La cyber security sta diventando un tema di importanza sempre maggiore per le imprese, anche per le PMI, a fronte di un aumento degli attacchi (anche gravi) nei confronti delle aziende del nostro Paese.
A confermare questo cambiamento, anche culturale, sono i numeri delle attività del Cyber 4.0, il Competence Center romano che supporta le imprese nella costruzione di competenze legate alla cyber security e nell’implementazione delle tecnologie necessarie.
Ad oggi, infatti, sono circa 800 aziende coinvolte, 140 corsi erogati e numerosi progetti di innovazione sostenuti attraverso i bandi di progetto.
“Le domande che riceviamo ci mostrano che le PMI italiane stanno iniziando a capire che la cybersecurity non è solo una tecnologia o un altro software da aggiungere alla pila, ma un processo continuativo che permea l’organizzazione aziendale, soprattutto con l’emergere di nuovi ruoli manageriali”, afferma Matteo Lucchetti, direttore di Cyber 4.0.
Le PMI rappresentano il 76% delle aziende che ricevono incentivi dal Ministero dell’Innovazione e Made in Italy per accedere ai servizi del Competence Center.
Tra questi, i più richiesti sono quattro: valutazione tecnica e organizzativa, formazione, test before invest e consulenza sull’innovazione.
“Ciò indica da un lato la volontà di rivedere le strutture organizzative interne per rafforzare la protezione dei dati e delle informazioni sensibili, e dall’altro la determinazione di essere pronti a rispondere a potenziali criticità, sia attraverso una valutazione dello stato attuale delle difese cyber, sia attraverso un aggiornamento attivo delle competenze interne”, aggiunge Lucchetti.
Indice degli argomenti
Cyber security, l’aumento della consapevolezza trainato dalla drastica crescita degli attacchi in Italia
In Italia, oltre il 99% delle aziende sono micro, piccole o medie imprese e il 97% di esse ha implementato uno o più sistemi digitali gestiti internamente.
Oltre un quarto di queste ha subito attacchi cyber nel 2022, che hanno compromesso l’operatività per periodi variabili. Nel 2023, l’11% degli attacchi gravi a livello globale si è verificato in Italia (rispetto al 7,6% del 2022), gli attacchi nel nostro paese sono aumentati del 65% rispetto all’anno precedente e un quarto del totale di quelli diretti al settore manifatturiero a livello globale riguarda realtà italiane (dati Rapporto Clusit 2024 sulla sicurezza ICT in Italia).
Secondo uno studio ENISA su base EU, nella stragrande maggioranza dei casi (oltre l’80%) l’attacco alle PMI avviene tramite social engineering.
Pertanto, Cyber 4.0 raccomanda come primo punto del suo Vademecum sulla Cybersecurity per le PMI lo sviluppo di una robusta cultura della cybersecurity.
Questo include diverse misure: nominare un responsabile interno per la sicurezza informatica, coinvolgere il personale, pubblicare le politiche e condurre audit sulla cyber sicurezza.
“La natura delle richieste di formazione che riceviamo recentemente rappresenta un cambiamento, poiché evidenzia una necessità a lungo termine: sempre più aziende stanno prendendo coscienza della necessità di rivedere l’organizzazione interna, investire nell’aggiornamento del personale e programmare una crescita organizzativa in termini di cybersecurity”, spiega Lucchetti .
Questo si realizza principalmente attraverso master dedicati allo sviluppo di competenze per ruoli manageriali, come quelli offerti da Campus Biomedico e Luiss, partner del consorzio Cyber 4.0 che, oltre a partecipare alla faculty e a definire il programma, può co-finanziare l’accesso delle aziende a questi corsi fino al 70%, attraverso fondi PNRR.
La carenza di competenze frena le strategie di cyber security delle aziende
Tuttavia, lo scenario non è ottimale in termini di prevenzione: negli ultimi 12 mesi solo il 15% delle aziende ha organizzato corsi di formazione o eventi di sensibilizzazione sui rischi della criminalità informatica per i propri dipendenti (19% in UE, dati Eurobarometro PMI e criminalità informatica).
La carenza di competenze in questo settore non è limitata all’Italia. Nell’Unione europea mancano 300mila profili cyber, un divario che non può essere colmato con il numero attuale di laureati nel settore.
Pertanto, sono necessari ulteriori investimenti nel re-skilling e nell’upskilling. Ed è proprio quello che Cyber 4.0 permette alle aziende italiane di fare con i suoi corsi di formazione, co-finanziati dal PNRR.
“Mantenere le competenze è fondamentale nel campo della cybersecurity, caratterizzato da rapidi e costanti cambiamenti tecnologici, anche nell’arco di un solo anno. Tra gli altri corsi che il Centro può erogare, ci sono l’alfabetizzazione di base per le imprese di qualsiasi settore; aggiornamenti tecnici avanzati per la formazione del personale su certificazioni professionali (standard ISO, normative di settore, privacy…) delle aziende che producono software o servizi digitali; piani di sensibilizzazione del personale attraverso corsi e attività più ampie per le grandi aziende”, prosegue.
Cyber 4.0, i servizi alle imprese e le opportunità future
È importante ricordare che Cyber 4.0 è un soggetto attuatore PNRR per conto del Ministero delle Imprese e del Made in Italy.
I fondi sono erogabili sotto forma di incentivi alle imprese e co-finanziamento di progetti di ricerca e innovazione.
Tra le altre attività previste nei prossimi mesi ci sono il lancio di una piattaforma di servizi per le aziende tramite abbonamento e nuovi bandi di progetto, attività istituzionale tipica del Centro di Competenza.
“I dati nazionali non dipingono un quadro incoraggiante ma le opportunità per la crescita non mancano e ci sono diverse condizioni favorevoli alla ripresa della cybersecurity”, conclude Lucchetti.
Ci sono in particolare tre fattori molto rilevanti dal punto di vista normativo:
- la direttiva NIS2, per un alto livello comune di cybersicurezza in tutta l’Unione, che dovrà essere recepita entro il prossimo ottobre
- il Cyber resilience Act, appena approvato dal Parlamento europeo, sui requisiti di sicurezza dei prodotti con componenti digitali conformi al marchio CE, che dà ai produttori 36 mesi per adeguarsi
- l’Artificial Intelligence Act, appena approvato, che introduce un ulteriore livello di analisi del rischio per le tecnologie che utilizzano l’Intelligenza Artificiale.
“In questo scenario, Cyber 4.0 continuerà a essere un punto di riferimento affidabile per guidare policy maker, imprese e PA verso una digitalizzazione sicura, attraverso soluzioni concrete, strategiche e sostenibili”, conclude Lucchetti.