La direttiva NIS2 (Network and Information Security), la misura per la cybersicurezza recepita dall’Italia ad ottobre 2024, e le iniziative dell’Agenzia per la Cybersicurezza Nazionale (ACN) devono correre sempre più velocemente per stare al passo con i ritmi accelerati della trasformazione digitale e con i rischi crescenti che questa comporta.
L’ultimo passo in avanti su questo fronte, scaturito dal recente incontro del quinto Tavolo NIS, è rappresentato dall’aggiornamento dell’elenco dei soggetti NIS, dall’annuncio di un progetto pilota di peer review tra le Autorità competenti NIS di diversi Stati dell’Ue, cui ha aderito anche ACN con l’obiettivo di armonizzare i requisiti di sicurezza e rafforzare il coordinamento europeo in materia, e, infine, dalla istituzionalizzazione della figura del referente CSIRT.
La figura del referente CSIRT: un ponte tra organizzazioni e sistema nazionale
Secondo la disciplina, la figura del referente CSIRT (Computer Security Incident Response Team) presso le organizzazioni soggette agli obblighi normativi è una persona fisica designata dal Punto di Contatto, il cui compito è interfacciarsi direttamente con lo CSIRT Italia, il team nazionale di risposta agli incidenti di sicurezza informatica coordinato dall’ACN
Il referente CSIRT, che deve essere in possesso di specifiche competenze tecniche, assume ruoli diversi all’interno dell’organizzazione. Sul piano operativo, è responsabile della gestione delle comunicazioni con il CSIRT nazionale, della notifica tempestiva degli incidenti significativi e del coordinamento delle attività di risposta. Ma deve anche contribuire attivamente alla costruzione di una cultura della sicurezza cibernetica all’interno dell’organizzazione, fungendo da catalizzatore per l’implementazione delle misure tecniche e organizzative richieste dalla normativa.
La designazione del referente CSIRT https://www.acn.gov.it/portale/csirt-italianon è un mero adempimento formale. L’ACN ha delineato profili di competenza specifici, che includono conoscenze tecniche approfondite in ambito cybersecurity, capacità di gestione degli incidenti secondo framework riconosciuti, comprensione del quadro normativo di riferimento e soft skills quali la comunicazione efficace e la capacità di lavorare sotto pressione. In molte organizzazioni, questa figura coincide o collabora strettamente con il CISO (Chief Information Security Officer), ma la sua specificità risiede nella focalizzazione sul rapporto con l’ecosistema nazionale della sicurezza cibernetica.
Implementazione pratica e sfide operative
L’adozione di questi nuovi requisiti sta ponendo sfide significative alle organizzazioni italiane, specialmente quelle di dimensioni medio-piccole che si trovano per la prima volta a confrontarsi con obblighi strutturati di cybersicurezza. La carenza di competenze specializzate nel mercato del lavoro rappresenta uno dei principali ostacoli: secondo stime recenti, in Italia mancherebbero decine di migliaia di professionisti esperti in sicurezza informatica necessari per coprire le esigenze attuali e future.
L’ACN sta rispondendo a queste criticità attraverso diverse iniziative. Sul fronte della formazione, sono stati avviati programmi di capacity building rivolti sia al settore pubblico che privato, con l’obiettivo di creare un bacino più ampio di professionisti qualificati. Parallelamente, l’Agenzia sta sviluppando piattaforme e strumenti per facilitare la compliance, come sistemi di notifica degli incidenti user-friendly e framework di valutazione del rischio adattati al contesto italiano.
Un aspetto particolarmente innovativo riguarda l’approccio collaborativo promosso dall’ACN. Attraverso gruppi di lavoro settoriali e tavoli tecnici, le organizzazioni possono confrontarsi su best practice, condividere informazioni sulle minacce emergenti e sviluppare soluzioni comuni a problemi ricorrenti. Questo modello di “sicurezza collaborativa” rappresenta un cambio di paradigma rispetto al passato, quando la cybersicurezza era spesso percepita come una questione da gestire in autonomia.
Prospettive future e evoluzione del sistema
L’implementazione completa della NIS2 e la piena operatività della rete di referenti CSIRT richiederanno tempo e investimenti continuativi. Tuttavia, i benefici attesi sono significativi: una maggiore resilienza complessiva del sistema Paese, una capacità di risposta più rapida ed efficace agli incidenti, e una riduzione dell’impatto economico e sociale degli attacchi informatici.
Guardando al futuro, è probabile che il quadro normativo continui a evolversi per rispondere a minacce emergenti, come l’intelligenza artificiale e il quantum computing. La capacità dell’Italia di adattarsi a questi cambiamenti dipenderà dalla solidità delle fondamenta che stiamo costruendo oggi: una normativa robusta, istituzioni competenti come l’ACN, e soprattutto un ecosistema di professionisti preparati, tra cui i referenti CSIRT, capaci di tradurre requisiti normativi in sicurezza effettiva. Ma non basta, la forza delle fondamenta è data soprattutto dalla consapevolezza e dalla postura digitale di ogni singolo operatore e utente della rete. Dietro una normativa necessaria e non più rimandabile deve esserci un fattore umano saldo in grado di fronteggiare una tecnologia che, se da un lato è indispensabile, dall’altro presenta molti lati oscuri. Un obiettivo raggiungibile, quest’ultimo, solo attraverso un adeguato percorso formativo, personalizzato e in linea con le novità tecnologiche sempre più accelerate.
La cybersecurity costruita sulla saldezza e sulla corretta postura del fattore umano non è più un’opzione, ma una precondizione per la tutela dei diritti dei cittadini, per lo sviluppo economico di ogni singola organizzazione e, quindi, del sistema Paese.
