La direttiva NIS2, di vicina attuazione, punta ad elevare la cyber resilienza degli operatori che rappresentano infrastrutture critiche o che offrono servizi importanti nei diversi territori europei. Un punto della nuova norma è quello di spingere le grandi organizzazioni a promuovere la sicurezza informatica lungo intere filiere o supply chain. Oggi sappiamo infatti che le PMI, per loro stessa dimensione e difficoltà a dotarsi di risorse e competenze specialistiche, sono particolarmente esposte ai rischi cyber. L’attenzione alle loro esigenze è però in crescita, come mostrano alcune iniziative importanti già avviate nel territorio nazionale: abbiamo intervistato su questo tema Matteo Lucchetti, Direttore operativo di Cyber 4.0 – Centro di Competenza nazionale ad alta specializzazione per la cybersecurity.
TIG. Quali sono le attività che il Centro Cyber 4.0 rivolge alle PMI?
Matteo Lucchetti. Il Centro Cyber 4.0, fin dalla sua istituzione, si è concentrato sul supporto alle PMI per la trasformazione digitale sicura. Con il Decreto Ministeriale del 10 marzo 2023, che ha stabilito l’istituzione e il potenziamento dei centri di trasferimento tecnologico nazionali, il Centro è stato qualificato come soggetto attuatore del PNRR per conto del MIMIT e notevolmente potenziato e ampliato. Nello specifico, è stato allocato un fondo di 15,5 milioni di euro, da utilizzare per incentivi a imprese di ogni dimensione attraverso due linee di azione.
La prima linea di azione riguarda i servizi a supporto della trasformazione digitale, finanziati con incentivi molto significativi, in alcuni casi fino al 100%, rendendoli quindi gratuiti. Le informazioni di dettaglio sono reperibili sul nostro sito, www.cyber40.it, ma a livello macro i servizi finanziabili sono suddivisi su otto categorie. Per citare solo alcune tipologie di servizi:
- Assessment sulla cybersecurity, sia di tipo tecnico sia organizzativo, che comprendono attività quali penetration test (PT) e vulnerability assessment (VA) per analizzare lo stato attuale, ma anche audit tecnici e percorsi per l’adozione degli standard ISO.
- Attività di formazione, finanziate fino al 100% se di breve durata, oppure con contributi tra il 70 e l’80% per formazioni più estese. Queste iniziative includono corsi specifici per singoli dipartimenti, nonché corsi di base in cybersecurity per tutto il personale delle PMI per aumentare la consapevolezza interna.
- Attività di awareness, come le campagne di phishing simulato o attività di gamification, mirano a potenziare le competenze interne; ma sono disponibili anche corsi più lunghi, come il Master in Cybersecurity Management che abbiamo attivato con l’Università Campus Biomedico, attraverso il quale le aziende possono investire nelle proprie risorse umane, accedendo a forti incentivi.
- Attività cosiddette di “Test before invest“. Questo servizio consente alle PMI di utilizzare strutture di laboratorio, come il T4 presso il nostro centro o presso laboratori dei nostri 45 partner associati, per testare e fare la prova di concetto (POC) delle tecnologie di cybersecurity prima di acquistarle.
- Molto rilevanti sono poi tutte le attività di consulenza che il Centro può offrire, sempre a regime agevolato, sull’innovazione tecnologica in materia di cybersecurity, inclusa la stima degli impatti derivanti dall’introduzione di nuove tecnologie. Tutta l’attività di consulenza che supporta la transizione digitale può essere cofinanziata.
- Il Centro inoltre offre assistenza alle PMI per accedere a finanziamenti aggiuntivi, oltre a quelli offerti dal centro stesso.
- Servizi di consulenza sulla proprietà intellettuale, destinato a chi sviluppa una tecnologia di sicurezza e desidera tutelarla con un brevetto.
La seconda linea di attività del centro riguarda i bandi di ricerca. Il Centro emette periodicamente bandi di ricerca che mirano a promuovere l’innovazione. Le soluzioni che sono cofinanziate devono poter arrivare a un livello di maturità elevato, o addirittura essere immesse in produzione; pertanto, si richiede che la base di partenza sia un prototipo già realizzato e testato in laboratorio su tematiche di interesse per la cybersecurity.
Le quattro aree di ricerca includono tre pilastri verticali strategici (automotive, aerospace e healthcare) e una ricerca trasversale denominata “Core cybersecurity”, che si concentra sull’applicazione di tecnologie innovative come l’IA, la Blockchain e il Quantum Computing per rendere più robuste le soluzioni di sicurezza trasversali. I progetti hanno una durata dai 12 ai 15 mesi e le aziende possono partecipare con un cofinanziamento previsto fino a 400mila euro.
Proprio in questi giorni è stato aperto un nuovo Bando che assegnerà fino a un massimo di 2,5 milioni di cofinanziamenti. Scade il 30 maggio, a tutti rivolgo l’invito a valutare la possibilità di partecipare e presentare la propria proposta. Maggiori informazioni sempre sul nostro sito.
TIG. Quali sono i risultati che ha conseguito il centro Cyber 4.0 nei suoi primi anni di attività?
Matteo Lucchetti. Il Centro è stato istituito formalmente nel 2019, ma è diventato pienamente operativo solo nel 2022, quando, anche grazie al finanziamento ricevuto dal MIMIT, ha potuto avviare le attività organico. Dal 2022, sono state avviate tutte le attività di informazione e consulenza, sfruttando i contatti diretti con i principali attori istituzionali. Ad esempio, attraverso la rete Confindustria, abbiamo raggiunto un numero significativo di PMI sul territorio, ampliando l’azione verso alcune grandi imprese grazie al MIMIT.
Attualmente, contiamo su 220 aziende provenienti da tutto il territorio nazionale che hanno richiesto più di 700 servizi finanziati. Grazie a un meccanismo che semplifica di molto l’accesso agli incentivi da parte delle imprese servite, i finanziamenti allocati dal Ministero, inizialmente previsti a copertura di un triennio, sono già in esaurimento, e abbiamo richiesto un ulteriore stanziamento proprio nel mese di aprile.
Le principali richieste di servizi provengono principalmente da PMI (circa 3 richieste su 4): la dimensione delle imprese è un fattore importante, poiché per le micro e piccole imprese il finanziamento è più consistente. Le medie imprese ricevono comunque un finanziamento considerevole, fino al 70-80% per determinate categorie di servizi, mentre per le grandi imprese è possibile ottenere fino al 50% di cofinanziamento.
TIG. Parliamo di certificazioni di sicurezza: possono servire nelle PMI? O sono troppo complesse da ottenere?
Matteo Lucchetti. La certificazione di sicurezza può certamente essere utile anche per le PMI, nonostante possa sembrare inizialmente complessa. Tuttavia, è importante notare che ci sono sviluppi significativi in corso che mirano a semplificarne il processo e renderlo più accessibile anche per le realtà di dimensioni ridotte.
Una delle principali evoluzioni è rappresentata dallo schema dei cosiddetti European Common Criteria, che si auspica possa velocizzare un processo che attualmente è molto oneroso e lento, rendendolo più accessibile a una più ampia gamma di aziende.
È chiaro che l’adozione delle certificazioni di sicurezza da parte delle PMI richiederà un impegno collettivo da parte delle istituzioni, degli enti certificatori e delle stesse PMI. È necessario semplificare i processi di adesione ai vari schemi di certificazione e ridurre i tempi e le competenze necessarie per ottenere le certificazioni stesse. In questo contesto, l’azione dell’ACN sarà fondamentale, e specificamente l’azione del CVCN (Centro di Valutazione e Certificazione Nazionale) per l’accesso alle certificazioni di sicurezza.
Di altra natura, ma concettualmente connesso, è opportuno anche evidenziare l’avvento del Cyber Resilience Act (CRA), che introdurrà un driver normativo importante. Il CRA richiederà la verifica della sicurezza per tutti i prodotti con componenti digitali, in alcuni casi anche tramite certificazione da parte di terzi. Essendo un elemento vincolante alla possibilità di circolazione di tali prodotti sul mercato europeo, un numero consistente di aziende dovrà fare i conti con le relative misure di compliance da adottare.
Ridurre i tempi e le complessità associate alla valutazione e alla certificazione quindi è essenziale, senza però derogare alla robustezza dei controlli e all’uniformità degli standard di riferimento. In questo bilanciamento, dimostrare la conformità ai requisiti di sicurezza diventerà sempre più fattore abilitante e leva competitiva, non solo per le PMI, ma tutto il sistema produttivo nazionale e comunitario.
A cura di: Elena Vaciago, Research Manager, The Innovation Group
