Cybersecurity, la guida per le PMI: così si salvano dal disastro

Pochi giorni prima, l’Osservatorio sulla Cyersecurity e la Data Protection della School of Management del Politecnico di Milano, nell’ambito del proprio Convegno “Beyond cybersecurity: tra intelligenza umana e fattore artificiale”, ha a sua volta pubblicato i risultati di alcune ricerche sulla percezione e gestione dei rischi di cybersecurity nelle aziende, confermando sia questa tendenza in aumento riguardo agli incidenti, sia la percezione che si tratti di un rischio rilevante, essendo la prima priorità di investimento digitale per grandi imprese e PMI.

Tutto questo in uno scenario geopolitico che appare in rapido deterioramento, aumentando il rischio di azioni ostili anche di ampia portata e sostenute da stati sovrani, di cui i recenti attacchi di denial of service sarebbero solo un piccolo assaggio. Infine, con un certo tempismo, una serie di norme europee sui temi di cybersecurity:

Queste norme richiedono ad aziende e pubbliche amministrazioni di affrontare in modo ampio i temi di cybersecurity, a tutela della collettività e delle aziende stesse. In questo quadro, i prossimi anni richiederanno allora una grande attenzione da parte delle aziende ai temi di cybersecurity.

Le sfide per le PMI: accesso alle competenze e supporto dei vertici aziendali

Le aziende, e fra queste le PMI, si trovano quindi a dover affrontare i temi di cybersecurity non solo nell’ambito del proprio adeguamento alle norme, ma anche per tutelare concretamente la propria capacità di operare in occasione di incidenti che, come si vede quasi quotidianamente, possono arrivare a bloccare completamente un’organizzazione.

Si tratta di temi che per la maggior parte delle PMI non sono parte delle competenze legate alle proprie attività principali, e quindi la prima difficoltà che devono affrontare sta proprio nel riuscire ad accedere alle competenze e conoscenze necessarie.

Si tratta di competenze sia di ambito legale (basti vedere la tematica della valutazione di applicabilità della direttiva NIS2 per la registrazione al portale ACN, che nelle ultime settimane ha causato non pochi grattacapi a tante organizzazioni) che tecniche e organizzative.

Mentre per le grandi imprese è disponibile un’offerta di servizi di consulenza sufficientemente ampia, per le aziende più piccole, con una capacità di spesa minore, le opzioni sono più limitate e non sempre adeguate. Può essere utile allora rivolgersi alle proprie associazioni imprenditoriali per fare sinergia almeno sulla diffusione di informazioni corrette ed aggiornate, e per indirizzare i temi più comuni e diffusi che possono avere una soluzione sufficientemente simile per aziende dello stesso settore.

È anche importante che questi temi vengano fatti propri dai vertici aziendali, prendendo atto del fatto che si tratta di rischi per l’azienda e non per i soli sistemi informativi: in caso di incidente di cybersecurity, quello che interessa all’azienda non è il fermo del sistema IT, ma il fermo dei processi operativi e produttivi che di quel sistema hanno bisogno.

Abbandonare questi temi ai propri responsabili IT, senza assicurare il necessario supporto soprattutto nell’interazione con le altre funzioni aziendali, vuole dire alla fine adottare soluzioni con una prospettiva tecnologica che mal si collega alle effettive esigenze di operatività dell’azienda, ed i cui limiti emergono proprio in occasione degli incidenti più gravi. La prospettiva, naturalmente, è quella di mitigare i rischi operativi legati agli incidenti di cybersecurity, rischi che, per loro natura, difficilmente si riescono ad eliminare, e quindi devono essere gestiti non solo con azioni preventive, ma anche con una capacità di risposta e di contenimento efficace, che necessariamente coinvolge e interessa tutta l’azienda. Questo coinvolgimento dei vertici aziendali, del resto, è anche uno dei requisiti posti dalla direttiva NIS2, direttiva che, ancor attraverso il D.Lgs. 138/2024 che la recepisce a livello italiano, pone delle specifiche responsabilità proprio in capo agli organi amministrativi e di direzione.

Analisi dei rischi e pianificazione della mitigazione: un approccio efficace

Il coinvolgimento delle diverse funzioni aziendali si concretizza quindi, prima di tutto, nelle attività di analisi dei rischi e degli impatti sui processi operativi. Si tratta delle prime attività che, se svolte non come un obbligo formale ma come un momento di reale presa di coscienza dei rischi aziendali, possono indirizzare efficacemente gli investimenti in cybersecurity, focalizzandoli su sistemi e servizi realmente critici per l’azienda ed evitando sprechi.

Sulla base di queste analisi e delle misure specificamente richieste dalle singole norme, è possibile quindi definire un piano di mitigazione, che copra l’intero arco di tempo concesso dalle norme. Allo stato attuale, affrontare in modo efficace quanto richiesto dalle norme di settore, può già in sé essere un’azione adeguata anche in termini di effettiva gestione del rischio per l’azienda. Quanto eventualmente ulteriormente necessario, dovrebbe emergere appunto dall’analisi dei rischi e di impatto. Si tratta quindi di azioni che, pur richiedendo investimenti per conformità, portano anche un effettivo beneficio per l’azienda.

Misure essenziali: backup protetti e gestione rapida degli incidenti

Fra le azioni di mitigazione del rischio più puntuali, sono sicuramente importanti quelle che riguardano la gestione di backup adeguatamente protetti, in modo che non possano essere danneggiati neppure in caso di ampia compromissione dei sistemi informativi. Pare incredibile nel 2025, ma una misura così di base è spesso trascurata, pur con l’evidenza di tante aziende che, a fronte di incidenti di ransomware, hanno scoperto che i backup erano stati cifrati o, peggio ancora, non erano neppure stati fatti in modo completo, perdendo in modo irrimediabile un patrimonio di dati aziendali a volte insostituibile.

Tuttavia, ci sono azioni più ampie che devono certamente essere affrontate. Molte sono attività legate all’organizzazione interna, che non richiedono tanto investimenti per l’acquisizione di prodotti o servizi, quanto l’attenzione ad affrontare i temi nella giusta modalità e prospettiva. Ne è un esempio la preparazione alla gestione degli incidenti: quando questi si dovessero verificare, non c’è spazio per l’improvvisazione, che può portare a ritardi e ad aumentare i danni anziché contenerli.

Su questo, norme e buone pratiche sono concordi: i tempi per la risposta alla rilevazione di un incidente in corso devono ormai essere strettissimi, in modo da contenere gli impatti che si sviluppano molto rapidamente.

Questo vuole dire processi di gestione chiari, con responsabilità definite, modalità e modi di escalation ben individuati e testati, per assicurare che, al momento dell’incidente, il processo permetta di gestire l’emergenza e la complessità, anziché aggravarle. Naturalmente, il processo deve tenere conto anche dei requisiti di notifica ai diversi soggetti (CSIRT Italia, Garante privacy…) con le relative tempistiche che, per incidenti che occorrano fuori dagli orari d’ufficio, possono essere particolarmente sfidanti se il processo non è ben definito.

Continuità operativa: garantire la resilienza aziendale in caso di attacco

Un altro tema critico affrontato almeno dalla direttiva NIS2 è quello della continuità operativa a fronte di incidenti di cybersecurity, ed è anche un ulteriore tema che alle aziende dovrebbe interessare a prescindere dal requisito normativo; ovvero, come assicurare che l’azienda possa riprendere ad operare in tempi brevi a fronte di un incidente o, meglio ancora, possa non interrompere la propria operatività.

Anche questa attività parte in realtà fuori dall’IT, parte dai processi produttivi, che valutano le proprie dipendenze dai sistemi e dalle reti, individuano i sistemi critici, e definiscono le azioni di mitigazione in caso di incidente IT/OT: dall’utilizzo del cartaceo dove ancora possibile, al posticipo di attività non urgenti, alla ripianificazione della produzione. Solo una volta individuate queste soluzioni, sarà possibile indicare a chi gestisce i sistemi IT/OT quali siano i tempi di fermo tollerabili, entro i quali i sistemi devono assolutamente ripartire per non causare un danno inaccettabile all’azienda. A valle di questi requisiti, potranno essere individuate le soluzioni tecniche e organizzative che permettano di soddisfarli, ottimizzando quindi gli investimenti e rendendoli realmente efficaci per l’azienda.

Pianificazione dell’adeguamento normativo: strategie e tempistiche

Naturalmente, queste norme comportano anche un gran numero di requisiti tecnici e organizzativi richiesti puntualmente, ai quali la PMI non potrà che adeguarsi nei tempi previsti.

È opportuno quindi, soprattutto a valle dell’emanazione da parte dell’ACN delle misure tecniche ed organizzative di dettaglio per la direttiva NIS2, prevista a metà aprile, che l’azienda identifichi tutti gli obblighi normativi a cui deve adeguarsi ed i rispettivi requisiti, per predisporre un’unica pianificazione, che faccia uso di tutto il tempo concesso dalle norme per l’adeguamento, integrando ed ottimizzando le attività (ad esempio, attraverso un unico assessment che copra i requisiti posti dalle diverse norme). In questo modo, potrà prioritizzare le attività, per distribuire l’effort e gli investimenti.

Molte aziende scopriranno così che ci sono attività che è già opportuno avviare. La scadenza dei termini per la registrazione al portale ACN per la NIS2 non dovrebbe infatti rappresentare un momento di fermo, per riprendere le attività a ridosso delle scadenze.

Il rischio è di sottovalutare l’ampiezza, più che la complessità, delle azioni da avviare. Ad esempio, i fabbricanti di prodotti con componenti digitali connessi, che in generale ricadono nell’ambito di applicazione del Cyber Resilience Act, dovrebbero considerare i requisii da porre per i prodotti che stanno progettando adesso, per assicurarne la conformità quando saranno immessi sul mercato, o addirittura potranno trovare utile identificare i requisiti di sicurezza che partner e fornitori strategici dovranno rispettare e che sarà opportuno discutere prima di stipulare accordi che rendano complesso un adeguamento successivo.

Gestione dei rischi dei fornitori e collaborazione settoriale

Per quanto riguarda i rischi legati ai fornitori, l’attenzione delle norme è alta, anche qui perché effettivamente molti incidenti derivano da vulnerabilità di questi soggetti: presidiare la sicurezza di fornitori che accedono ai sistemi o ai dati aziendali è quindi interesse prima di tutto dell’azienda. L’attenzione alle clausole contrattuali ed al loro adeguamento, come anche l’introduzione di temi di cybersecurity nelle attività di monitoraggio della fornitura e nei livelli di servizio, può richiedere azioni impegnative sia come estensione che come impatto sui contratti.

Nel complesso quindi:

• il primo punto di attenzione per le aziende è individuare tutte le norme a cui nei prossimi due anni si dovranno adeguare, perché non sono poche e alcune sono impegnative.
• Poi, dovranno identificare i requisiti e definire una pianificazione di massima per gestire in modo integrato le attività. Soprattutto in queste attività, è certamente utile coinvolgere le associazioni settoriali, dato che sono norme che interessano, appunto, settori interi in modo uniforme. Avere dei momenti di confronto fra colleghi ed ottimizzare l’accesso alle competenze è sicuramente utile sia per ridurre l’effort che, forse anche più, per evitare errori interpretativi, aree di scopertura dimenticate o investimenti non realmente necessari: in questo, le sinergie ottenibili attraverso le associazioni settoriali possono essere realmente importanti.