Axis: cybersecurity tra nuove sfide, normative e collaborazione

All’Axis Cybersecurity Summit 2023, l’evento dedicato alla cybersecurity nei sistemi di sicurezza fisica tenutosi presso gli uffici di Microsoft Italia a Roma e Milano in parallelo e in collegamento live streaming l’8 giugno, patrocinato dalle associazioni AIPSA e ANIE Sicurezza, il messaggio è stato forte e chiaro: non ci può essere cybersecurity senza collaborazione. L’evento ha riunito i principali players nazionali e internazionali, per fare il punto sullo stato attuale della cybersecurity nei sistemi di sicurezza fisica pubblici e privati.
Ecco i temi particolarmente approfonditi.
Axis: cybersecurity sfida centrale per la gestione dei rischi aziendali
Il settore si trova attualmente di fronte a una svolta cruciale: secondo uno studio approfondito condotto da Axis Communications, coinvolgendo 1.200 organizzazioni mondiali operanti in 14 settori, stanno emergendo una serie di sfide che, rafforzandosi a vicenda, renderanno il panorama della cybersecurity più rischioso e complesso da gestire. La cybersecurity è passata dall’essere un “semplice” problema informatico a rappresentare una sfida centrale per la gestione dei rischi e delle prestazioni aziendali, richiedendo di conseguenza la massima attenzione da parte del management aziendale.
Le macro-sfide individuate da Axis
Un ruolo cruciale è giocato da un incremento massivo dell’utilizzo del digitale, accelerato dalla pandemia, che ha portato con sé un maggiore impiego di forza lavoro da remoto e quindi un numero più elevato di dispositivi al di fuori del perimetro aziendale da dover tenere sotto controllo. In questo scenario, le organizzazioni devono anche fare i conti con lo scontro tra fisico e digitale, con gli assets fisici connessi digitalmente che espongono le infrastrutture strategiche ad un maggior rischio di attacchi.
Anche l’emergere di nuove tecnologie, quali Al, loT, multi-cloud e 5G, contribuisce a creare ulteriori vulnerabilità informatiche, fornendo armi più avanzate al cybercrime. Gli hackers, inoltre, stanno “alzando il tiro”, diventando più smart e meglio organizzati. Anche le organizzazioni stanno diventando più complesse, con l’evolversi della platform economy, in ecosistemi costituiti da reti sempre più elaborate di partners e fornitori. Infine, le aziende devono fare i conti con la nuova ondata di volatilità portata dall’attuale scenario geopolitico e la crescente complessità normativa.
In questo scenario, si intuisce quindi facilmente che la sicurezza informatica non può che rappresentare una priorità per le aziende di ogni settore. Ma come si stanno muovendo le organizzazioni, per tutelarsi dagli attacchi informatici? Durante il suo intervento all’Axis Cybersecurity Summit, Roberto Setola, Professore Ordinario all’Università Campus Bio-Medico di Roma,ha provato a rispondere a questa domanda, analizzando in particolare i requisiti presenti nei capitolati di gara in tema di cybersecurity.
“Quello che appare premiante nella scelta di un fornitore di sicurezza informatica – ha sottolineato Setola – è la capacità da parte dello stesso di gestire in modo adeguato tutti gli aspetti di cybersecurity, grazie all’adozione di un adeguato modello organizzativo che preveda chiare responsabilità e procedure”.
Quadro normativo in continua evoluzione tra NIS, CER, DORA e Acts
L’esplosione normativa è indubbiamente una delle più importanti macro-tendenze in materia di cybersecurity. Dal 2016 ad oggi, una serie di regolamentazioni hanno infatti cercato di fare ordine in merito su scala europea e, durante il summit Axis, il Presidente di Clusit Gabriele Faggioli, ne ha ricapitolato le principali:
- La Direttiva NIS I del 6 luglio 2016, che il 18 ottobre 2024 sarà abrogata e sostituita dalla Direttiva NIS II, definisce le misure necessarie per garantire in Europa un elevato livello di sicurezza delle reti e dei sistemi informativi dell’Unione e impone agli Stati di dotarsi di una strategia in materia di cybersicurezza, lasciando ad ogni singolo Paese le modalità di attuazione;
- La Direttiva CER sulla resilienza dei soggetti critici, presentata nel 2022, definisce un quadro a livello UE volto a rafforzare la resilienza dei soggetti critici nel mercato interno a fronte di una serie di minacce (es. attacchi terroristici, emergenze sanitarie, rischi naturali) stabilendo norme minime armonizzate per assistere tali soggetti mediante misure di sostegno e di vigilanza coerenti e dedicate;
- Il Regolamento DORA, relativo alla resilienza operativa digitale per il settore finanziario, entrato in vigore il 17 gennaio 2023 e pienamente applicabile dal 17 gennaio 2025, nasce dall’esigenza di implementare in modo efficace sistemi di gestione dei rischi, con particolare focus sulle tecnologie dell’informazione e della comunicazione (identificate con il termine di TIC) introducendo obblighi di governance e di sicurezza cui le diverse entità finanziarie vanno incontro.
Tra le proposte di regolamento ancora in discussione, spiccano il Cyber Resilience Act, relativo ai requisiti orizzontali di cybersicurezza per i prodotti con elementi digitali, e il Cyber Solidarity Act, relativo alla creazione di misure per migliorare la preparazione, l’individuazione e la risposta alle minacce e agli incidenti di cybersicurezza in tutta l’Unione.
Axis: collaborazione per ridurre i rischi legati alla cybersecurity
La sicurezza informatica è quindi stata e continuerà ad essere negli anni a venire una priorità condivisa. Date queste premesse, secondo Axis, la strada da seguire per la riduzione dei rischi legati alla cybersecurity non può che passare dalla collaborazione.
“L’evento italiano – evidenzia Matteo Scomegna (ndr. nella foto), Regional Director per il Sud Europa di Axis – ha chiuso un ciclo di incontri organizzati in tutto il Sud Europa, che ha preso il via a Parigi lo scorso giugno. L’obiettivo è ragionare tra addetti ai lavori e fare sensibilizzazione su una tematica attuale, ma complessa, quale appunto la cybersecurity nei sistemi di sicurezza fisici. Quindi, ringrazio tutti i nostri ospiti per aver condiviso i loro punti di vista e il loro know-how. La sicurezza informatica è una responsabilità condivisa tra produttori, system integrators e utenti finali: richiede l’implementazione delle migliori pratiche e tecnologie, nonché una vigilanza e una manutenzione continua. Affidarsi a partners tecnologicamente avanzati e in grado di avere una visione a lungo termine delle nuove minacce farà la differenza in un settore in continua trasformazione come il nostro”.