giovedì, 23 maggio 2024

Articoli

La resilienza come tema normativo: cosa cambia per la sicurezza?

18/07/2023

Alvise Biffi (Vicepresidente di Assolombarda); Alessandro Bove (Ricercatore di tecnica e pianificazione urbanistica, Università di Padova); Giulio Iucci (Presidente di ANIE Sicurezza); Alessandro Manfredini (Presidente di AIPSA); Pierluigi Perri (Avvocato, Professore di Sicurezza informatica, privacy e protezione dei dati sensibili, Università Statale di Milano): questo il profilo del panel per il talk show che ha aperto l’edizione 2023 di secsolutionforum lo scorso 26 Aprile. Titolo dello scambio: “La resilienza diventa un tema normativo: cosa cambia per la sicurezza fisica e logica in un contesto dai contorni economico-politici indefiniti?”

di Ilaria Garaffoni

I relatori - membri del Comitato Scientifico dell’evento - si sono confrontati sul tema della resilienza, in tutte le sue declinazioni, compresa quella normativa, e sugli accadimenti e le tendenze che stanno determinando i cambiamenti di maggiore impatto nel settore della sicurezza. Dal ruolo delle normative nazionali e sovranazionali alle riflessioni su cybersecurity e intelligenza artificiale, trend topic del settore sicurezza fisica, dal problema emergente della mancanza di competenze ai mutamenti di mercato che frenano lo sviluppo del comparto. 

Quali normative (nazionali e sovranazionali, anche partendo dall’ICT – es cyber resilience act, NIS 2 o DORA, o altri settori - es. riforma appalti, direttiva ESG) hanno portato o porteranno i cambiamenti più rilevanti per il settore della sicurezza fisica e perché? In un contesto economico-politico sempre più fluido e impalpabile, emanare normative più stringenti non rappresenterà solo l’ennesimo balzello ai danni delle imprese? Come uscire cioè dalla logica della mera compliance per entrare in una dinamica volta a produrre vera sicurezza nel paese?

ALESSANDRO MANFREDINI

La cyber security si annovera tra le sfide più importanti anche per l’agenda governativa italiana. Si tratta di un panorama normativo complesso che si è evoluto con forza negli ultimi anni sia in ambito europeo, sia nei vari ordinamenti nazionali. L’intera impalcatura della sicurezza informatica in UE nasce con il GDPR, vero caposaldo normativo con riferimento al trattamento dei dati. È poi seguita la direttiva NIS, che ha allargato le tematiche alla sicurezza e alla continuità dei servizi essenziali e di pubblica utilità. Il terzo pilastro è ora il cyber resilience act, che deve ancora riverberare le proprie conseguenze sul mercato. Il CRA consentirà di avere certificazioni di prodotti e servizi che, nella ratio del legislatore, dovrebbero elevare la sicurezza nella supply chain. Una pluralità di norme che non deve tuttavia spostare il nostro focus, che non è fare compliance ma produrre sicurezza. E poiché la sicurezza è un processo, il tema dei requisiti rappresenta solo uno degli aspetti da prendere in considerazione, che abbracciano anche le tecnologie e le persone: estrema attenzione, dunque, alla formazione e a creare maggiore awareness sui rischi e sui comportamenti virtuosi. 

ALVISE BIFFI 

Il quadro politico e strategico tracciato dall’UE è stato pensato per uscire dalla logica della compliance ed entrare nella concretezza: da una generica discussione sui dati si è infatti passati ad  individuare gli OSE (Operatori di servizi essenziali) e con la NIS 2 si sono allargate le tematiche di sicurezza anche alla supply chain collegata; infine il CRA sta fornendo riferimenti chiari in termini di prodotti e servizi. Il segnale del cambio di passo, ossia che non si tratta più di “scattoffie e compliance”, è che sono stati introdotti gli organismi di controllo: in Italia, oltre all’agenda della cyber security nazionale, è già attivo il centro di valutazione e certificazione nazionale (CVCN) e si sta sviluppando una rete granulare di laboratori accreditati di prova che supportino il centro nelle analisi della messa in pratica dei requisiti del quadro normativo. A loro volta i laboratori sono inseriti in un quadro di cooperazione europea coordinata dall’ENISA (Agenzia dell’Unione europea per la cibersicurezza) e dai centri europei di valutazione accreditati. Questa rete di strutture non è riflesso di un irrigidimento burocratico: al contrario, rappresenta una rete a supporto degli OSE che opera ben prima che si possa ottenere il “bollino di certificazione”. E una volta che gli OSE avranno prodotto case history di peso, la supply chain avrà un tessuto già pronto (prima che entri in vigore il CRA) per parlare di competitività strategica più che di mera compliance.

GIULIO IUCCI

La resilienza rappresenta la capacità di un materiale di ritornare al proprio assetto dopo uno choc, ma non implica anche la necessità di tenere memoria di ciò che è accaduto. Dunque, se la resilienza non serve ad imparare qualcosa di nuovo, non è una caratteristica evolutiva. E quali sono stati gli choc di quest’anno? Ripetuti attacchi cyber e un quadro normativo che impatta sull’imprenditoria con la consueta logica di pena vs. premio (se non mi adeguo sono sanzionato, ma se mi adeguo sono più performante o vinco una gara). Il tema della sicurezza cyber è ormai dunque inderogabile per una resilienza evolutiva: il CRA impone ai produttori di software e hardware di sicurezza fisica di essere performanti anche sul piano della sicurezza logica. Ma l’UE va oltre: il tema dell’accountability, ossia la responsabilità dell’imprenditore-produttore, incide non solo sul piano della logica premio/pena ma anche sulla competenza e sulla capacità negoziale sul mercato, offrendo un vantaggio competitivo. Serve un salto di qualità da parte di tutti noi: il primo – umanissimo - approccio sarà quello di vivere queste norme come l’ennesimo balzello ai danni delle imprese, ma una volta acquisita consapevolezza, starà al mercato trasformare questa sfida in elemento di competitività. Io sono fiducioso.

PIERLUIGI PERRI

Una caratteristica comune a tutte le norme citate è che organizzano dei processi di sicurezza. Il GDPR ha introdotto delle novità che sono poi state seguite come linee guida anche in materia di sicurezza sia fisica che logica dei prodotti. Il primo è il già citato requisito dell’accountability: se prima si indicavano degli adempimenti specifici (senza tenere tuttavia conto delle differenze tra le realtà che dovevano metterle in campo), con il GDPR ci si riferisce ad un generale dovere di responsabilizzazione. Un elemento però troppo ampio e che rischiava di diventare una probatio diabolica in un mondo governato da dati, con un catalogo di rischi indefinito e una quantità di strumenti e possibilità di combinazioni infinite. Benissimo quindi il CRA, che con la certificazione perimetra questa responsabilità parlando di certificazioni. Quanto al bilanciamento compliance/competitività, ritengo che sul piano del valore siamo ancora in fase embrionale, non foss’altro perché le normative devono ancora essere rese applicative. Però, senza arrivare allo stress test dell’incidente, il valore dovrebbe essere già percepito per il semplice fatto che un ambiente dove tutti partono sicuri, deve per forza essere un ambiente più robusto. A vantaggio di tutti. 

ALESSANDRO BOVE

Per noi ingegneri le normative sono sempre un’incognita, perché vanno interpretate e possono creare casualità che imprevedibili a priori, soprattutto se si tratta di norme innovative che richiedono tempo per calarsi in scenari complessi come può essere la città. Da urbanista, mi occupo delle città come realtà complesse dove safety, security e sicurezza cyber si intrecciano indissolubilmente.Il PNRR stanzia dei fondi per la sicurezza urbana ma richiede un approccio molto attento a come viene strutturata la proposta: dai requisiti del progetto alle certificazioni, dalla capacità di generare impatti multipli e interralati, fino al monitoraggio. In questo campo molto dipende dall’interfaccia fisica: si può trovare un amministratore evoluto o uno statico.E molto dipende dalla sensibilità dei cittadini e prima ancora dei referenti nelle PA che con queste tecnologie devono interagire. Il tema della crisi delle competenze diventa dunque, soprattutto nella PA, un elemento cruciale. E la responsabilità per la cyber, che è in capo a chi amministra la PA, non vede quasi mai la presenza di un tecnico ai vertici. Non a caso tra gli ingegneri si ragiona sulla possibilità di candidarsi come referenti per la PA non solo per la safety ma anche per la security. 



Tutti gli articoli

secsolutionforum
DIGITAL EVENT
17-18-19 aprile 2024

unico appuntamento digitale della sicurezza

Dedicato ai professionisti della sicurezza al tempo della "Phygital Security", dove non esistono più confini tra sicurezza fisica e logica.
L'evento digitale di tre giorni si conferma, di edizione in edizione, come vero e proprio aggregatore di interessi e di contenuti, di idee e persone, di professionisti, competenze e mercato.
Un polo di formazione e confronto per fare cultura di settore e promuovere la crescita e la professionalità degli operatori della sicurezza in un'epoca contraddistinta da gravi elementi di incertezza e complessità.

La partecipazione agli incontri on line è gratuita

Secsolutionforum.it

I video secsolutionforum

EEA Security a secsolutionforum 2024
EEA Security partecipa al Live Event secsolutionforum 2024

Aura Sicurezza a secsolutionforum 2024
Aura Sicurezza partecipa al Live Event secsolutionforum 2024

Wolfsafety a secsolutionforum 2024
Wolfsafety partecipa al Live Event secsolutionforum 2024

PB Elettronica a secsolutionforum 2024
PB Elettronica partecipa al Live Event secsolutionforum 2024

Muscope Cybersecurity a secsolutionforum 2024
Muscope Cybersecurity partecipa al Live Event secsolutionforum 2024

SKP Technology a secsolutionforum 2024
SKP Technology partecipa al Live Event secsolutionforum 2024

Crisma Security a secsolutionforum 2024
Crisma Security partecipa al Live Event secsolutionforum 2024

Genetec a secsolutionforum 2024
Genetec partecipa al Live Event secsolutionforum 2024

AVS electronics a secsolutionforum 2024
AVS electronics partecipa al Live Event secsolutionforum 2024

Motorola Solutions a secsolutionforum 2024
Motorola Solutions partecipa al Live Event secsolutionforum 2024

articoli secsolutionforum

secsolutionforum 2024: 1100 volte grazie
21/05/2024
della Redazione secsolutionforum2024 è stato una vera e propria cavalcata digitale tra i temi più...

cyber & privacy forum: la cyber security incontra la protezione dati
20/11/2023
Per favorire lo sviluppo di una cultura comune incentrata sulla sicurezza e sulla protezione dei dati,...

Nuove sfide dell’antintrusione in un mondo sempre più fluido
27/09/2023
Nuove sfide dell’antintrusione in un mondo sempre più fluido: produttori, distributori e integratori...

La videosorveglianza fa i conti con il consolidamento di mercato
20/09/2023
Nuove sfide della videosorveglianza in un mondo sempre più fluido: produttori, distributori e integratori...

La resilienza come tema normativo: cosa cambia per la sicurezza?
18/07/2023
Alvise Biffi (Vicepresidente di Assolombarda); Alessandro Bove (Ricercatore di tecnica e pianificazione...

secsolutionforum: crescita dell’evento e del comparto tutto
13/07/2023
La crescita del comparto c’è e si riscontra anche nell’interesse e nel seguito (oltre...

Secsolutionforum 2023: phygital security, e oltre
23/03/2023
Dal 26 al 28 aprile 2023 torma secsolutionforum, l’annuale ed atteso evento digitale rivolto...

Videosorveglianza e privacy: l’esperta risponde
02/02/2023
di Roberta Rapicavoli - Avvocato esperto in Information Technology e privacy e Docente Ethos Academy La...

Smart City tra progettazione, trasformazione digitale e privacy
05/10/2022
della Redazione Nel seminario che si è tenuto a secsolutionforum2022 dedicato alla sicurezza urbana...

Una certezza per il comparto: torna secsolutionforum digitale
19/09/2022
della Redazione secsolutionforum, il primo e unico evento digitale della sicurezza, è e si conferma...

interviste secsolutionforum

Nuovo Codice Appalti a secsolutionforum
04/04/2023
Intervista a Luca Leccisotti, Formatore manageriale della PA, esperto in appalti e procedure di gara telematiche

I dati come oggetto di valore
19/04/2022
Intervista a Pierluigi Perri, Avvocato, Professore di "Sicurezza informatica, privacy e protezione dei dati sensibili", Università Statale di Milano

VIMAR, edifici più connessi, integrati, smart. E più sicuri
04/09/2020
Intervista a Stefano Paradisi, Category Specialist Security di VIMAR