La direttiva NIS 2, in fase di imminente recepimento in tutta Europa, mira a rafforzare ulteriormente la sicurezza delle reti e dei sistemi informativi e a garantire un livello adeguato di resilienza cibernetica a livello comunitario. Tra gli aspetti trattati dalla direttiva NIS 2, vi è l’obbligo per tutte le realtà che rientrano nel suo perimetro (molto più ampio rispetto al passato e comprensivo delle medie aziende con un fatturato superiore ai 50 milioni di euro) di valutare e gestire i rischi relativi alla propria catena di fornitura. Questo rappresenta un cambiamento significativo, poiché presto qualsiasi piccola azienda che ha come clienti realtà medie o grandi e che sia collegata a queste via informatica, sarà valutata dal punto di vista della cybersecurity. Nel caso in cui non sia in linea con le comuni best practice, potrebbe rischiare di essere esclusa da importanti contratti.

Come noto, le PMI (in Italia come in altri Paesi) tendono ad avere una postura di cybersecurity inferiore rispetto alle grandi aziende. Questo è dovuto a diversi fattori: limitate risorse finanziarie e umane, mancanza di consapevolezza e formazione, difficoltà a tenere il passo con una complessità tecnologica crescente. Una ricerca che ha messo in luce quali sono i requisiti di cybersecurity richiesti dalle grandi organizzazioni nei confronti della propria filiera è l’“Analisi dei requisiti presenti nei capitolati di gara in tema di cyber security”, realizzata nel 2023 dal Gruppo di Lavoro “Cyber Resilienza delle Infrastrutture Critiche” coordinato dal Prof. Roberto Setola, Full Professor, Università CAMPUS Biomedico di Roma e Direttore del Master Cybersecurity Management.

Lo studio ha analizzato i requisiti presenti nei capitolati e nei documenti relativi alle procedure di accreditamento dei fornitori di 32 aziende di rilevanza nazionale. Queste aziende hanno fornito in modo anonimizzato tali informazioni, solitamente inserite nei propri documenti commerciali. Sono stati quindi esaminati e sintetizzati tutti i contratti che riguardano la fornitura di beni e servizi, compresi quelli di natura IT, per i quali il fornitore deve entrare in contatto diretto, in qualsiasi forma, con i sistemi informatici del committente.

Confrontando i documenti delle aziende che hanno partecipato all’indagine, si possono evidenziare quelle che sono le condizioni minime e imprescindibili di cybersecurity che sono richieste a PMI che intendano operare quali fornitori di beni o servizi, siano essi servizi di ICT o altro tipo. Abbiamo intervistato il Prof. Roberto Setola sui principali risultati della ricerca.

Quali sono i principali risultati del vostro studio sui requisiti di cybersecurity che le grandi organizzazioni hanno richiesto fino ad oggi ai propri fornitori?

I principali risultati del nostro studio sui requisiti di cybersecurity richiesti dalle grandi organizzazioni ai fornitori includono due aspetti significativi. Un primo aspetto è prospettico e normativo. Le grandi aziende prevedono nei loro capitolati di gara requisiti di cybersecurity per le forniture legate agli ambienti digitali. Ciò significa che una PMI che non soddisfi tali requisiti rischia di perdere il proprio mercato di riferimento. Questo aspetto sarà amplificato ulteriormente con l’entrata in vigore del decreto legge italiano di recepimento della Direttiva NIS 2, dove il richiedere requisiti di cybersecurity non sarà solo una prassi diffusa tra le grandi aziende, ma diventerà un obbligo normativo per molte di esse.

Il secondo tema è il focus su procedure e formazione. Nonostante la cybersecurity sia spesso vista come una questione tecnologica, ciò che le grandi aziende richiedono ai propri fornitori non è tanto il possesso di specifiche soluzioni o software di cybersecurity, ma piuttosto l’implementazione di adeguate procedure per garantire la cybersecurity e la formazione adeguata del personale. Emerge dal nostro studio che, sebbene la tecnologia sia importante, senza procedure adeguate a gestire eventi ordinari e di emergenza e senza personale opportunamente preparato, non si può garantire la sicurezza necessaria.

I risultati del nostro studio indicano che le piccole aziende dovrebbero concentrarsi sulla formazione del personale e sulla creazione di procedure di sicurezza, in parallelo agli investimenti nelle tecnologie di cybersecurity. La formazione e le procedure non solo contribuiscono a proteggere le PMI da azioni malevole come phishing ed estorsioni da ransomware, ma anche da azioni criminali di portata più ampia. Le piccole aziende spesso non sono bersagli di attacchi mirati, ma piuttosto di attacchi a spettro ampio, e possono cadere vittime a causa di disattenzioni individuali o a causa della mancanza di procedure adeguate al proprio interno. Un esempio lampante di questo è il rischio rappresentato dall’attacco BEC (Business Email Compromise), dove un criminale, attraverso un furto di identità perpetrato ai danni di un soggetto terzo, convince la PMI a cambiare l’IBAN per i pagamenti, causando danni economici considerevoli. In questo caso, la PMI è vittima dell’attacco non perché manca una tecnologia di protezione, ma perché manca un controllo più rigoroso e procedure specifiche per prevenire tali eventi.

In breve, investire nella formazione del personale e nello sviluppo di procedure di sicurezza è essenziale per proteggere le piccole aziende da una varietà di minacce cibernetiche e per ridurre al minimo i rischi di attacchi e le perdite finanziarie.

Leggendo l’analisi si osserva che in generale le grandi aziende non richiedono alle PMI di essere certificate con le classiche certificazioni di sicurezza (es. ISO27001), anche se poi molti dei controlli fatti dai grandi committenti nei propri capitolati e contratti ricadono nei diversi ambiti di una certificazione.

Lo studio mette in evidenza un punto cruciale riguardo alla certificazione in materia di cybersecurity e alla sua percezione da parte di grandi imprese ed enti pubblici. Emerge chiaramente che quando un’organizzazione non possiede una cultura avanzata di cybersecurity, tende a richiedere la certificazione ai propri fornitori come misura di tutela. In particolare, gli appalti della Pubblica Amministrazione prevedono, nella quasi totalità dei casi, l’obbligo di una o più certificazioni, mentre ciò non avviene nei capitolati di molti soggetti che pur posseggono una consolidata e comprovata corretta postura cyber.

Questo fenomeno può essere spiegato da diverse motivazioni. In primo luogo, la certificazione può essere vista come un percorso che aiuta a elevare il livello di competenza e sicurezza all’interno dell’azienda che la ottiene. Tuttavia, è importante sottolineare che la cybersecurity è un percorso in continua evoluzione e non può essere considerata come una meta raggiunta una volta ottenuta la certificazione. Questo porta al rischio che la certificazione venga fraintesa come un semplice “bollino di qualità”, creando quindi una falsa percezione di sicurezza.

Il vero focus dovrebbe essere invece sulla continua attenzione e impegno verso la cybersecurity, piuttosto che sull’ottenimento di una certificazione. Molte aziende, anche quando non richiedono la certificazione ai propri fornitori, si impegnano attivamente a valutare la postura di sicurezza della terza parte attraverso incontri e audit.

Inoltre, emerge che più il committente desidera instaurare un rapporto di fiducia duraturo con la terza parte, più è incline a condurre audit e verifiche dirette per assicurarsi della sicurezza dei servizi offerti. Questo tipo di approccio non solo contribuisce a garantire la sicurezza delle supply chain, ma favorisce anche lo sviluppo di una collaborazione più stretta e di attività congiunte, come la condivisione di informazioni sulla minaccia (threat intelligence). In conclusione, l’attenzione costante alla cybersecurity e la promozione di rapporti di fiducia e collaborazione reciproca emergono come elementi cruciali per garantire la sicurezza delle reti e dei sistemi informativi all’interno delle supply chain.

Ci sono capitolati che chiedono al fornitore di effettuare analisi del rischio o di dotarsi di approcci risk based?

I capitolati che chiedono ai fornitori di effettuare analisi del rischio non sono la maggioranza. Va osservato però che la Direttiva NIS 2 impone, agli operatori che rientrano nel perimetro della norma, quindi in generale le infrastrutture critiche e le realtà medio grandi nel privato e nel pubblico, una gestione sicura della propria filiera senza però dare obblighi espliciti alla filiera stessa. L’analisi del rischio è in testa ai soggetti che rientrano nell’ambito della NIS 2. Peraltro, bisognerà poi vedere come questo sarà declinato dal legislatore italiano.

Ci sono aspetti che avete visto nell’analisi fatta sui requisiti dei capitolati delle grandi aziende italiane, che superano anche i requisiti delle certificazioni o delle norme?

Sì, c’è tutto il tema della classificazione del dato e quindi di una gestione con un diverso livello di sicurezza a seconda della tipologia di dato: un tema che non è nelle certificazioni e non è esplicitato neanche nella NIS 2. Proteggendo allo stesso livello tutte le diverse tipologie di informazioni in azienda si rischia di non proteggere nulla.

Su questo aspetto, come anche su altri, abbiamo osservato che alcune organizzazioni hanno maggiore sensibilità che non altre, per storia personale o per singoli episodi vissuti. Va poi aggiunto che alcune grandi aziende che hanno partecipato all’analisi, leggendo i risultati si sono poste il tema di considerare più aspetti. In particolare, questo: la classificazione del dato in termini di requisiti di sicurezza.