Senza competenze digitali aziende IMPREPARATE alle norme europee

La transizione digitale delle aziende italiane è ancora lunga. Secondo l’osservatorio dell’Istituto per la competitività, I-Com, diretto da Stefano da Empoli, l’aumento degli adempimenti previsti dalle normative in materia di cybersicurezza può impattare in maniera significativa sulla competitività delle imprese. Perché in ballo ci sono sia questioni tecnico-organizzative, sia burocratiche e amministrative. Per tutte, servono tanti investimenti in tecnologia ma anche in capitale umano. E, appunto, siamo lontani dal traguardo.

Infatti, dice il rapporto, la maggior parte delle imprese assegna meno del 3% del budget IT alla cybersecurity, solo una minima parte ne alloca più del 15%, mentre il 42% sta ancora valutando un eventuale incremento delle risorse destinate alla sicurezza informatica e solo il 25,4% ha deciso di aumentarle. Eppure, otto imprese su dieci (81%) sono già consapevoli di dover investire sulla formazione del personale in maniera diversificata per ruolo e competenze. Nel mondo accademico, ancor di più: a gennaio di quest’anno, ad esempio, si rilevano 774 tra corsi e insegnamenti relativi alla cybersicurezza rispetto ai 520 individuati a inizio 2024 (+48%). Ma se guardiamo a livello regionale, il quadro è frammentato e disomogeneo. C’è, infatti, una forte concentrazione nel Lazio (180 tra corsi e singoli insegnamenti), in Lombardia (119) e in Campania (70). In relazione all’offerta formativa specializzata, dice il rapporto, il Lazio si conferma la regione più interessata con 32 percorsi, catalizzando buona parte dell’offerta formativa sia in termini di lauree dedicate (5 corsi di laurea), sia per quanto riguarda le specializzazioni post-laurea (12 progetti di ricerca in dottorato e 15 master). Nel complesso, però, l’elevato numero di master specifici sui temi della cybersicurezza (30 su tutto il territorio nazionale) suggerisce un aumento della domanda di approfondimento post-laurea di questi temi. Inoltre, per quanto riguarda la formazione superiore, un ruolo di rilievo è rivestito dagli Its che hanno lo scopo di formare personale tecnico in aree strategiche per lo sviluppo economico del Paese. Da un’analisi svolta da I-Com emerge infatti che gli Its che si occupano di cybersicurezza sono il 35,4% rispetto al numero complessivo di quelli attivi, una quota più che raddoppiata rispetto alla rilevazione precedente effettuata a inizio 2024.

Ad oggi, però, il quadro sulla popolazione italiana ed europea è ancora fosco. Come scrive I-Com nel rapporto, è infatti “ancora esigua” la fetta di popolazione provvista delle capacità digitali anche solamente ad un livello considerato basico (55,6%). Per non parlare dei divari inter-generazionali per cui solamente il 28,2% delle persone con età tra i 65 e 74 anni in Ue possiede competenze digitali almeno di base. In Italia, ancora peggio, il dato relativo alla popolazione complessiva con competenze almeno di base si attesta al 45,8%, ed anche quelli suddivisi per classe d’età risultano tutti al di sotto delle medie europee.

Tornando alle imprese, la maggior parte ha dichiarato di non aver conseguito alcun tipo di certificazione e per il 35% un primo ostacolo all’ottenimento di una certificazione volontaria di cybersecurity risiede nei costi elevati del processo di certificazione, che non sono percepiti come proporzionati ai benefici. Il 19% sostiene, invece, che i tempi per il rilascio della certificazione stessa sono troppo dilatati. Ma appare incoraggiante, secondo I-Com, che il 74,5% delle aziende sia d’accordo in merito al fatto che standard comunitari – come gli European Common Criteria-based cybersecurity certification scheme (Eucc) – possono incentivare le imprese a certificarsi. Ciò che serve, poi, è approfondire il tema sulla possibilità rendere mandatoria la certificazione di cybersicurezza per determinati prodotti, servizi e processi Ict, poiché oltre il 70% dei rispondenti non ha ancora avviato (o, in alcuni casi, portato a termine) la valutazione sui vantaggi e svantaggi circa la volontarietà o l’obbligatorietà di tali strumenti.

Ma non sono solo le imprese a doversi muovere. Dice I-Com, infatti, che con l’entrata in vigore del decreto legislativo di recepimento della direttiva Nis2 lo scorso 16 ottobre, l’Agenzia per la Cybersicurezza Nazionale (Acn) è tenuta ora a declinare nel dettaglio gli obblighi per imprese e soggetti pubblici, per cui è cruciale che lo faccia secondo una logica di gradualità ed essenzialità delle misure richieste, differenziando queste ultime in base alle peculiarità dei singoli settori e del livello di rischio. Le iscrizioni al portale Acn sono scadute il 28 febbraio scorso. Ma per l’istituto della competitività serve anche fissare criteri chiari per il risk assessment, ad esempio prendendo come riferimento alcuni standard già utilizzati per il Perimetro di Sicurezza Nazionale Cibernetica (Psnc), anche al fine di evitare sovrapposizioni di adempimenti, in particolar modo per quegli operatori che saranno obbligati al rispetto di entrambe le discipline. Sulla Nis2, secondo I-Com il livello di awareness in Italia è pari al 96%, in quinta posizione a livello comunitario, e siamo lo Stato Membro più virtuoso nel coinvolgimento degli organi di gestione nella formazione in cybersicurezza (70% delle organizzazioni intervistate). Rispetto all’approvazione delle misure di gestione dei rischi cyber, anche in questo caso l’Italia si posiziona tra i primi della classe, al secondo posto (94%).

“La cybersecurity non può più essere considerata un optional ma un investimento indispensabile per accompagnare il successo economico di lungo termine di un’impresa”, spiega il presidente da Empoli a Diario Diac. “Piuttosto va evitata l’iper-regolamentazione che può esprimersi nei confronti delle grandi imprese così come della startup che vogliono espandersi su diversi mercati nazionali con l’eccessiva frammentarietà del quadro normativo. Ma anche con una compliance troppo onerosa, se applicata alle piccole aziende. Dunque, sia in Italia che in Europa sembra essere arrivato il momento per un esercizio reale di semplificazione, naturalmente per sfrondare, uniformare e sistematizzare, dunque senza compromettere in alcun modo standard elevati di sicurezza”.

Ieri, intanto, la Pmi quotata Circle ha annunciato l’avvio di un contratto quadro strategico dal valore di 500.000 euro destinato a garantire servizi portuali all’avanguardia, conformi ai nuovi requisiti imposti dalla Direttiva Nis2 e dai nuovi requisiti nazionali. “Con questo contratto, in linea con il nostro piano strategico Connect 4 Agile Growth, intendiamo consolidare la nostra leadership nel settore dei servizi portuali, garantendo alle aziende del settore una soluzione integrata, sicura e compliant, evitando ritardi e criticità operative – ha commentato Luca Abatello, Ceo di Circle Group -. L’investimento è finalizzato a migliorare la resilienza informatica delle infrastrutture portuali, assicurare la continuità operativa e proteggere contro le minacce informatiche, promuovendo al contempo la conformità normativa ed evitando rischi di sanzioni e interruzioni di servizio”. Ma il mondo portuale è solo uno dei tanti chiamato alla sfida digitale.