Axis Cybersecurity Summit 2023: la sicurezza informatica, una responsabilità condivisa

“L’evento italiano ha chiuso un ciclo di incontri organizzati in tutto il Sud Europa, che ha preso il via a Parigi lo scorso giugno: l’obiettivo è ragionare tra addetti ai lavori e fare sensibilizzazione su una tematica attuale, ma complessa, quale appunto la cybersecurity nei sistemi di sicurezza fisici. Quindi, ringrazio tutti i nostri ospiti per aver condiviso i loro punti di vista e il loro know-how”.

Con queste parole Matteo Scomegna, Regional Director per il Sud Europa di Axis commenta l’Axis Cybersecurity Summit 2023, l’evento dedicato alla cybersecurity nei sistemi di sicurezza fisica, patrocinato dalle associazioni AIPSA e ANIE Sicurezza, andato in scena lo scorso 8 giugno presso gli uffici di Microsoft Italia a Roma e Milano in parallelo, in collegamento live streaming.

“La sicurezza informatica - prosegue - è una responsabilità condivisa tra produttori, system integrator e utenti finali: richiede l'implementazione delle migliori pratiche e tecnologie, nonché una vigilanza e una manutenzione continua. Affidarsi a partner tecnologicamente avanzati e in grado di avere una visione a lungo termine delle nuove minacce farà la differenza in un settore in continua trasformazione come il nostro”.

L’iniziativa ha riunito i principali player nazionali e internazionali, per fare il punto sullo stato attuale della cybersecurity nei sistemi di sicurezza fisica pubblici e privati.

Preoccupazione crescente e definizione delle responsabilità

Il settore sta attraversando un momento cruciale: in base a uno studio condotto da Axis Communications, che ha coinvolto 1.200 organizzazioni mondiali attive in 14 settori, stanno infatti emergendo una serie di sfide che, rafforzandosi a vicenda, renderanno il panorama della cybersecurity più rischioso e complesso. La cybersecurity non rappresenta un “semplice” problema informatico, è ora divenuto una sfida centrale per la gestione dei rischi e delle prestazioni aziendali, richiedendo di conseguenza la massima attenzione da parte del management aziendale.

Le macro-sfide individuate da Axis

Un ruolo essenziale è giocato dall'aumento dell’utilizzo del digitale, accelerato dalla pandemia, che ha portato con sé un maggiore impiego di forza lavoro da remoto e quindi un numero più elevato di dispositivi al di fuori del perimetro aziendale da dover tenere sotto controllo. In questo scenario, le organizzazioni devono anche fare i conti con lo scontro tra fisico e digitale, con gli asset fisici connessi digitalmente che espongono le infrastrutture strategiche ad un maggior rischio di attacchi. Anche l’emergere di nuove tecnologie, quali Al, loT, multi-cloud e 5G, contribuisce a creare ulteriori vulnerabilità informatiche, fornendo armi più avanzate al cybercrime.

Va sottolineato inoltre che gli hacker stanno diventando sempre più smart e meglio organizzati e le organizzazioni più complesse, con l’evolversi della platform economy, in ecosistemi costituiti da reti sempre più elaborate di partner e fornitori. Le aziende devono infine misurarsi con la nuova ondata di volatilità portata dall’attuale scenario geopolitico e la crescente complessità normativa.

Una priorità per ogni azienda

In un simile contesto, si intuisce quindi facilmente che la sicurezza informatica non può che rappresentare una priorità per le aziende di ogni settore. Ma come si stanno muovendo le organizzazioni, per tutelarsi dagli attacchi informatici?

Durante il suo intervento all’Axis Cybersecurity Summit, Roberto Setola, Professore Ordinario all’Università Campus Bio-Medico di Roma, ha provato a rispondere a questa domanda, analizzando in particolare i requisiti presenti nei capitolati di gara in tema di cybersecurity.  

“Quello che appare premiante, nella scelta di un fornitore di sicurezza informatica, è la capacità da parte dello stesso di gestire in modo adeguato tutti gli aspetti di cybersecurity, grazie all’adozione di un adeguato modello organizzativo che preveda chiare responsabilità e procedure”.

Quadro normativo in continua evoluzione, tra passato e prospettive future

Una delle macrotendenze più significative in tema di cybersecurity è l’esplosione normativa: dal 2016 ad oggi, una serie di regolamentazioni hanno infatti cercato di fare ordine in merito su scala europea. In occasione del summit Axis, il Presidente di Clusit Gabriele Faggioli, ha riepilogato le principali:

• La Direttiva NIS I del 6 luglio 2016, che il 18 ottobre 2024 sarà abrogata e sostituita dalla Direttiva NIS II, definisce le misure necessarie per garantire in Europa un elevato livello di sicurezza delle reti e dei sistemi informativi dell’Unione e impone agli stati di dotarsi di una strategia in materia di cybersicurezza, lasciando ad ogni singolo Paese le modalità di attuazione; 

• La Direttiva CER sulla resilienza dei soggetti critici, presentata nel 2022, definisce un quadro a livello UE volto a rafforzare la resilienza dei soggetti critici nel mercato interno a fronte di una serie di minacce (es. attacchi terroristici, emergenze sanitarie, rischi naturali) stabilendo norme minime armonizzate per assistere tali soggetti mediante misure di sostegno e di vigilanza coerenti e dedicate; 

• Il Regolamento DORA, relativo alla resilienza operativa digitale per il settore finanziario, entrato in vigore il 17 gennaio 2023 e pienamente applicabile dal 17 gennaio 2025, nasce dall’esigenza di implementare in modo efficace sistemi di gestione dei rischi, con particolare focus sulle tecnologie dell’informazione e della comunicazione (identificate con il termine di TIC) introducendo obblighi di governance e di sicurezza cui le diverse entità̀ finanziarie vanno incontro. 

Tra le proposte di regolamento ancora in discussione, si segnala il Cyber Resilience Act, relativo ai requisiti orizzontali di cybersicurezza per i prodotti con elementi digitali, e il Cyber Solidarity Act, relativo alla creazione di misure per migliorare la preparazione, l’individuazione e la risposta alle minacce e agli incidenti di cybersicurezza in tutta l’Unione.