NIS 2, CER, DORA, Sicurezza Informatica e Resilienza: le Infrastrutture Critiche e la Normativa Europea

La Tavola Rotonda “Direttive NIS 2 e CER e Regolamento DORA, Sicurezza informatica e resilienza per le infrastrutture critiche”, che ha aperto la seconda giornata di lavori del Forum ICT Security 2024, è stata un’opportunità preziosa per analizzare i più recenti sviluppi normativi europei in materia.

Moderato da Paola Girdinio (Presidente del Centro di Competenza START 4.0 e dell’Osservatorio Nazionale per la Cyber Security, Resilienza e Business Continuity dei Sistemi Elettrici – Professore Ordinario di Elettrotecnica presso la Facoltà di Ingegneria dell’Università degli Studi di Genova), l’incontro si è svolto con la partecipazione di:

• Luisa Franchina, Presidente dell’Associazione Italiana esperti Infrastrutture Critiche;
• Rocco Mammoliti, Chief Information Security Officer del Gruppo Poste Italiane;
• Ivan Monti, Chief Information Security Officer (CISO) di Ansaldo Energia;
• Yuri Rassega, Head of Cyber Security (CISO) di Enel Group.

Il panel si è focalizzato sulle Direttive NIS 2 e CER (Critical Entities Resilience) e sul Regolamento DORA, esaminando in dettaglio le implicazioni sistemiche e le complesse sfide derivanti dalla loro implementazione, con una particolare attenzione al contesto italiano dove si stima che le nuove normative interesseranno oltre 50.000 aziende.

La convergenza delle normative: NIS 2, CER e DORA

Luisa Franchina ha aperto il dibattito evidenziando la necessità di un approccio integrato alla gestione delle direttive NIS 2 e CER. Nonostante queste normative siano state sviluppate da differenti istituzioni europee e perseguano obiettivi parzialmente diversi, entrambe mirano a rafforzare la sicurezza e la resilienza delle infrastrutture critiche, favorendo la convergenza tra dimensione fisica e digitale.

Nello specifico la Direttiva NIS 2 tende al rafforzamento della sicurezza delle infrastrutture digitali, mentre la CER si concentra principalmente sulla protezione delle infrastrutture fisiche: una duplice prospettiva che impone alle aziende di fronteggiare simultaneamente le sfide della sicurezza informatica e della resilienza fisica, adottando una visione sistemica nell’analisi del rischio nonché – ha ricordato Franchina – tenendo in attenta considerazione le sfide derivanti dal paradigma dual use.

La relatrice ha inoltre sottolineato come l’approccio sistemico richieda l’integrazione delle misure di sicurezza tra tutti gli attori della filiera, in modo da evitare discontinuità nella gestione del rischio e garantire una risposta coesa ed efficace in caso di incidenti.

Ciò implica la creazione di una rete di comunicazione continua e trasparente tra le diverse realtà pubbliche e private allo scopo di promuovere un approccio collaborativo alla gestione del rischio, ove non ci si limiti alla mera risposta alle emergenze per orientarsi invece al costante scambio di informazioni, best practice e aggiornamenti tra i differenti soggetti coinvolti.

Yuri Rassega, CISO di Enel, ha sottolineato la complessità delle normative europee e l’importanza di una continua evoluzione per adattarsi alle nuove sfide poste dal contesto tecnologico.

Ha poi evidenziato i concetti di sicurezza “by design” e “by default” richiamati dal Cyber Resilience Act (CRA), in base ai quali si impone che i prodotti digitali vengano progettati e sviluppati mantenendo la sicurezza come elemento intrinseco per tutto il loro ciclo di vita. Questo approccio mira non solo a ridurre la probabilità di vulnerabilità, ma anche a rafforzare la fiducia di utenti e clienti nei confronti delle tecnologie implementate.

Approfondendo le sfide pratiche che le organizzazioni devono affrontare per conformarsi a queste normative, Rassega ha insistito sulla necessità di armonizzare le normative esistenti e di standardizzare i processi che esse prevedono, al fine di evitare una frammentazione delle responsabilità che potrebbe indebolire l’efficacia della gestione della sicurezza.

Il relatore ha concluso richiamando l’importanza di adottare un approccio proattivo alla gestione della sicurezza, nel quale le minacce vengano anticipate e le misure di mitigazione siano integrate in ogni fase del ciclo di sviluppo di prodotti e servizi. La formazione continua rappresenta un elemento cardine per diffondere una cultura della sicurezza radicata e condivisa, garantendo che ogni dipendente dell’organizzazione – dalla dirigenza all’operatore di linea – comprenda il proprio ruolo nella protezione dell’ecosistema aziendale.

DORA e la stabilità del settore finanziario

Rocco Mammoliti ha approfondito i contenuti del DORA, evidenziando come esso rappresenti un’innovazione cruciale per garantire la resilienza operativa del settore finanziario.

Se infatti la Direttiva NIS 2 è orientata alla generale protezione dei servizi essenziali, il Regolamento DORA mira più specificamente a garantire la stabilità dell’ecosistema finanziario, introducendo un quadro normativo omogeneo per la gestione della resilienza operativa.

Mammoliti ha spiegato come le nuove regole costringano le istituzioni finanziarie – anche quelle di maggiori dimensioni – a ripensare radicalmente le proprie strategie di gestione del rischio, con particolare attenzione al ruolo di intermediari e fornitori terzi: il Regolamento stabilisce infatti requisiti stringenti per la resilienza operativa, imponendo alle istituzioni l’adozione di misure preventive in grado di fronteggiare eventi imprevisti come attacchi informatici o disastri naturali. Questo approccio standardizzato contribuisce a ridurre le divergenze tra le diverse istituzioni finanziarie, creando un contesto più uniforme e coerente per la gestione della sicurezza.

Nell’intervento si è evidenziato il ruolo della supply chain, osservando come alla luce delle nuove regole comunitarie le grandi aziende debbano garantire che anche tutti i loro fornitori rispettino rigorosi standard di sicurezza; un compito altamente complesso ma imprescindibile per garantire una protezione adeguata lungo l’intera catena del valore.
Al riguardo Mammoliti ha descritto un progetto innovativo (CSR – Cyber Security Readiness) lanciato, all’interno di Unindustria e Confindustria, da Poste Italiane per coinvolgere le piccole imprese parte della filiera, aiutandole ad elevare il loro livello di sicurezza e supportandole nel partecipare a processi di audit condivisi.

Tali iniziative sono fondamentali per assicurare che la sicurezza non rimanga esclusiva delle grandi organizzazioni ma si diffonda in tutta la catena di fornitura, coinvolgendo ogni attore nel compito di garantire la resilienza complessiva.

Il relatore ha sottolineato come il coinvolgimento delle piccole e medie imprese (PMI) sia essenziale per creare sistemi in cui ogni attore, indipendentemente dalle dimensioni, possa apportare il proprio contributo. Le PMI, spesso prive delle risorse necessarie per implementare sistemi di sicurezza tecnologicamente avanzati, possono migliorare la loro capacità difensiva attraverso programmi di formazione e partnership con le grandi aziende: queste forme di collaborazione, insieme alla valorizzazione delle eccellenze nazionali nel settore, rappresentano un elemento chiave per mantenere un ecosistema sicuro e resiliente.

Sottolineando l’importanza della formazione e della sensibilizzazione alle nuove normative per le imprese di ogni dimensione, Mammoliti ha concluso ribadendo che l’educazione alla cybersecurity deve essere vista come un investimento strategico per la sicurezza complessiva del sistema-paese. In tale prospettiva, garantire anche alle piccole realtà l’accesso a conoscenze e strumenti adeguati diventa un’assoluta priorità.

Intelligenza Artificiale e Cybersecurity nell’Industria

Ivan Monti ha approfondito il tema dell’applicazione dell’intelligenza artificiale (AI) nella protezione delle infrastrutture critiche, riportando l’esperienza sul campo di Ansaldo Energia.

Ricordando che l’AI viene utilizzata per analizzare enormi quantità di dati e rilevare comportamenti anomali nei sistemi produttivi, con l’obiettivo di gestire eventuali malfunzionamenti o attacchi senza dover interrompere la produzione, Monti ha evidenziato che uno dei principali ostacoli è rappresentato dai falsi positivi: un problema particolarmente critico nel contesto industriale, dove l’interruzione di un processo produttivo può avere conseguenze significative.

Ha anche discusso l’utilizzo del “digital twin”, modello virtuale che consente di riprodurre gli impianti reali al fine di testare soluzioni di sicurezza e valutarne l’efficacia prima dell’implementazione. Il digital twin rappresenta un passo avanti significativo nella gestione della sicurezza perché permette di valutare l’impatto delle nuove soluzioni in un ambiente protetto, individuando eventuali vulnerabilità prima che possano compromettere la stabilità degli impianti reali. Questa metodologia consente di ottimizzare l’efficienza operativa, riducendo il rischio di errori e così aumentando la resilienza complessiva.

Monti ha anche sottolineato che l’AI può migliorare notevolmente la capacità di risposta alle minacce, grazie alla capacità di analizzare in tempi rapidi grandi volumi di dati e identificare pattern indicativi di un potenziale attacco. Tuttavia, il relatore ha avvertito che una dipendenza eccessiva dall’automazione può essere problematica. Le decisioni critiche devono essere comunque prese da esperti umani, capaci di valutare il contesto e le implicazioni pratiche delle diverse azioni correttive.

La sinergia tra AI e competenze umane, perciò, è fondamentale per garantire una difesa efficace delle infrastrutture critiche: l’AI dovrebbe essere vista come uno strumento che potenzia le capacità degli esperti, consentendo loro di concentrarsi sugli aspetti strategici e decisionali, mentre i sistemi automatizzati gestiscono le attività ripetitive e di monitoraggio.

Monti ha inoltre discusso le prospettive future dell’AI nel settore industriale, evidenziando come tecnologie emergenti quali il machine learning e il deep learning possano condurre a una nuova generazione di strumenti di sicurezza, capaci di adattarsi dinamicamente alle nuove minacce e di migliorare la propria efficacia nel tempo. Per sfruttare appieno queste tecnologie, ha sottolineato la necessità di investire in infrastrutture adeguate e di sviluppare competenze specifiche all’interno delle organizzazioni, poiché solo attraverso una combinazione di tecnologia avanzata e capitale umano qualificato sarà possibile affrontare le sfide del futuro.

Cooperazione e condivisione delle Informazioni

Un tema centrale nel dibattito è stato l’importanza della cooperazione e della condivisione delle informazioni tra pubbliche autorità e mondo aziendale.

Luisa Franchina ha evidenziato il ruolo crescente dei tavoli di crisi e degli ISAC (Information Sharing and Analysis Centers), piattaforme in cui aziende e istituzioni possono condividere informazioni utili a coordinare azioni e strategie mirate ad affrontare le minacce, contribuendo a generare un clima di reciproca fiducia.

Questa sinergia pubblico-privato è essenziale per migliorare la capacità di risposta alle minacce e per ridurre i tempi di reazione in caso di attacco, soprattutto in un contesto in cui le infrastrutture critiche sono sempre più interconnesse e dipendenti le une dalle altre. Franchina ha sottolineato come la condivisione tempestiva delle informazioni tra tutte le parti interessate consenta di apprendere dagli incidenti e di migliorare continuamente le difese: in particolare, la cooperazione tra aziende che operano nello stesso settore può contribuire a identificare rapidamente i vettori di attacco emergenti e a sviluppare strategie di mitigazione più efficaci.

Anche Yuri Rassega ha ribadito l’importanza di una cultura della sicurezza che promuova la fiducia reciproca e la collaborazione tra le aziende; in quest’ottica la condivisione delle informazioni non deve essere percepita come un rischio, ma come un’opportunità per costruire competenze e rafforzare l’intero ecosistema della sicurezza.

Rassega ha suggerito che le autorità dovrebbero incentivare ulteriormente questa cooperazione, premiando le aziende disposte a condividere informazioni per collaborare nella gestione delle minacce. Sul punto ha evidenziato come la fiducia sia fondamentale per consentire una condivisione aperta e trasparente, dal momento che in assenza di tale fiducia le organizzazioni potrebbero essere riluttanti a condividere informazioni critiche, compromettendo l’efficacia della risposta collettiva alle minacce.

L’intervento ha ribadito anche l’importanza di sviluppare meccanismi strutturati per l’info-sharing, come piattaforme digitali sicure e incontri periodici tra esperti di settore: questi meccanismi possono facilitare il flusso di informazioni e garantire che le conoscenze acquisite siano rapidamente disponibili per tutte le parti interessate.

Gli esperti hanno, pertanto, condiviso l’assunto che la creazione di competenze e il rafforzamento delle reti per la condivisione di informazioni siano i pilastri su cui si basa la resilienza del sistema-paese; soprattutto in un contesto in cui le minacce informatiche appaiono in continua evoluzione, richiedendo la definizione di risposte rapide e coordinate.

Il Futuro della Cybersecurity nelle Infrastrutture Critiche

La Tavola Rotonda si è conclusa con una riflessione sul futuro della cybersecurity nelle infrastrutture critiche. Tutti i partecipanti hanno concordato sulla necessità di un impegno congiunto tra enti pubblici e privati. per affrontare le sfide poste dalle nuove normative nonché da minacce sempre più sofisticate.

La moderatrice, Paola Girdinio, ha enfatizzato come la responsabilità della sicurezza non possa restare affidata esclusivamente ai CISO (o ad altre specifiche figure) ma debba vedere il coinvolgimento attivo dei consigli di amministrazione, come del resto previsto dalla Direttiva NIS 2.

Girdinio ha spiegato che il coinvolgimento del top management è essenziale per garantire che la sicurezza sia considerata una priorità strategica: senza il supporto della leadership aziendale, le iniziative di sicurezza rischiano di rimanere isolate e di non avere l’impatto necessario. In tal senso la NIS 2 introduce una novità importante – imponendo che i CdA siano direttamente responsabili della supervisione delle misure di sicurezza – e questo potrebbe avere un impatto significativo sulle organizzazioni, richiedendo un impegno attivo da parte dei vertici aziendali nonché una maggiore consapevolezza dei rischi e delle misure necessarie per mitigarli.

Il messaggio finale è chiaro: la sicurezza delle infrastrutture critiche non è soltanto una questione tecnologica ma una sfida strategica che richiede una visione di lungo termine, investimenti adeguati e la stretta collaborazione tra tutti gli attori coinvolti. Pertanto le aziende devono adottare un approccio integrato che non si limiti a considerare le tecnologie, includendo anche i processi e le persone.

I partecipanti hanno più volte sottolineato la necessità di investire nella formazione continua del personale. La cybersecurity è un campo in rapidissima evoluzione e le competenze richieste sono in costante mutamento: è quindi fondamentale che le aziende investano in programmi di formazione per garantire che i propri dipendenti siano pronti ad affrontare le nuove minacce. Poiché la sicurezza deve essere una responsabilità condivisa da tutti, ciò vale non solo per il personale tecnico ma per tutti i livelli aziendali; di conseguenza, anziché limitarsi a corsi teorici, si dovrebbero svolgere anche simulazioni pratiche e scenari realistici che preparino ogni dipendente a rispondere efficacemente agli incidenti.

In conclusione la Tavola Rotonda ha messo in luce l’importanza di una gestione della sicurezza che sia proattiva, integrata e orientata alla collaborazione. Le sfide sono molteplici e complesse; ma un approccio sistemico e coordinato, che garantisca la partecipazione di tutti gli attori in campo, permetterà di costruire e mantenere in vita ecosistemi più sicuri.

Solo l’innovazione e la formazione continua potranno garantire un livello di sicurezza adeguato alle sfide del XXI secolo. Le organizzazioni dovranno essere capaci di adattarsi rapidamente e di lavorare insieme per proteggere le infrastrutture su cui si basa il funzionamento della nostra società, investendo in ricerca e sviluppo al fine di ideare nuovi approcci alla gestione del rischio e prepararsi a rispondere sia agli attacchi di oggi, sia a quelli che si preannunciano domani.

Anche alla luce della sempre più stretta convergenza tra i mondi dell’Operation Technology e dell’Information Technology, la resilienza delle infrastrutture critiche dipenderà sempre più dalla capacità di integrare la sicurezza in ogni fase del ciclo di vita dei servizi e dei sistemi, nonché di favorire una cooperazione a tutto campo per la protezione del nostro futuro digitale.

La Tavola Rotonda è stata organizzata da ICT Security Magazine in collaborazione con l’Associazione Start 4.0, un centro di competenza dedicato a supportare la trasformazione digitale e l’innovazione nel settore industriale e delle infrastrutture critiche. Con sede a Genova, Start 4.0 promuove lo sviluppo di tecnologie avanzate come l’Internet delle Cose (IoT), l’Intelligenza Artificiale e la cybersecurity, collaborando con aziende, università e istituzioni per facilitare la transizione verso l’Industria 4.0. L’obiettivo principale è migliorare la sicurezza, l’efficienza e la sostenibilità dei processi industriali attraverso l’applicazione di soluzioni innovative e la condivisione di conoscenze.

Iscriviti alla newsletter di ICT Security Magazine per rimanere aggiornato sulle iniziative future.