Per le piccole e medie imprese del Centro Italia, e del Lazio in particolare, entra nel vivo la sfida della cybersicurezza. Dal 16 ottobre è in vigore in Italia la nuova normativa che attua la direttiva europea Nis 2 (Network and Information Security, in italiano Sicurezza delle reti e delle informazioni) che ha lo scopo di migliorare la preparazione e la risposta degli Stati membri agli attacchi informatici. La novità forse più importante è l’estensione di nuovi adempimenti – dall’analisi del rischio alla gestione degli incidenti, fino alla formazione del personale – a una ampia gamma di settori: non solo le aziende di quelli definiti ad “alta criticità” per attacchi informatici come energia, trasporti, finanza, salute, ma anche altri fornitori di servizi critici come quelli digitali, postali, di gestione dei rifiuti.
Si stima che in Italia la normativa interesserà direttamente dalle 30mila alle 50mila aziende, di cui un terzo nel Centro Italia (fino quindi a circa 16mila) e fino a 6mila aziende nel Lazio, escludendo però tutta la catena dei fornitori, difficilmente stimabile.
Il timore è che le piccole aziende siano spaventate da queste novità, temendo un aumento dei costi in una fase economica già incerta. Ragion per cui sia le associazioni di imprese che le istituzioni si stanno già muovendo. «Forse per le piccole aziende ci potrà essere un aumento immediato dei costi, ma nel tempo l’applicazione delle nuove norme porterà dei risparmi», spiega Lorenzo Benigni, vicepresidente di Unindustria con delega alla Cybersecurity, nonché senior vice president Governmental & institutional relations di Elt Group (da oltre 70 anni leader mondiale nei sistemi di difesa elettronica e oggi gruppo con approccio multidominio che copre anche cyber spazio e biodifesa, con 320 milioni di fatturato annuo e 1.600 addetti).
«Anche le piccole e medie imprese possono essere vittime di attacchi hacker – spiega Benigni – con conseguenze anche molto gravi. Il furto di dati sensibili può avere un impatto devastante, penso per esempio ai settori della difesa, delle costruzioni e del farmaceutico. Spesso capita che venga chiesto un riscatto per i dati rubati e se non si paga, questi vengono resi pubblici. Al di là del danno evidente in caso di dati sensibili o di brevetti, c’è una perdita di reputazione dell’azienda che ha un impatto diretto sulla fiducia dei clienti e quindi sul business».
L’applicazione della direttiva con le sue prescrizioni «mette al riparo», come spiega Benigni, anche le piccole imprese. Si tratta però in alcuni casi di aziende che hanno anche 5 dipendenti, con al massimo una persona che si occupa di It. Per questo non sorprende che alcune di queste possano essere spaventate dal calendario di nuovi adempimenti che partirà effettivamente nel 2025, iniziando dalla registrazione sulla piattaforma digitale dedicata.
«Apprezziamo i segnali di rassicurazione dalle istituzioni, che ci hanno manifestato la disponibilità a fornire le indicazioni e il supporto necessario alle imprese», spiega Benigni. Ma anche Unindustria è pronta a fare la sua parte. «Ci stiamo facendo portavoce per chiedere alle istituzioni linee guida precise e dettagliate. Inoltre lavoriamo per mettere insieme grandi e piccole imprese per facilitare a tutta la catena dei fornitori il rispetto degli adempimenti. Chiediamo anche alla Regione Lazio di valutare modalità di supporto alle piccole e medie imprese».
Nel Lazio, soprattutto, il tema della cybersicurezza è molto sentito: «È il centro del governo nazionale e della difesa, nonché sede dei quartier generali dei gestori delle principali infrastrutturali nazionali. È senza dubbio un’area di interesse di potenziali attacchi cyber, ma al tempo stesso è la prima regione d’Italia per numero di imprese attive nel comparto (il 22% del totale nazionale) tra cui i principali operatori nazionali nella cybersicurezza. Un vantaggio che dobbiamo valorizzare».
Unindustria, inoltre, sta continuando a lavorare per stimolare una maggiore consapevolezza delle piccole e medie imprese e sullo sviluppo di nuove competenze, visto che molte aziende hanno difficoltà a reperire professionisti della cybersecurity: «Molto abbiamo già fatto, come il Vademecum sulla Cybersecurity per le piccole e medie imprese, in collaborazione con Cyber 4.0 e con Enisa (Agenzia dell’Unione europea per la cybersicurezza, ndr). Continueremo a lavorare sulla formazione specialistica, ma la difesa cyber dovrebbe diventare trasversale a molti corsi di laurea», conclude il vicepresidente di Unindustria Lazio con delega alla Cybersecurity.
Intervista a cura di Andrea Marini per il dorso Centro di Il Sole 24 Ore.