compliance Nis 2 a costi contenuti

Il livello di cybersecurity nelle PMI italiane

Il problema è serio, non solo per i potenziali impatti sul business degli attacchi informatici (ormai all’ordine del giorno), ma anche se considerato in ottica di conformità normativa, vista la recente entrata in vigore della direttiva europea NIS 2 per la protezione dei servizi critici, che ha esteso i settori merceologici di applicazione della precedente direttiva, interessando in modo diretto le medie imprese e indiretto le piccole, in quanto parte della filiera.

Le PMI, in pratica, devono ora conformarsi a requisiti di sicurezza più stringenti che includono l’adozione di misure tecniche e organizzative adeguate. Gli investimenti e la disponibilità di figure professionali dedicate non è più quindi un’opzione ma un obbligo. La soluzione? Si può trovare con opportune scelte manageriali e cambiando la cultura aziendale.

Strategie manageriali per finanziare la cybersecurity PMI

Più che trovarne di nuove, le risorse per finanziare la sicurezza cyber possono essere trovate attraverso scelte di gestione. Vediamo le principali.

Ottimizzazione dei costi operativi

Automatizzare processi ripetitivi e migliorare l’efficienza operativa può ridurre i costi di gestione. Per esempio, l’uso di software di gestione automatizzata può ridurre il tempo dedicato alle attività amministrative, arrivando a far risparmiare fino al 20-30% dei costi operativi.

Formazione del personale

Investire nella formazione sulla cybersecurity per i dipendenti può prevenire gli attacchi. La formazione può includere il riconoscimento di phishing, l’uso sicuro delle password e le pratiche di sicurezza, riducendo il rischio d’incidenti fino al 70%.

Collaborazione con altre aziende

Le PMI possono formare consorzi o gruppi di lavoro per condividere risorse e conoscenze sulla cybersecurity, incluso l’acquisto condiviso di soluzioni di sicurezza. Attraverso gli accordi di collaborazione si possono ridurre i costi di cybersecurity fino al 40%.

Utilizzo di soluzioni cloud

L’adozione dei servizi cloud, non consente solo d’incrementare il livello di sicurezza, ma anche di ottenere importanti benefici economici. Le aziende che migrano ai servizi cloud possono ridurre i costi IT complessivi fino al 30%. Questo risparmio deriva principalmente dalla diminuzione delle spese per l’infrastruttura hardware, la manutenzione e l’aggiornamento dei sistemi, la maggiore efficienza operativa. Un recente rapporto ha stimato, per esempio, che le aziende possono risparmiare in media il 15-20% sui costi IT annuali grazie a scalabilità e flessibilità delle soluzioni cloud.

Accesso a fondi e incentivi

Il PNRR offre fondi specifici per la cybersecurity, destinati a migliorare la protezione digitale delle PMI che possono ottenere finanziamenti fino al 50% dei costi di applicazione delle soluzioni per la sicurezza informatica.

Adozione di una strategia di cybersecurity

Sviluppare una strategia chiara e mirata permette alle PMI di focalizzarsi sulle aree critiche e di gestire meglio le risorse, incrementando l’efficienza della sicurezza informatica fino al 60%.

Evoluzione dell’IT manager nella cybersecurity PMI

Un percorso come quello delineato richiede anche un’importante trasformazione culturale e un’evoluzione del responsabile IT che non è più solo un gestore di infrastrutture locali, ma diventa un orchestratore di risorse distribuite. Questo nuovo ruolo richiede una forte capacità anche manageriale di valutare e selezionare i fornitori di cloud, garantendo che le soluzioni offerte siano in linea con le esigenze strategiche e operative dell’azienda.

Le competenze richieste includono una profonda conoscenza delle tecnologie cloud e delle best practice di sicurezza, poiché è fondamentale comprendere come configurare e gestire le risorse cloud in modo sicuro. Il responsabile IT deve possedere competenze di gestione dei contratti e SLA (Service Level Agreement) per assicurarsi che i fornitori rispettino i livelli di servizio concordati e che eventuali problemi siano risolti tempestivamente.

È essenziale, inoltre, che il responsabile IT abbia capacità di governance e conformità, comprendendo le normative che impattano l’azienda (per esempio, GDPR) e come i fornitori cloud supportano tali requisiti.

Un’altra competenza chiave è la capacità di gestire i costi e ottimizzare l’uso delle risorse cloud, poiché i servizi cloud offrono modelli di pricing complessi che richiedono una gestione attenta per evitare sprechi.

Infine, il responsabile IT deve essere un abilitatore dell’innovazione, capace d’identificare le nuove opportunità offerte dalle tecnologie cloud e d’integrarle nelle operazioni aziendali per migliorare l’efficienza e la competitività. Questo implica una continua formazione e aggiornamento sulle nuove tendenze tecnologiche e le soluzioni emergenti.

Competenze di cybersecurity per le PMI moderne

Alle qualità indicate si aggiungono poi le competenze necessarie a gestire in modo efficace le sfide sempre più complesse poste dalla cybersecurity, da conciliare con le dimensioni spesso contenute delle organizzazioni IT. L’IT Manager deve essere in grado di gestire una serie di aspetti.

• Valutazione e gestione dei rischi, per identificare correttamente le minacce alla cybersecurity aziendale e di conseguenza indirizzare correttamente gli investimenti.
• Definizione delle politiche e delle architetture di cybersecurity, che devono operare in maniera sinergica, al fine d’integrarsi in un sistema complessivo che risulti efficace.
• Gestione degli incidenti, in termini di capacità di risposta, valutazione degli impatti e gravità al fine di tutelare l’operatività e la reputazione aziendale, oltre che rispettare le normative (es. GDPR, NIS2).
• Comunicazione e diffusione della cultura della sicurezza, in modo tale che tutto il personale adotti pratiche sicure e si riduca l’impatto di frodi legate per esempio ai phishing.
• Monitoraggio dell’evoluzione normativa e regolamentare nazionale ed europea che disegna oggi sui temi tecnologici e di cybersecurity un quadro di particolare complessità, basti solo mettere in fila gli ultimi interventi: GDPR, NIS2, DORA, Data Act, Cybersecurity Act, AI Act.

Soluzioni di cybersecurity esterne per le PMI

Le competenze e le capacità richieste all’IT manager sono certamente rilevanti considerando che le strutture ICT delle PMI hanno, tipicamente, dimensioni molto contenute. Nell’impossibilità di rispondere adeguatamente, resta la soluzione di esternalizzare in tutto o in parte la funzione di CISO (Chief Information Security Officer) ricorrendo ai CISO-as-a-Service.