Negli ultimi due anni la cybersecurity è diventata una delle priorità strategiche della Pubblica Amministrazione. L’entrata in vigore della direttiva NIS2, l’aumento degli incidenti informatici e la crescente digitalizzazione dei servizi pubblici stanno accelerando una trasformazione che va ben oltre la semplice conformità normativa. Il tema è stato al centro del confronto tra i responsabili della sicurezza di alcune delle principali amministrazioni e aziende pubbliche italiane nel corso del PAL SUMMIT, organizzato lo scorso 19 maggio da TIG a Napoli: obiettivo del tavolo di lavoro del pomeriggio su “Ecosistemi di Cybersecurity: sfide nazionali, strategie territoriali” era appunto di condividere esperienze, criticità e prospettive evolutive.
Il confronto (di cui riportiamo di seguito i punti centrali) è servito a sottolineare come la NIS2 stia agendo da acceleratore di un cambiamento già in corso. Oggi la cybersecurity non è più soltanto una questione tecnologica o normativa, ma un elemento strutturale della governance pubblica: la vera sfida dei prossimi anni sarà trasformare la compliance in capacità operativa, sviluppare una cultura diffusa della sicurezza e costruire ecosistemi resilienti in grado di garantire la continuità dei servizi essenziali per cittadini e imprese.
Dalla compliance alla gestione del rischio
Uno dei cambiamenti oggi più significativi riguarda il superamento di una visione puramente documentale della sicurezza. Per anni molte organizzazioni hanno affrontato la cybersecurity principalmente come un esercizio di compliance, finalizzato a soddisfare requisiti normativi e produrre documentazione. Secondo Vincenzo Calabrò, ISO del Ministero dell’Interno, il vero salto di qualità è rappresentato dall’adozione di un approccio risk-based: «La compliance normativa fine a sé stessa non ha mai innalzato realmente il livello di sicurezza. L’approccio basato sul rischio è invece quello che consente di misurare e migliorare concretamente la propria postura di sicurezza: è un percorso graduale che coinvolge necessariamente tutte le anime dell’amministrazione, non solo l’IT» ha detto Vincenzo Calabrò.
Anche Silvio Siano, CISO di ANM – Azienda Napoletana Mobilità, ha sottolineato come la cybersecurity stia progressivamente uscendo dall’ambito tecnico per entrare nei processi decisionali: «La cybersecurity sta diventando un tema di governance. Il rischio cyber è un rischio operativo e di business e come tale deve essere trattato» ha detto Silvio Siano.
La responsabilità del management cambia le priorità
Tra gli elementi più innovativi introdotti dalla NIS2 vi è il coinvolgimento diretto del top management. Le responsabilità attribuite agli organi direttivi stanno contribuendo ad aumentare l’attenzione verso il rischio informatico e a favorire investimenti più strutturati. Per Stefano Scaramuzzino, CISO di ASL Roma 1 e ASL Roma 5, il passaggio fondamentale è proprio questo: «Quando la responsabilità diventa civile e penale per la direzione strategica, allora la sicurezza entra realmente nell’agenda del management» ha detto Stefano Scaramuzzino.
La normativa sta inoltre imponendo alle organizzazioni di conoscere meglio il proprio patrimonio digitale, dagli asset tecnologici ai servizi critici, fino alla catena dei fornitori. Un cambiamento che richiede una visione più ampia e una maggiore capacità di governo dell’intero ecosistema digitale.
Resilienza e continuità dei servizi pubblici
La vera sfida non consiste nell’evitare completamente gli incidenti, ma nel garantire la continuità operativa anche quando un attacco si verifica. Vittorio Baiocco, responsabile Sicurezza ICT e Security Operation Center di INAIL, ha evidenziato come la parola chiave della NIS2 sia resilienza: «La direttiva non chiede semplicemente di essere conformi, ma di essere resilienti e di dimostrare concretamente come i processi di sicurezza siano stati implementati e funzionino realmente» ha detto Vittorio Baiocco.
Lo stesso concetto emerge nell’intervento di Alessio Antolini, CISO di AMA, che ha sottolineato come la sicurezza sia ormai una condizione essenziale per l’operatività delle organizzazioni: «Non stiamo più parlando di un problema che interessa l’IT, ma di un tema che riguarda l’esistenza stessa dell’azienda e la capacità di continuare a erogare servizi» ha detto Alessio Antolini.
Oltre la resilienza: il paradigma dell’antifragilità
Nel dibattito è mersa una visione ancora più evoluta della sicurezza. Enrico Maresca, Director of Information Security del Ministero della Giustizia, ha proposto infatti il concetto di antifragilità. «Non si tratta più soltanto di essere resilienti. Gli incidenti accadono e continueranno ad accadere. L’obiettivo deve essere imparare da ogni incidente e rafforzare il sistema grazie all’esperienza maturata» ha detto Enrico Maresca.
Secondo Maresca, esercitazioni periodiche, simulazioni di attacco e attività di verifica continua consentono alle organizzazioni di individuare vulnerabilità e criticità prima che quest’ultime siano sfruttate da un attaccante reale. Un approccio che assume particolare rilevanza in un contesto caratterizzato dall’accelerazione delle minacce favorita anche dall’intelligenza artificiale.
Supply chain e nuovi obblighi di governance
Un altro tema centrale riguarda la sicurezza della supply chain. La NIS2 richiede alle organizzazioni di conoscere non soltanto i propri sistemi, ma anche i fornitori che contribuiscono all’erogazione dei servizi essenziali. Fabio De Paolis, Responsabile Datacenter & Security Operation Center della Regione Campania, ha evidenziato come la normativa stia guidando un percorso di crescente consapevolezza: «Oggi non guardiamo più il fornitore soltanto dal punto di vista amministrativo. Dobbiamo comprendere il contesto tecnologico della fornitura e i rischi che essa introduce» ha detto Fabio De Paolis.
La sicurezza diventa quindi un concetto sistemico, che coinvolge organizzazioni, partner tecnologici e fornitori in un ecosistema sempre più interconnesso.
Cultura della sicurezza: la sfida più difficile
Tutti i partecipanti concordano sul fatto che la tecnologia, da sola, non sia sufficiente. Il fattore umano continua a rappresentare una delle principali superfici di rischio, ma anche una risorsa fondamentale per la difesa. Vittorio Baiocco ha osservato come l’utente non debba più essere considerato l’anello debole della catena: «Con una formazione adeguata può diventare un alleato prezioso nella prevenzione degli attacchi» ha detto Baiocco. La consapevolezza, tuttavia, cresce soprattutto quando gli incidenti diventano tangibili. Come ha osservato Vincenzo Calabrò, spesso sono proprio i blocchi operativi e le interruzioni dei servizi a far comprendere concretamente il valore della sicurezza.
Verso ecosistemi condivisi di cybersecurity
Per le amministrazioni più piccole il problema principale resta la carenza di competenze e risorse. Da qui l’importanza di modelli collaborativi basati su Security Operation Center condivisi, CSIRT regionali e servizi di supporto centralizzati. La Regione Campania rappresenta un esempio concreto di questa evoluzione. Attraverso il proprio CSIRT regionale sta supportando oltre venti enti territoriali, fornendo assistenza nella gestione degli incidenti, attività di formazione e iniziative di red teaming. L’obiettivo per il futuro è creare una rete di competenze che permetta anche alle organizzazioni meno strutturate di affrontare minacce sempre più sofisticate.
