La seconda tappa della campagna istituzionale di ACN per proteggere le piccole e medie imprese (PMI) dai rischi informatici si è svolta a Cosenza.
Lo scorso febbraio, presso la sede di Confindustria Cosenza e il Digital Innovation Hub Calabria, si è svolta la seconda tappa del Roadshow PMI, la campagna istituzionale per sensibilizzare le piccole e medie imprese italiane sui rischi informatici. L'iniziativa è promossa dall'Agenzia per la Cybersicurezza Nazionale (ACN) e dal Dipartimento per l'Informazione e l'Editoria della Presidenza del Consiglio dei ministri, in attuazione della misura #71 della Strategia Nazionale di Cybersicurezza.
"Accendiamo la cybersicurezza. Proteggiamo le nostre imprese", è stato al centro dell'intervento di Francesco Carioti, Capo della Divisione Affari Istituzionali di ACN. «Le aziende devono essere consapevoli della propria postura cibernetica», ha affermato, evidenziando il ruolo importante di ACN nel diffondere la conoscenza riguardo ai fondi nazionali ed europei disponibili per costruire la resilienza aziendale.
A tal proposito, ha ricordato che l'ACN, in collaborazione con il Consorzio Cyber 4.0, ha vinto il progetto europeo "SECURE", finanziato dalla Commissione Europea attraverso lo European Cybersecurity Competence Center. Questo progetto, con un budget totale di 16,5 milioni destinati alle PMI europee, mira a supportare le aziende nel migliorare la propria resilienza cibernetica e garantire la conformità al Cyber Resilience Act.
Le risorse saranno distribuite attraverso finanziamenti e bandi aperti, pubblicati nella piattaforma creata dal Consorzio Cyber 4.0, attraverso la quale è possibile accedere alle informazioni e iscriversi per richiedere i fondi disponibili.
La cybersicurezza: una priorità per tutti
«La cybersicurezza non riguarda solo le imprese, ma la vita di tutti noi», ha affermato Valentina Lo Voi, Vice Capo Divisione Consapevolezza dell'Agenzia per la Cybersicurezza Nazionale (ACN). «Per le PMI, consapevolezza significa riconoscere le proprie vulnerabilità e fragilità nel campo cyber». È fondamentale, quindi, investire in questo ambito. «Sottolineo 'investire' non vuol dire 'spendere': è necessario un cambio di mentalità, poiché investire in cybersicurezza rappresenta un guadagno per le imprese».
CSIRT Italia: il ruolo operativo nella gestione degli incidenti cyber
«A livello operativo, siamo quella che si potrebbe definire 'la prima linea’ dell’Agenzia per la Cybersicurezza Nazionale (ACN). Il nostro compito è quello di prevenire e reagire in caso di incidenti conclamati», ha spiegato Aldo Di Somma, Vice Capo Divisione dello CSIRT Italia. «Lo CSIRT è parte del Servizio Operazioni e Gestione delle Crisi Cyber ed è suddiviso in diverse sezioni, ciascuna con specifiche competenze».
«Tutto parte dalle notifiche che riceviamo», ha continuato Di Somma. «Secondo la direttiva NIS2, un incidente è un evento che compromette la disponibilità, l'autenticità, l'integrità o la riservatezza dei dati. Se un evento compromette anche solo uno di questi aspetti, viene classificato come incidente. Diventa un 'incidente significativo' se provoca una grave perturbazione dei servizi o ha un impatto rilevante su persone fisiche o giuridiche».
«La NIS - ha proseguito il Vice Capo Divisione -, ha ampliato il perimetro degli obblighi di notifica, estendendoli a un numero maggiore di soggetti e aziende. La segnalazione tempestiva è fondamentale. L'intero sistema si basa sulla raccolta e condivisione di informazioni: capire come funziona un attacco e diffondere queste conoscenze consente di migliorare le difese di tutti. Questo è il meccanismo virtuoso della sicurezza informatica. È quindi essenziale che tutti i soggetti rientranti nel perimetro NIS si registrino e, in caso di incidente, rispettino l’obbligo di segnalazione, attraverso il sito ACN».
Implementazione della direttiva NIS: obblighi e scadenze per la sicurezza IT
Il decreto legislativo 138/2004 recepisce la direttiva NIS2, imponendo nuovi obblighi per la sicurezza delle infrastrutture IT. «La normativa coinvolge 18 settori e oltre 80 tipologie di soggetti, estendendo la conformità all'intera struttura IT», ha spiegato Nicolò Rivetti di Val Cervo, Capo della Divisione NIS e discipline unionali del Servizio Regolazione.
«La sfida è graduare gli obblighi in base al rischio specifico», sottolineando che «gli obblighi di base orizzontali per tutti i soggetti NIS saranno adottati entro aprile 2025, con sanzioni per mancata notifica a partire da gennaio 2026». Ha, infine, ricordato che «il primo obbligo per i soggetti NIS è la registrazione, da completare entro il 28 febbraio 2025 con la designazione di un punto di contatto interno».
L'Agenzia per la Cybersicurezza Nazionale (ACN) ha reso disponibile sul proprio sito una sezione dedicata con materiali informativi e FAQ aggiornate.
Il professor Mario Caligiuri esperto ACN, ha evidenziato come la cybersecurity sia cruciale per prevenire minacce future. Internet domina le attività economiche globali, ma espone le imprese, aziende a rischi informatici sempre più sofisticati. La sicurezza digitale è un pilastro della sicurezza nazionale, supportata anche da un accordo tra l'ACN e il Ministero dell'Istruzione e del Merito per l'insegnamento della cybersicurezza nelle scuole.
Il convegno è stato aperto da Rossella Siriani di Confindustria Calabria e Fortunato Amarelli, Presidente del Digital Innovation Hub (DIH) Calabria.
