È atteso entro ottobre il testo normativo italiano di adozione della NIS2, la direttiva europea che regola le informazioni digitali delle aziende e delle pubbliche amministrazioni. L’UE, attraverso la legge, si fonda come un organo all’avanguardia sul tema, sulla lunga scia di quanto fatto con il GDPR prima e con l’AI Act poi. In questo contesto, i big player italiani giocano un ruolo fondamentale nell’integrare la NIS2 nei flussi operativi. Durante uno dei panel dell’evento “5G&Co. – Everything is connected”, la Conferenza internazionale promossa dal CNIT e in corso a Roma al Palazzo delle Esposizioni, si sono confrontati Google Cloud, Vodafone, Huawei e Tecnif.
“Dal nostro Osservatorio, rispetto alle normative europee, siamo già pronti per gestire a livello organizzativo il rischio cyber” afferma Gian Luca Maccà, Head of ICT Security and Fraud Management, Vodafone Italia. “Abbiamo poi messo in piedi un modello di segnalazione degli incidenti, diretto all’ACN, che mette in pratica le richieste dell’UE. Ma il punto è un altro: passiamo da una norma che individua un perimetro digitale cibernetico ad una direttiva che non fa distinzioni sull’ambito in cui il dato viene gestito ma mette tutto sullo stesso piano. È giusto? Più o meno: all’interno di un’organizzazione ci sono dati e processi con valenza differente e che interessano flussi con criticità diverse. Bisognerà distinguere quindi i vari livelli di intervento, imparando a gestire, comunicare e intervenire in tempo sugli incidenti cyber”.
Anche un colosso come Google Cloud, con dieci region in EU e due in Italia, si è impegnato per approcciare in maniera corretta le indicazioni della NIS2. “Vediamo con favore il movimento all’espansione dell’ombrello di regolazione alla sicurezza in Europa. Per vari motivi. Vediamo un forte intensificarsi delle minacce su nuove realtà e un ampliamento dell’interesse delle imprese sulla difesa della loro supply chain” sottolinea Giorgio Gallucci, Security and Compliance Lead, Google Cloud Italy. “Ci auguriamo di avere maggiore uniformità di regole, anche in termini di standard utilizzati per certificazioni e audit, coerenti con le best practice tecnologiche dell’industria”.
Lo spunto di Gallucci sull’uniformità segue, di pari passo, un problema applicativo sollevato dalla NIS2: la mancanza di linearità nell’approccio dei Paesi UE quando si è trattato di approcciare problemi di sicurezza informatica. Estendendo il perimetro sotto l’occhio del legislatore, la NIS2 rafforza la necessità di stringere i tempi di segnalazione degli incidenti. “La lentezza può amplificare le conseguenze di un attacco o una perdita di informazioni” spiega Roberto Cao Pinna, General Manager Lab OCSI, Tecninf. “Con ACN stiamo avviando varie attività di testing sulle reti per capire dove concentrarsi a livello infrastrutturale e agire al meglio”.
MA il 5G può davvero essere sicuro? Solo se si prevengono le minacce. Serve cooperazione internazionale, soggetti che aiutino i singoli paesi ed enti a standardizzare i flussi di intervento. Huawei, dal suo punto di vista privilegiato, nel corso degli anni ha fatto “tesoro” degli incidenti rilevati a livello continentale, per creare laboratori di analisi e di simulazione degli attacchi. “In particolare per le minacce sul 5G, l’ampliamento della superficie d’attacco richiede una visione più larga. Bisogna fare squadra” conferma Luca Piccinelli, Chief Cyber Security & Privacy Officer, Huawei Italy. “Per raggiungere tale scopo bisogna far riferimento a soggetti come la GSMA, che aumenta la knowledge base e che, con l’ENISA, può guidarci verso una sovranità digitale europea”.
