Cascata di caratteri monocromatici verdi su sfondo nero, simile alle vecchie schermate MS-DOS e all'iconica grafica del film Matrix.

NIS2 e DORA: prospettive di compliance e Risk management delle terze parti

Il 16 aprile 2024 presso la Sala Leonardo si è tenuto il convegno dal titolo “NIS 2 e DORA: prospettive di compliance e risk management per le terze parti” promosso da Associazione Prestatori Servizi di Pagamento (A.P.S.P.), in collaborazione con Hermes – Centro Studi Europeo, nell’ambito del protocollo di collaborazione recentemente sottoscritto.

Di grande importanza le relazioni introduttive con il collegamento da Bruxelles di Domenico Ferrara, Cybersecurity Officer presso Agenzia dell’Unione Europea per la Cybersicurezza (ENISA), che ha analizzato i punti chiave, gli obiettivi, e gli impatti delle direttive NIS2 e DORA, con focus sulle novità e le principali differenze rispetto alle precedenti normative e in presenza di Marcello Albergoni, Vice Capo di Gabinetto dell’Agenzia per la Cybersicurezza Nazionale, il quale ha offerto ai partecipanti una breve analisi sull’importanza strategica del recepimento delle direttive per la resilienza e la sicurezza digitale delle imprese e dei corpi pubblici in Italia.

A questi interventi introduttivi, con la moderazione del Dott. Vittorio Calaprice, Presidente del Comitato Scientifico di Hermes – Centro Studi Europeo, hanno fatto seguito quelli degli altri autorevoli relatori, che hanno illustrato attraverso use case efficaci le implicazioni del recepimento e dell’applicazione delle due normative:

l’Ing. Selene Giupponi, Segretario Generale del Capitolo Italiano di Women4Cyber e Componente del Comitato Scientifico di Hermes – CSE, ha affrontato il tema della protezione della supply chain delle grandi aziende protette e regolamentate dalla NIS. Il dilemma da risolvere è come tutelare le PMI, portando l’esempio della Provincia di Latina, il cui fatturato ammonta ad 1 miliardo di euro complessivi; ed Enti Pubblici Locali di minori dimensioni, come i piccoli Comuni, che non ricadono sotto tale normativa, approntando una formazione e protezione specifiche, tagliate su misura per ciascun ente o azienda, pensando e promuovendo una forma “semplificata” in modo tale da coprire e mettere in sicurezza tutta la rete della catena industriale. Il panel è d’accordo sul metodo di diffusione della conoscenza ed istruzione di tali temi in materia, per risolvere gap culturali e problematiche che andrebbero affrontate convocandoli e riunendoli tutti in un luogo dove poter attuare una istruzione massiva e capillare.

l’Ing. Cinzia Crostarosa, vicepresidente della Commissione Elettronica e Microelettronica dell’Ordine degli Ingegneri di Roma, Leonardo Company Engineer e Componente del Comitato Scientifico di Hermes – CSE, ha trattato l’applicazione della nuova normativa NIS2 tramite dei “case study” di interesse nevralgico per la nazione, come ambienti operativi legati alla pubblica sicurezza oppure alla difesa militare, che approvvigionano i loro materiali elettronici da aziende civili (PMI). Inoltre ha affrontato il tema della sicurezza degli asset strategici delle piccole e medie imprese (PMI), per le quali si potrebbero utilizzare quadri normativi standard per la sicurezza delle informazioni, come l’ISO27001 o la NIST per prepararsi alla Direttiva NIS2, ossia identificare le lacune tecnologiche e dei processi, in modo di definire gli sforzi mirati alla conformità, mappando le aree di sicurezza dell’articolo 21 della Direttiva NIS2 rispetto ai corrispondenti domini di sicurezza ISO27001. In definitiva, ENISA raccomanderà ulteriori standard e framework di sicurezza per affrontare aree tecniche specifiche come IEC 62443 per la sicurezza OT e IoT. In tale contesto tecnologico per la sicurezza integrata si potrebbe usare un approccio Zero Trust per garantire l’univocità delle identità, ossia si parte dal presupposto che qualsiasi identità, umana o macchina, che abbia accesso alle applicazioni ed ai sistemi possa essere stata compromessa. La mentalità, che dà per scontata una violazione richiede una vigilanza e un approccio Zero Trust alla sicurezza, incentrato sulla sicurezza delle identità. Con la sicurezza delle identità come spina dorsale di un approccio Zero Trust, i team possono focalizzarsi sull’identificazione, l’isolamento e il contrasto alle minacce, che compromettono le identità e ne ottengono i privilegi, prima che possano fare danni ad asset strategici. Un tale approccio vuol dire effettuare la verifica di ogni utente, accertandosi che ogni utente sia chi afferma di essere con un’autenticazione forte, contestuale e basata sul rischio, per incrementare la sicurezza e migliorare l’esperienza utente.

La convalida ogni dispositivo limita enormemente la superficie di attacco, permettendo solo ai dispositivi registrati con un buon profilo di sicurezza di accedere alle risorse. In sintesi si devono limitare con intelligenza gli accessi privilegiati, concedendo l’accesso privilegiato nel momento preciso in cui è necessario, e poi rimuoverlo subito dopo.

In ambito industriale per applicazioni specifiche relative alla Supplychain della realtà produttiva farmaceutica o meccanica pesante, si potrebbe utilizzare la Blockchain per garantire l’autenticità e l’originalità delle componenti chimiche o del materiale prodotto.

Prima di tutto diciamo che Blockchain significa “catena di blocchi”, se ci si pensa si basa tutto sulla “Fiducia”. Facciamo un esempio per capire meglio. Comprereste una casa su internet? Probabilmente no. Ma per quale motivo? Se ci pensate non la comprereste proprio perché non vi fidate effettivamente di chi sia in realtà il venditore. Terribili pensieri vi assalirebbero. É rubata? È una truffa? Chi mi tutela? Esattamente il pensiero vola verso questa semplice domanda: chi mi protegge? Di chi mi posso fidare? Mi potrei fidare di un’Intelligenza Artificiale che mi vende un prodotto di elevato valore economico sul web?

Quindi in ambito industriale in cui un “data driven” fondamentale sarà nel prossimo futuro l’Intelligenza Artificiale (IA), per garantire l’immutabilità del data set d’ingresso all’IA si potrebbe ricorrere alla Blockchain, così da ottenere in origine la certificazione delle informazioni alla base dell’algoritmo. Ciò che consentirebbe di eliminare tanti di quei bias di cui si parla spesso, o comunque per garantire la certificazione dei risultati di output dell’AI e garantire la fiducia dell’utilizzatore finale.

In caso di incidente informatico o attacco cyber il Dott. Marco Braccioli ha introdotto la figura del “pompiere digitale”, che conosce le figure istituzionali di riferimento, alle quali rivolgersi per risolvere la questione del danno economico e di immagine della PMI.

L’incontro, complice i temi trattati e gli autorevoli relatori intervenuti, ha visto la partecipazione di un pubblico qualificato e di alto profilo, che ha visto esponenti istituzionali (MEF, Ambasciata USA, Ministero degli Esteri), di università e centri di ricerca, dell’Istituto Affari Internazionali, di enti e di imprese strategiche come Leonardo, Cassa Depositi e Prestiti, Ferrovie dello Stato, Poste Italiane, Consip, Iccrea, Agenzia per la Cybersicurezza Nazionale Poste Italiane CDP, DGS S.p.A.


Articolo di Cinzia Crostarosa e Selene Giupponi | Hermes – Centro Studi Europeo