Il 16 aprile 2024 presso la Sala Leonardo si è tenuto il convegno dal titolo “NIS 2 e DORA: prospettive di compliance e risk management per le terze parti” promosso dal Centro Studi A.P.S.P. Associazione Prestatori di Servizi di Pagamento, in collaborazione con in Centro Studi Europeo (CSE), nell’ambito del protocollo di collaborazione recentemente sottoscritto.
Di grande importanza le relazioni introduttive con il collegamento da Bruxelles di Domenico Ferrara, Cybersecurity Officer EU ENISA, che ha analizzato i punti chiave, gli obiettivi, e gli impatti delle direttive NIS2 e DORA, con focus sulle novità e le principali differenze rispetto alle precedenti normative e in presenza di Marcello Albergoni, Vice Capo di Gabinetto dell’Agenzia per la Cybersicurezza Nazionale, il quale ha offerto ai partecipanti una breve analisi sull’importanza strategica del recepimento delle direttive per la resilienza e la sicurezza digitale delle imprese e dei corpi pubblici in Italia.
A questi interventi introduttivi, con la moderazione del dott. Vittorio Calaprice, hanno fatto seguito quelli degli altri autorevoli relatori: Rocco Mammoliti, CISO Poste Italiane e Componente del Board scientifico del CSE, Marco Braccioli, Group Sales Director Defense & Gov DigitalPlatforms e Componente del Board scientifico del CSE, Daniele Spelta, Head of Group Security & Cyber Frauds, CDP Cassa Depositi e Prestiti e Componente del Board scientifico del CSE, Andrea Trivelli, Direttore Vendite FSI, DGS S.p.A., Antonio di Ronza, Advisory Business Unit, Head of Cyber and Data Protection, DGS, Francesco Piero Dotti, Responsabile Training Center Service Now, DGS, il prof. Roberto Grattacaso, Presidente Federazione Italiana Risk Manager Aziendali, Selene Giupponi , Resecurity Inc. e Componente del Board scientifico del CSE e Cinzia Crostarosa, Engineer Leonardo Company e Componente del Board scientifico del CSE, che hanno illustrato attraverso use case efficaci le implicazioni del recepimento e dell’applicazione delle due normative.
l’Ing. Selene Giupponi, Segretario Generale del Capitolo Italiano di Women4cyber e Componente del Board scientifico del CSE, ha affrontato il tema della protezione della supply chain delle grandi aziende protette e regolamentate dalla NIS. Il dilemma da risolvere è come tutelare le PMI, portando l’esempio della Provincia di Latina, il cui fatturato ammonta ad 1 miliardo di euro complessivi; ed Enti Pubblici Locali di minori dimensioni, come i piccoli Comuni, che non ricadono sotto tale normativa, approntando una formazione e protezione specifiche, tagliate su misura per ciascun ente o azienda, pensando e promuovendo una forma “semplificata” in modo tale da coprire e mettere in sicurezza tutta la rete della catena industriale. Il panel è d’accordo sul metodo di diffusione della conoscenza ed istruzione di tali temi in materia, per risolvere gap culturali e problematiche che andrebbero affrontate convocandoli e riunendoli tutti in un luogo dove poter attuare una istruzione massiva e capillare.
l’Ing. Cinzia Crostarosa, vicepresidente della Commissione Elettronica e Microelettronica dell’Ordine degli Ingegneri di Roma, Leonardo Company Engineer e Componente del Board scientifico del CSE, ha trattato l’applicazione della nuova normativa NIS2 tramite dei “case study” di interesse nevralgico per la nazione, come ambienti operativi legati alla pubblica sicurezza oppure alla difesa militare, che approvvigionano i loro materiali elettronici da aziende civili (PMI). Inoltre ha affrontato il tema della sicurezza degli asset strategici delle piccole e medie imprese (PMI), per le quali si potrebbero utilizzare quadri normativi standard per la sicurezza delle informazioni, come l’ISO27001 o la NIST per prepararsi alla Direttiva NIS2, ossia identificare le lacune tecnologiche e dei processi, in modo di definire gli sforzi mirati alla conformità, mappando le aree di sicurezza dell’articolo 21 della Direttiva NIS2 rispetto ai corrispondenti domini di sicurezza ISO27001. In definitiva, ENISA raccomanderà ulteriori standard e framework di sicurezza per affrontare aree tecniche specifiche come IEC 62443 per la sicurezza OT e IoT. In tale contesto tecnologico per la sicurezza integrata si potrebbe usare un approccio Zero Trust per garantire l’univocità delle identità, ossia si parte dal presupposto che qualsiasi identità, umana o macchina, che abbia accesso alle applicazioni ed ai sistemi possa essere stata compromessa. La mentalità, che dà per scontata una violazione richiede una vigilanza e un approccio Zero Trust alla sicurezza, incentrato sulla sicurezza delle identità. Con la sicurezza delle identità come spina dorsale di un approccio Zero Trust, i team possono focalizzarsi sull’identificazione, l’isolamento e il contrasto alle minacce, che compromettono le identità e ne ottengono i privilegi, prima che possano fare danni ad asset strategici. Un tale approccio vuol dire effettuare la verifica di ogni utente, accertandosi che ogni utente sia chi afferma di essere con un’autenticazione forte, contestuale e basata sul rischio, per incrementare la sicurezza e migliorare l’esperienza utente.
La convalida ogni dispositivo limita enormemente la superficie di attacco, permettendo solo ai dispositivi registrati con un buon profilo di sicurezza di accedere alle risorse. In sintesi si devono limitare con intelligenza gli accessi privilegiati, concedendo l’accesso privilegiato nel momento preciso in cui è necessario, e poi rimuoverlo subito dopo.
In ambito industriale per applicazioni specifiche relative alla Supplychain della realtà produttiva farmaceutica o meccanica pesante, si potrebbe utilizzare la Blockchain per garantire l’autenticità e l’originalità delle componenti chimiche o del materiale prodotto.
Prima di tutto diciamo che Blockchain significa “catena di blocchi”, se ci si pensa si basa tutto sulla “Fiducia”. Facciamo un esempio per capire meglio. Comprereste una casa su internet? Probabilmente no. Ma per quale motivo? Se ci pensate non la comprereste proprio perché non vi fidate effettivamente di chi sia in realtà il venditore. Terribili pensieri vi assalirebbero. É rubata? É una truffa? Chi mi tutela? Esattamente il pensiero vola verso questa semplice domanda: chi mi protegge? Di chi mi posso fidare? Mi potrei fidare di un’Intelligenza Artificiale che mi vende un prodotto di elevato valore economico sul web?
Quindi in ambito industriale in cui un “data driven” fondamentale sarà nel prossimo futuro l’Intelligenza Artificiale (IA), per garantire l’immutabilità del data set d’ingresso all’IA si potrebbe ricorrere alla Blockchain, così da ottenere in origine la certificazione delle informazioni alla base dell’algoritmo. Ciò che consentirebbe di eliminare tanti di quei bias di cui si parla spesso, o comunque per garantire la certificazione dei risultati di output dell’AI e garantire la fiducia dell’utilizzatore finale.
In caso di incidente informatico o attacco cyber il dott. Marco Braccioli ha introdotto la figura del “pompiere digitale”, che conosce le figure istituzionali di riferimento, alle quali rivolgersi per risolvere la questione del danno economico e di immagine della PMI.
L’incontro ha rappresentato anche l’occasione di annunciare l’avvio della collaborazione tra il Centro Studi dell’Associazione APSP e IDH e il Centro Studi Europeo.
L’intento dei due centri di competenza è quello di mettere a fattor comune le capacità, le filiere e le idee così da creare nuove ed opportune sinergie da mettere a disposizione tanto del decisore pubblico tanto dei soggetti privati. Ciò vale sicuramente per quanto riguarda il supporto all’alfabetizzazione che da sempre è punto focale del centro studi APSP, che porta avanti nei confronti di pmi e istituzioni di ogni livello ma anche per il sostegno operativo alla digitalizzazione delle imprese: dal comparto delle procedure di incasso e pagamento a quello della sicurezza, dalla semplificazione alla possibilità di sondare nuovi mercati.
Entrambe le realtà lavoreranno congiuntamente al fine di smuovere l’Italia dalle ultime posizioni delle classifiche sulla digitalizzazione e sulla propensione delle pmi agli investimenti in digitale per il bene del Sistema nel suo insieme.
L’incontro, complice i temi trattati e gli autorevoli relatori intervenuti, ha visto la partecipazione di un pubblico qualificato e di alto profilo, che ha visto esponenti istituzionali (MEF, Ambasciata USA, Ministero degli Esteri), di università e centri di ricerca, dell’Istituto affari internazionali, di enti e di imprese strategiche come Leonardo, Cassa Depositi e Prestiti, Ferrovie dello Stato, Poste Italiane, Consip, Iccrea Agenzia per la Cybersicurezza Nazionale Poste Italiane CDP, Cassa Depositi e Prestiti, DGS S.p.A.