non uno spauracchio, ma un’opportunità per migliorare la protezione

Oggi le aziende italiane non solo devono affrontare nuove e complesse minacce informatiche, ma devono anche adeguarsi alle nuove normative di cybersecurity. Il quadro legislativo è molto complesso e le imprese fanno fatica a seguire tutte le indicazioni, anche perché spesso queste mancano di dettagli pratici; tuttavia, le sanzioni severe stanno obbligando molte realtà ad adattarsi, spaventate dalle conseguenze economiche della non-conformità.

In un’intervista a Valerio Vertua, avvocato di 42 Law Firm, esperto di diritto dell’informatica e contrattualistica IT, abbiamo approfondito come le aziende italiane stanno affrontando queste nuove sfide, chiarendo che l’imposizione di nuove normative è anche un’opportunità importante per migliorare la sicurezza del business. 

Secondo Vertua, il punto di partenza per le aziende non deve essere la paura delle sanzioni: l’attenzione verso la cybersecurity non può essere guidata (solo) dal timore delle multe, ma dalla volontà di proteggere la propria impresa dalle minacce informatiche. Le normative, ha spiegato Vertua, non sono più indicazioni che richiedono una pura compliance cartacea, ma chiedono la dimostrazione di un percorso consapevole di protezione. 

Il GDPR, la Dora e ora la NIS2 richiedono approcci personalizzati, simili a un “vestito su misura”. Le normative includono una serie di misure di base e dei livelli obbligatori di sicurezza, ma questi devono essere poi adattati alle specificità di ogni azienda. “È una lista di base che verrà potenziata, diminuita o adattata per le singole situazioni merceologiche” – ha affermato Vertua. Dietro questo approccio c’è la volontà del legislatore di evitare che le indicazioni diventino obsolete dopo attacchi o situazioni di rischio.

L’importanza della formazione e di affidarsi agli esperti

Uno dei concetti fondamentali sottolineati da Vertua è che occuparsi di sicurezza informatica deve essere un processo continuo. Le aziende devono rivedere le loro misure di protezione non solo maniera pianificata, ma anche in seguito ad attacchi significativi o anche solo eventi che, pur non avendole coinvolte direttamente, potrebbero rivelare vulnerabilità non evidenti.

Per realizzare questa strategia è fondamentale investire sulla formazione: le normative di sicurezza sottolineano l’importanza di preparare l’intera forza lavoro alle minacce, non solo i dipendenti, ma soprattutto dirigenti e amministratori. Proprio questi ultimi devono essere i primi a ricevere la formazione per riuscire ad allocare le risorse giuste e a prioritizzare gli investimenti.

Sviluppare competenze interne però non è sempre facile o possibile; le aziende decidono quindi di affidarsi a dei partner, in particolare a realtà che offrono servizi di CISO-as-a-Service, in modo da esternalizzare la gestione della sicurezza a professionisti qualificati. 

Cybersecurity: in Italia serve più consapevolezza

Le piccole e medie imprese spesso comprendono l’importanza della cybersecurity solo quando soffrono un incidente di sicurezza. Secondo Vertua, le PMI sono ancora poco consapevoli dei rischi e degli impatti degli attacchi; inoltre, cercano di rimandare gli investimenti perché sono spaventate dai costi che devono affrontare. 

“Non bisogna spendere tanti soldi, ma bisogna spenderli bene” – ha ricordato Vertua, sottolineando che la compliance normativa può essere affrontata con una pianificazione graduale, evitando spese improvvise e non sostenibili. Le norme infatti entrano in vigore con tempistiche abbastanza diluite durante le quali le aziende hanno il tempo di pianificare gli interventi e organizzare gli investimenti. 

Vertua ha quindi invitato le imprese a identificare al più presto una figura interna esperta che abbia una visione chiara sulla tematica e le competenze manageriali per gestire l’intero processo. Questo professionista deve conoscere a fondo le caratteristiche dell’azienda, le sue vulnerabilità, le difficoltà presenti e la capacità delle risorse di adeguarsi alle nuove procedure.

La cybersecurity non è più un’opzione. Sebbene complesse, le normative europee sono un’occasione importante per le imprese di diventare più resilienti e pronte per affrontare le nuove minacce. 

Altro in questa categoria