Cybersecurity e risk assessment, lo stato dell’arte in Italia

Dall’ultimo rapporto Clusit, associazione che si occupa di cyber security, emergono dati chiari e allarmanti, soprattutto per quanto concerne il settore sanitario. A livello globale, nel periodo che va da gennaio a marzo 2023, gli attacchi cyber verso strutture sanitarie sono stati il 17%, contro il 12% del 2022. Di questi, il 71% ha avuto un impatto critico, che è stato quindi recepito in modo importante, impattando gravemente l’infrastruttura. Per questo è quanto mai urgente costruire una cultura di prevenzione e gestione del rischio che sia trasversale, sfruttando gli aggiornamenti nazionali ed europei in termini di cyber sicurezza. Del percorso normativo fino ad oggi e delle opportunità che si affacciano sullo scenario italiano, ci parla Marika Di Simone, Key Account Manager – Cyber & Liability Insurance presso Relyens Italia.

Le normative europee in materia di cyber security e risk assessment: le direttive NIS

Un primo importante tassello che va a comporre lo scenario italiano contemporaneo sul tema di cyber sicurezza è composto dalla direttiva NIS 1, adottata dal Parlamento il 6 luglio 2016, in Italia in vigore nel 2018, la quale va a stabilire quelle misure sulla sicurezza dei sistemi, delle reti e delle informazioni volta a conseguire un livello di elevata sicurezza della rete, in ottica comune e coesa tra gli Stati membri. Questo passaggio fu importante per istituire un vero e proprio gruppo di cooperazione e agevolare la comunicazione strategica tra gli Stati membri.

La direttiva impone ad ogni Stato membro l’adozione di misure di sicurezza sia a livello tecnico che organizzativo, proporzionate e adeguate al rischio e all’impatto potenziale.
All’interno di questa direttiva assume sicuramente grande rilevanza la figura degli operatori dei servizi essenziali. È proprio a loro, infatti, che ci rifacciamo per quei servizi per la salute e per i fornitori di servizi digitali. Questi attori, secondo la direttiva NIS, sono tenuti ad adottare misure tecnico-organizzative adeguate alla gestione dei rischi e alla prevenzione degli incidenti informatici, tenendo in considerazione le linee guida predisposte dalle autorità competenti NIS. Tali linee guida acquisiscono quindi un’importanza fondamentale ai fini di dimostrare l’adeguatezza delle misure adottate.

Analoghi obblighi in materia di sicurezza sono previsti a carico dei fornitori di servizi digitali, i quali sono tenuti ad adottare misure tecniche-organizzative per la gestione dei rischi e per la riduzione dell’impatto di eventuali incidenti informatici.
Tra gli elementi più significativi della NIS 1 vi erano quindi l’intenzione di migliorare la capacità della cybersicurezza tra i singoli Stati, aumentare il livello di cooperazione ed efficientare la gestione dei rischi.
Nello spazio temporale e normativo intercorso tra la NIS 1 e la NIS 2 è emersa una difficoltà dei singoli Stati per quanto concerne le specifiche regole da adottare. Questo perché in primis ogni Paese attua diverse misure di sicurezza e stabilisce regole differenti per lo scambio di informazione; in secondo luogo perché si è reso necessario uniformare il sistema di sicurezza, estendendolo a determinati settori validi per ciascuno stato e imponendo l’adozione di una strategia nazionale di cybersecurity.

La direttiva NIS 2

Alla luce di queste criticità e lacune, il 10 novembre 2022 è stata approvata la NIS 2, che rinnova le misure di sicurezza e di gestione dei rischi cyber, nonché obblighi di comunicazione in tutti i settori critici. A completamento della NIS 1 questa volta sono stati definiti con precisione proprio gli ambiti, suddividendoli tra 11 settori definiti di alta criticità e 7 chiamati critici.
Tra i settori di alta criticità individuati con la NIS 2, si trovano il settore dell’energia, quello bancario, i trasporti, la sanità e le infrastrutture digitali, oltre alle infrastrutture dei mercati finanziari e gestione anche delle acque e pubblica amministrazione. I settori detti critici sono identificati sotto 7 ambiti quali i servizi postali e di corriere, quelli dediti alla gestione dei rifiuti, il settore chimico, l’alimentare/produttivo in genere, e poi dispositivi anche medici, alle apparecchiature elettroniche medicali, ai mezzi di trasporto e così via.

Marika Di Simone

Key Account Manager - Cyber & Liability Insurance

Il Piano Nazionale di Ripresa e Resilienza oggi rappresenta un importante acceleratore di processi, tra i quali rientra anche il tema della cyber sicurezza

Il contesto normativo italiano attuale in ambito cyber security e risk assessment, punti di forza e criticità

Dal 2022 lo scenario di riferimento è quello di una strategia nazionale di cybersicurezza che arriva fino al 2026: si tratta a tutti gli effetti di un piano strategico di implementazione, che prevede il raggiungimento di 82 misure entro il 2026, con l’obiettivo di proteggere e assicurare gli asset strategici nazionali attraverso normative che rispondano a un approccio di risk management e un quadro normativo più efficiente.

L’Italia dal canto suo, possiamo dire che ha dimostrato una grande reattività: il 17 gennaio 2023 è entrata in vigore la direttiva NIS 2, implementata al meglio con il quadro normativo nazionale, a partire dai soggetti coinvolti.

La direttiva NIS 2 distingue tra operatori di servizi essenziali e operatori di servizi importanti. Tra quelli essenziali rientrano, a differenza della precedente normativa, anche le pubbliche amministrazioni, oggi presenti in ambito sanitario, energetico, ma anche bancario, dei trasporti, banalmente e chiaramente anche delle infrastrutture digitali.
Tra i servizi importanti invece, abbiamo, i servizi postali e di corriere. Quindi, se a livello europeo parlavamo di settori critici e altamente critici, in Italia viene fatta questa distinzione: servizi importanti e servizi essenziali.

Possiamo constatare una situazione che è tutt’oggi ancora migliorabile, ma che permetterà, lungo il prossimo anno, di osservare come reagiranno gli enti e le istituzioni, nell’applicazione, tra i vari settori, delle normative sulla cyber sicurezza.

Il PNRR, facilitatore e campanello d’allarme

Il Piano Nazionale di Ripresa e Resilienza oggi rappresenta un importante acceleratore di processi, tra i quali rientra anche il tema della cyber sicurezza. Creare dei fondi opportuni permette di dar possibilità e modo ai settori di recepire la norma e di conseguenza di attuare le risposte necessarie. Rafforzare l’ecosistema digitale nazionale, potenziando i servizi di gestione della minaccia cyber e riuscire quindi ad avere una sinergia con le direttive dell’Unione europea, è certamente uno degli intenti che ha dato origine al PNRR. Allo stesso tempo, oltre che un acceleratore, ritengo che andrebbe anche percepito come un segnale di allarme sia a livello europeo che nazionale, facendo dunque arrivare agli enti e alle istituzioni la necessità di recepire queste normative, sia da parte di enti pubblici che privati.

La cyber sicurezza in sanità

Se da un lato è necessario costruire una cultura del rischio cyber trasversale, è fondamentale che l’ecosistema sanitario sia tra i primi a promuovere il cambio di visione.
Gli scarsi investimenti, innanzitutto dedicati alle infrastrutture tecnologiche informatiche, unite ad un’assenza di governance, di supporto e di personale adeguatamente preparato sul tema, segnalano l’urgenza di investire in formazione e sensibilizzazione. La consapevolezza è alla base di tutto, perché per garantire la sicurezza all’interno di un sistema è necessario che ciascuno sia consapevole del loro uso, che ciascuno conosca i rischi informatici e le contromisure da adottare.

Gli effetti in ambito assicurativo

Il PNRR ha stanziato 623 milioni da destinare alla cyber security: di questi, 174 sono impiegati per l’operatività dell’Agenzia delle reti e dei servizi in fase di realizzazione, 147 serviranno invece per le certificazioni tecnologiche e 301 saranno utilizzati per il potenziamento e la resilienza cyber della pubblica amministrazione.

In questo scenario, il settore assicurativo sicuramente gioca un ruolo fondamentale nell’accompagnare i professionisti e imprese a mitigare i danni derivanti da eventuali attacchi informatici mediante la sottoscrizione di polizze assicurative cyber.

Negli anni i sinistri sono aumentati e non solo in termini numerici ma parliamo di severità del singolo sinistro, fattore che ha comportato una revisione di quelle che sono le linee guida utilizzate dall’assicuratore. In un mercato che possiamo definire in crescita, ma ancora giovane per numerosità di contratti stipulati, ci si accorge che essere assicurabili non è di certo scontato.

Il processo assuntivo oggi richiede un’analisi approfondita degli asset di una organizzazione, è imprescindibile avere un set informativo dettagliato dei parametri essenziali di rischio da parte dell’assicuratore.

Uno degli intenti di Relyens in qualità di gruppo mutualistico europeo della gestione del rischio a tutto tondo è proprio quello di “comprendere e porre al centro nei nostri discorsi l’inserimento a pieno titolo della gestione consapevole del rischio cyber” aggiunge Anna Guerrieri, Risk Manager Director Italia. “La stessa crescita esponenziale dell’utilizzo dell’intelligenza artificiale impone un’attenzione speciale e dedicata sul tema, perché veramente le interferenze possono essere moltissime: dal punto di vista di perdita dei dati personali, di abuso di dati, sia dei pazienti che interni alla struttura” aggiunge Guerreri, evidenziando come anche in questo Relyens sia in prima linea come partner delle strutture e dell’ecosistema sanitario, come attori primari portatori di valore, ma anche di strumenti operativi, nella “tutela e nel contenimento del danno economico derivante da un attacco o da una problematica cyber, promuovendo formazione e sensibilizzazione”.