La resilienza come tema normativo: cosa cambia per la sicurezza?

Alvise Biffi (Vicepresidente di Assolombarda); Alessandro Bove (Ricercatore di tecnica e pianificazione urbanistica, Università di Padova); Giulio Iucci (Presidente di ANIE Sicurezza); Alessandro Manfredini (Presidente di AIPSA); Pierluigi Perri (Avvocato, Professore di Sicurezza informatica, privacy e protezione dei dati sensibili, Università Statale di Milano): questo il profilo del panel per il talk show che ha aperto l’edizione 2023 di secsolutionforum lo scorso 26 Aprile. Titolo dello scambio: “La resilienza diventa un tema normativo: cosa cambia per la sicurezza fisica e logica in un contesto dai contorni economico-politici indefiniti?”

di Ilaria Garaffoni

I relatori - membri del Comitato Scientifico dell’evento - si sono confrontati sul tema della resilienza, in tutte le sue declinazioni, compresa quella normativa, e sugli accadimenti e le tendenze che stanno determinando i cambiamenti di maggiore impatto nel settore della sicurezza. Dal ruolo delle normative nazionali e sovranazionali alle riflessioni su cybersecurity e intelligenza artificiale, trend topic del settore sicurezza fisica, dal problema emergente della mancanza di competenze ai mutamenti di mercato che frenano lo sviluppo del comparto. 

Quali normative (nazionali e sovranazionali, anche partendo dall’ICT – es cyber resilience act, NIS 2 o DORA, o altri settori - es. riforma appalti, direttiva ESG) hanno portato o porteranno i cambiamenti più rilevanti per il settore della sicurezza fisica e perché? In un contesto economico-politico sempre più fluido e impalpabile, emanare normative più stringenti non rappresenterà solo l’ennesimo balzello ai danni delle imprese? Come uscire cioè dalla logica della mera compliance per entrare in una dinamica volta a produrre vera sicurezza nel paese?

ALESSANDRO MANFREDINI

La cyber security si annovera tra le sfide più importanti anche per l’agenda governativa italiana. Si tratta di un panorama normativo complesso che si è evoluto con forza negli ultimi anni sia in ambito europeo, sia nei vari ordinamenti nazionali. L’intera impalcatura della sicurezza informatica in UE nasce con il GDPR, vero caposaldo normativo con riferimento al trattamento dei dati. È poi seguita la direttiva NIS, che ha allargato le tematiche alla sicurezza e alla continuità dei servizi essenziali e di pubblica utilità. Il terzo pilastro è ora il cyber resilience act, che deve ancora riverberare le proprie conseguenze sul mercato. Il CRA consentirà di avere certificazioni di prodotti e servizi che, nella ratio del legislatore, dovrebbero elevare la sicurezza nella supply chain. Una pluralità di norme che non deve tuttavia spostare il nostro focus, che non è fare compliance ma produrre sicurezza. E poiché la sicurezza è un processo, il tema dei requisiti rappresenta solo uno degli aspetti da prendere in considerazione, che abbracciano anche le tecnologie e le persone: estrema attenzione, dunque, alla formazione e a creare maggiore awareness sui rischi e sui comportamenti virtuosi. 

ALVISE BIFFI 

Il quadro politico e strategico tracciato dall’UE è stato pensato per uscire dalla logica della compliance ed entrare nella concretezza: da una generica discussione sui dati si è infatti passati ad  individuare gli OSE (Operatori di servizi essenziali) e con la NIS 2 si sono allargate le tematiche di sicurezza anche alla supply chain collegata; infine il CRA sta fornendo riferimenti chiari in termini di prodotti e servizi. Il segnale del cambio di passo, ossia che non si tratta più di “scattoffie e compliance”, è che sono stati introdotti gli organismi di controllo: in Italia, oltre all’agenda della cyber security nazionale, è già attivo il centro di valutazione e certificazione nazionale (CVCN) e si sta sviluppando una rete granulare di laboratori accreditati di prova che supportino il centro nelle analisi della messa in pratica dei requisiti del quadro normativo. A loro volta i laboratori sono inseriti in un quadro di cooperazione europea coordinata dall’ENISA (Agenzia dell’Unione europea per la cibersicurezza) e dai centri europei di valutazione accreditati. Questa rete di strutture non è riflesso di un irrigidimento burocratico: al contrario, rappresenta una rete a supporto degli OSE che opera ben prima che si possa ottenere il “bollino di certificazione”. E una volta che gli OSE avranno prodotto case history di peso, la supply chain avrà un tessuto già pronto (prima che entri in vigore il CRA) per parlare di competitività strategica più che di mera compliance.

GIULIO IUCCI

La resilienza rappresenta la capacità di un materiale di ritornare al proprio assetto dopo uno choc, ma non implica anche la necessità di tenere memoria di ciò che è accaduto. Dunque, se la resilienza non serve ad imparare qualcosa di nuovo, non è una caratteristica evolutiva. E quali sono stati gli choc di quest’anno? Ripetuti attacchi cyber e un quadro normativo che impatta sull’imprenditoria con la consueta logica di pena vs. premio (se non mi adeguo sono sanzionato, ma se mi adeguo sono più performante o vinco una gara). Il tema della sicurezza cyber è ormai dunque inderogabile per una resilienza evolutiva: il CRA impone ai produttori di software e hardware di sicurezza fisica di essere performanti anche sul piano della sicurezza logica. Ma l’UE va oltre: il tema dell’accountability, ossia la responsabilità dell’imprenditore-produttore, incide non solo sul piano della logica premio/pena ma anche sulla competenza e sulla capacità negoziale sul mercato, offrendo un vantaggio competitivo. Serve un salto di qualità da parte di tutti noi: il primo – umanissimo - approccio sarà quello di vivere queste norme come l’ennesimo balzello ai danni delle imprese, ma una volta acquisita consapevolezza, starà al mercato trasformare questa sfida in elemento di competitività. Io sono fiducioso.

PIERLUIGI PERRI

Una caratteristica comune a tutte le norme citate è che organizzano dei processi di sicurezza. Il GDPR ha introdotto delle novità che sono poi state seguite come linee guida anche in materia di sicurezza sia fisica che logica dei prodotti. Il primo è il già citato requisito dell’accountability: se prima si indicavano degli adempimenti specifici (senza tenere tuttavia conto delle differenze tra le realtà che dovevano metterle in campo), con il GDPR ci si riferisce ad un generale dovere di responsabilizzazione. Un elemento però troppo ampio e che rischiava di diventare una probatio diabolica in un mondo governato da dati, con un catalogo di rischi indefinito e una quantità di strumenti e possibilità di combinazioni infinite. Benissimo quindi il CRA, che con la certificazione perimetra questa responsabilità parlando di certificazioni. Quanto al bilanciamento compliance/competitività, ritengo che sul piano del valore siamo ancora in fase embrionale, non foss’altro perché le normative devono ancora essere rese applicative. Però, senza arrivare allo stress test dell’incidente, il valore dovrebbe essere già percepito per il semplice fatto che un ambiente dove tutti partono sicuri, deve per forza essere un ambiente più robusto. A vantaggio di tutti. 

ALESSANDRO BOVE

Per noi ingegneri le normative sono sempre un’incognita, perché vanno interpretate e possono creare casualità che imprevedibili a priori, soprattutto se si tratta di norme innovative che richiedono tempo per calarsi in scenari complessi come può essere la città. Da urbanista, mi occupo delle città come realtà complesse dove safety, security e sicurezza cyber si intrecciano indissolubilmente.Il PNRR stanzia dei fondi per la sicurezza urbana ma richiede un approccio molto attento a come viene strutturata la proposta: dai requisiti del progetto alle certificazioni, dalla capacità di generare impatti multipli e interralati, fino al monitoraggio. In questo campo molto dipende dall’interfaccia fisica: si può trovare un amministratore evoluto o uno statico.E molto dipende dalla sensibilità dei cittadini e prima ancora dei referenti nelle PA che con queste tecnologie devono interagire. Il tema della crisi delle competenze diventa dunque, soprattutto nella PA, un elemento cruciale. E la responsabilità per la cyber, che è in capo a chi amministra la PA, non vede quasi mai la presenza di un tecnico ai vertici. Non a caso tra gli ingegneri si ragiona sulla possibilità di candidarsi come referenti per la PA non solo per la safety ma anche per la security.