Marnix Dekker: l’obiettivo è garantire più tutele senza frenare le aziende

L’esigenza di proteggere i sistemi digitali si confronta con quella di mantenere la competitività delle imprese: trovare un equilibrio tra queste due priorità è fondamentale nella formulazione delle regole. A questo proposito interviene Marnix Dekker, vicecapo dell’unità per la resilienza dei settori critici presso Enisa, che sta contribuendo alla definizione delle nuove proposte europee in materia di sicurezza informatica.

Marnix Dekker ha spiegato:

“Quando si fanno le normative bisogna tenere conto di queste due esigenze.”

Secondo Enisa, l’Unione europea ha già introdotto numerose regole per la cybersicurezza che, se diverse tra gli Stati membri, finiscono per complicare l’operatività delle aziende. La nuova proposta intende rafforzare la sicurezza dell’intero ecosistema digitale e allo stesso tempo creare maggiore omogeneità tra gli approcci nazionali.

Certificazione aziendale e armonizzazione

La proposta punta a introdurre uno schema di certificazione che incida sull’intera organizzazione, anziché limitarne l’applicazione ai singoli servizi. Questo cambiamento è pensato per agevolare la mobilità delle imprese sul mercato interno e ridurre la frammentazione normativa.

Marnix Dekker ha dichiarato:

“Introducendo per esempio una certificazione cyber trasversale sull’azienda stessa, non solo sui servizi che offre, la certificazione sarebbe uguale per tutti i Paesi e aiuterebbe le aziende a lavorare facilmente in più Stati, semplificando al tempo stesso il lavoro dell’autorità nella supervisione dei settori critici sotto la NIS2.”

Un certificato uniforme faciliterebbe anche il compito delle autorità nazionali che devono vigilare sull’applicazione della NIS2, la direttiva europea per la sicurezza delle reti e dei sistemi informativi che interessa i servizi essenziali e gli operatori di infrastrutture critiche.

Catena di fornitura e sovranità digitale

La valutazione della catena di fornitura e dei legami con Paesi terzi è uno degli aspetti più delicati: da un lato serve a mitigare rischi esterni, dall’altro può essere percepita come un fattore che complica l’operatività. È tuttavia necessario comprendere come si sia evoluto il contesto tecnologico.

Marnix Dekker ha spiegato:

“Bisogna capire il contesto: l’IT non è più quella di una volta, un sistema chiuso gestito internamente all’azienda. Ora è tutto basato sul cloud, sempre connesso e gestito da terzi, i managed service providers. Servono aggiornamenti giornalieri, già con un piccolo ritardo si è a rischio. Per questo si delega sempre più a fornitori esterni la configurazione e la gestione dei prodotti. Le responsabilità e i compiti di sicurezza si spostano su questi soggetti: da qui il problema della sovranità. Da dove arriva l’IT e chi lo gestisce? Chi ha accesso ai dati? È un Paese di cui ti puoi fidare?”

Queste domande richiamano il concetto di sovranità digitale: conoscere l’origine tecnologica e la giurisdizione dei fornitori diventa cruciale per valutare i rischi operativi e geopolitici. Per le autorità, ciò comporta la necessità di strumenti di valutazione dei fornitori e di procedure di controllo più articolate, mentre per le imprese implica una maggiore attenzione nella selezione e nel monitoraggio dei partner.

L’esperienza delle telecomunicazioni e l’estensione alle altre reti

Il tema della gestione dei rischi legati ai fornitori non è nuovo: nel settore delle telecomunicazioni il passaggio dal 4G al 5G ha evidenziato vulnerabilità e dipendenze che hanno richiesto risposte comuni a livello europeo.

Marnix Dekker ha ricordato:

“Nelle telecomunicazioni è diventato un problema con il passaggio dal 4G al 5G. È un settore critico, con dati importanti. Qualche anno fa è stato sviluppato a livello europeo il 5G Toolbox, una linea guida per gestire nuovi rischi, ma l’adozione era volontaria: alcuni Paesi hanno fatto tanto, altri meno, in una situazione di disparità. Con la nuova proposta l’UE introduce un sistema per gestire quei rischi non tecnici provenienti dai fornitori nei Paesi a rischio, come la Cina, includendo tutti i settori, non solo telecomunicazioni.”

L’intento è dunque estendere l’approccio seguito per le reti mobili a tutti i settori essenziali, creando misure comuni per valutare e mitigare rischi non strettamente tecnici, come quelli legati a forniture e controlli esterni. Ciò può incidere su requisiti di procurement, due diligence e strumenti di verifica a livello nazionale ed europeo.

Minacce attuali e prospettive

Lo scenario delle minacce resta variegato e in continua evoluzione: attacchi informatici sofisticati colpiscono infrastrutture critiche, imprese e istituzioni pubbliche, con tecniche che si stanno potenziando anche grazie all’uso dell’intelligenza artificiale.

Marnix Dekker ha indicato:

“Un po’ di tutto, come stiamo già vedendo da anni: si va dal ransomware alle minacce ibride e allo spionaggio da parte di gruppi legati agli Stati. Le capacità degli aggressori continuano a migliorare, diventano sempre più veloci e ora sono anche supportate dall’Ai. Prendono di mira infrastrutture critiche, aziende, governi centrali, ma anche Comuni, politici, giornalisti. Tanti attacchi iniziano ancora con un’email. L’abbiamo visto anche agli inizi della guerra iraniana: un gruppo russo ha usato dei messaggi che davano informazioni sulla guerra per riuscire a infiltrarsi nei sistemi.”

La combinazione di tecniche tradizionali (phishing, exploit, ransomware) con strumenti automatizzati e basati su AI rende prioritari investimenti in patching tempestivo, sistemi di rilevamento e risposta agli incidenti e trasparenza nella catena di fornitura. A livello istituzionale, si richiedono coordinamento tra autorità nazionali, scambio di informazioni tra Stati membri e standard condivisi per elevare la resilienza complessiva dell’ecosistema digitale.