamate in causa: dipenderà dal livello di importanza che ricoprono negli ambiti di riferimento.
“Il DIH Udine - Data analytics & artificial intelligence – ha concluso Feragotto - è nato e opera proprio per aumentare il livello di consapevolezza e comprensione delle tematiche d’interesse e aiuta le aziende ad elaborare i propri piani di digitalizzazione, fornendo servizi di mentoring e di supporto. Un’attenzione particolare è rivolta da sempre alle Pmi, che talvolta hanno difficoltà a identificare le loro criticità o le potenzialità o a raggiungere i provider di innovazione”.
Proprio per rispondere a questa esigenza delle imprese, il DIH Udine offre un servizio di cybersecurity assessment, che “analizza – come ha ricordato Franco Campagna, responsabile del DIH Udine - il livello di maturità dell’azienda sul fronte della sicurezza informatica, attraverso l’impiego di uno strumento coerente con il Framework nazionale per la cybersecurity e la data protection. Il cyberassessment mira a identificare gli specifici rischi cyber cui è esposta l’azienda, rilevando il livello di cybersecurity attuale e individuando le eventuali attività da porre in essere per raggiungere il livello di sicurezza auspicato”.
Dell’inquadramento normativo della NIS2 e del Decreto 138/2004 e delle attività necessarie per la valutazione del rischio e la verifica della compliance hanno parlato Valentina Mussi e Alessandro Ferrari di Bureau Veritas, che hanno risposto anche ai molti quesiti tecnici sollevati dalle imprese.