La strategia nazionale per la cybersicurezza “è fatta da 82 obiettivi”, e mostra quanto sulla sicurezza informatica sia necessario un cambiamento culturale. Valutare quali tecnologie ci sono sul mercato e certificarle fa sicuramente parte del discorso, secondo il direttore dell’Agenzia per la cybersicurezza nazionale Roberto Baldoni. Per questo, in un incontro alla Sapienza di Roma, l’agenzia ha firmato una nuova convenzione con Accredia, l’ente unico nazionale di accreditamento designato dal Governo italiano.
L’agenzia cercherà di raggiungere quegli 82 obiettivi nel modo più veloce possibile, dice Baldoni. Per farlo, serve anche lavorare sulle certificazioni, cioè “il mezzo per aumentare il livello di sicurezza dei prodotti e dei servizi informatici a disposizione dei cittadini e delle imprese”, spiega.
La convenzione serve proprio gestire gli accreditamenti degli organismi di valutazione della conformità (organismi di certificazione, di ispezione e laboratori di prova) che operano per garantire la cybersicurezza verso soggetti pubblici e privati.
“L’Europa sta predisponendo i primi schemi di certificazione di servizi cloud e delle tecnologie 5G e l’Italia si deve far trovare pronta a questo appuntamento”, ha commentato il direttore di Acn, Baldoni. “La convenzione di oggi dà attuazione alle disposizioni del Cybesecurity ACT europeo in materia di accreditamento della rete di laboratori nazionale di certificazione” conclude il Direttore Baldoni a margine della firma con il presidente di Accredia Massimo De Felice (e in presenza della rettrice della Sapienza Antonella Polimeni), riferendosi alla rete di laboratori dedicata ai prodotti del mercato europeo che si aggiunge a quella dei “laboratori di prova” previsti all’interno del perimetro di sicurezza nazionale cibernetica.
Queste due reti, infatti, saranno l’ossatura del sistema di certificazione e valutazione nazionale.
Avere un sistema nazionale “ci permette di avere un sistema industriale allineato con gli schemi di certificazione, specialmente in settori industriali dove siamo particolarmente forti”, dice Baldoni. Se non si muove il nostro Paese, insomma, non saranno gli altri Paesi europei a creare schemi adatti al nostro tessuto imprenditoriale. Collaborazione come quella Acn-Accredia, dice Baldoni, servono a “irrobustire il nostro sistema industriale”.
Il punto di partenza è normativo: le certificazioni sulla cybersecurity le vogliono la strategia nazionale italiana e il cybersecurity act europeo. Ma chi accredita le organizzazioni che si occupano di certificare le aziende? In Italia, questa attività spetta ad Accredia. Oggi in Italia sono 3.474 le aziende dotate della certificazione sulla cybersicurezza (la ISO/IEC 27001): sono cresciute del 21% in un anno. Ci sono 20 Organismi di certificazione accreditati (dati Accredia), 5 laboratori di prova (accreditati per eseguire Vulnerability assesments) e 687 professionisti certificati come Responsabili della protezione dei dati personali (DPO).
Il Decreto Legislativo 123 del 3 agosto 2022 ha previsto che alcune tipologie di certificazioni in ambito cybersicurezza potranno essere rilasciate da Organismi di valutazione della conformità accreditati da Accredia, che ora lavorerà quindi insieme all’Agenzia per la Cybersicurezza Nazionale nel monitoraggio e nella vigilanza delle attività di tali organismi.
Oltre ad aver firmato il suo accordo con l’Acn, nell’evento alla Sapienza di Roma Accredia ha anche presentato i risultati del suo ultimo studio: le imprese dotate di certificazione accreditata per la sicurezza delle informazioni sono più sicure e meno esposte ad attacchi informatici rispetto a quelle non certificate, secondo quanto emerso dall’Osservatorio Accredia “Cybersecurity e protezione dei dati: il ruolo della certificazione accreditata”, realizzato insieme al Cybersecurity National Lab del CINI e presentato alla Sapienza di Roma del Presidente di Accredia, Massimo De Felice, in presenza della rettrice della Sapienza Antonella Polimeni.
Il capitolo delle assicurazioni
Al tema dell’importanza delle certificazioni per aumentare la sicurezza informatica, durante l’incontro Baldoni aggiunge un aspetto: posto che non tutti gli incidenti informatici possono essere prevenuti, va riconosciuto il ruolo delle assicurazioni nella gestione del rischio residuo, cioè nella mitigazione e nel ripristino delle attività che devono avvenire dopo un attacco.
“Il mercato assicurativo è particolarmente importante e dobbiamo espanderlo in tutte le sue potenzialità perché è un pezzo fondamentale della gestione del rischio cyber. Recentemente le assicurazioni hanno dichiarato che se viene fatta un attribution di tipo statuale”, cioè se l’attacco viene fatto da un attore collegato a un governo nazionale, “non ci possono essere rimborsi, e questo ha rallentato il mercato”. Ma bisogna capire che “un conto è la guerra ibrida, un conto i gruppi criminali”. In quest’ultimo caso, una risposta da parte delle assicurazioni “è una risposta chiara e lecita che possiamo offrire ad aziende per la gestione dell’incidente, la mitigazione del danno derivante dal blocco delle attività e il ripristino delle stesse”.
In un’intervista su Fortune Italia, anche l’esperto Usa Chris Novak aveva ricordato come l’aumento delle richieste di riscatto post attacco informatico stesse creando una nuova industria, quella delle società di consulenza che aiutano le aziende ad affrontare le conseguenze dei crimini informatici.
