Proteggere il futuro
A colloquio con Serafino Sorrenti
Serafino Sorrenti, Chief Information Security Officer (CISO) presso il dipartimento per la trasformazione digitale della presidenza del consiglio dei ministri e membro permanente del nucleo per la cybersicurezza (NCS) presso ACN.
La trasformazione digitale ha reso il concetto di sicurezza informatica sempre più centrale per la resilienza del sistema Paese. Quali sono oggi le principali sfide per garantire una protezione efficace delle infrastrutture critiche?
La trasformazione digitale non è soltanto un’opportunità straordinaria per il progresso economico e sociale, ma rappresenta anche un terreno di scontro su cui si giocano le più sofisticate strategie di attacco cibernetico. La crescente interconnessione tra settori, l’adozione di soluzioni cloud e l’esplosione dell’Internet of Things amplificano la superficie d’attacco, rendendo sempre più sfumato il confine tra il dominio fisico e quello digitale. Le infrastrutture critiche – che includono settori come energia, trasporti, sanità e telecomunicazioni – non possono più essere difese con un approccio tradizionale basato sulla mera reattività. Oggi la resilienza deve essere il principio cardine, che implica un cambio di paradigma: dalla protezione alla capacità di adattamento. È in questa logica che la direttiva europea NIS2 impone standard più elevati per la gestione del rischio, enfatizzando l’importanza di misure preventive e di un approccio integrato alla sicurezza. Dobbiamo garantire che gli operatori di servizi essenziali adottino una strategia proattiva, che preveda una solida governance del rischio e una gestione tempestiva degli incidenti.
In un contesto globale in cui le minacce cyber sono sempre più sofisticate, quali competenze devono essere sviluppate per garantire una risposta efficace a questi nuovi scenari?
Le minacce cibernetiche si evolvono con una rapidità impressionante, rendendo necessaria una costante innovazione nelle competenze e nelle metodologie di difesa. Non si tratta più soltanto di saper gestire un’infrastruttura IT sicura, ma di sviluppare una visione strategica capace di anticipare gli attacchi. Le figure chiave di oggi devono possedere una combinazione di conoscenze tecniche avanzate e capacità di analisi sistemica. Pensiamo, ad esempio, alla necessità di comprendere i modelli di attacco basati sull’intelligenza artificiale o alle tecniche di penetration testing avanzato. Tuttavia, la mera competenza tecnica non è sufficiente: la cybersicurezza è una disciplina che coinvolge processi, persone e tecnologia. Abbiamo bisogno di esperti che sappiano dialogare con i vertici aziendali, traducendo i rischi cyber in implicazioni economiche e strategiche. La formazione deve quindi includere anche soft skills, come il crisis management, la comunicazione e la capacità di lavorare in team interdisciplinari. Ecco perché è cruciale investire nella crescita di una nuova generazione di professionisti della sicurezza, capaci di muoversi con agilità in un contesto in continua trasformazione.
Il contesto normativo europeo sta spingendo sempre più verso una maggiore armonizzazione e standardizzazione della cybersicurezza. Qual è l’impatto della direttiva NIS2 sul tessuto industriale italiano?
La direttiva NIS2 rappresenta una svolta fondamentale nel rafforzamento della resilienza cyber dell’Unione Europea. Il suo impatto sul tessuto industriale italiano è duplice: da un lato, impone un innalzamento del livello di sicurezza per un numero più ampio di soggetti, includendo non solo le infrastrutture critiche tradizionali ma anche aziende private operanti in settori strategici; dall’altro, crea un’occasione straordinaria per colmare il gap di maturità nella gestione del rischio cyber. Uno degli aspetti più significativi di questa direttiva è l’introduzione di obblighi più stringenti in termini di governance e reporting. Le aziende saranno chiamate a implementare piani di gestione del rischio più rigorosi, a garantire una maggiore trasparenza sugli incidenti e a rafforzare la cooperazione con le autorità nazionali. Questo obbligo di compliance, però, non deve essere visto come un mero adempimento burocratico, ma come un’opportunità per elevare la sicurezza aziendale a un asset strategico. In questo scenario, le piccole e medie imprese italiane – che spesso mancano delle risorse necessarie per affrontare il tema della sicurezza in modo strutturato – dovranno essere supportate in un processo di adeguamento che le renda più resilienti. Serviranno incentivi, formazione e una maggiore consapevolezza del rischio cyber come elemento integrante del business.
Nel contesto della cybersecurity, quanto è importante la collaborazione tra pubblico e privato per la resilienza del sistema Paese?
La cybersicurezza è, per definizione, un problema che nessun attore può affrontare da solo. Le minacce cyber non hanno confini, e un attacco a un’azienda privata può avere conseguenze dirette sulla sicurezza nazionale. Ecco perché la collaborazione tra pubblico e privato non è solo auspicabile, ma necessaria per garantire la resilienza del sistema Paese. Nel corso degli ultimi anni, abbiamo assistito a un significativo rafforzamento del dialogo tra le istituzioni e il mondo dell’impresa. Iniziative come il Perimetro di Sicurezza Nazionale Cibernetica hanno creato un framework di protezione che integra operatori pubblici e privati in un unico ecosistema difensivo. Tuttavia, c’è ancora molta strada da fare per costruire un modello di scambio informativo rapido ed efficace. Dobbiamo superare la logica della competizione per abbracciare un approccio collaborativo, in cui le informazioni su minacce e vulnerabilità siano condivise in modo tempestivo e strutturato. Le piattaforme di threat intelligence giocano un ruolo cruciale in questo contesto, così come la creazione di laboratori congiunti tra istituzioni e aziende per testare nuovi modelli di difesa. Il vero salto di qualità, però, arriverà quando la cultura della cybersicurezza diventerà parte integrante del tessuto imprenditoriale italiano, con una maggiore consapevolezza da parte dei consigli di amministrazione e dei decisori strategici. Solo così potremo costruire una difesa resiliente e dinamica, capace di adattarsi alle sfide di un mondo sempre più interconnesso e, purtroppo, sempre più vulnerabile.
La sicurezza informatica non è più un tema relegato agli specialisti IT, ma una priorità strategica per la sicurezza nazionale ed economica dell’intero Paese. La resilienza del sistema Italia dipende dalla nostra capacità di anticipare, adattarci e rispondere in modo coordinato alle sfide del cyberspazio. La direttiva NIS2, la crescita delle competenze e una più stretta collaborazione tra pubblico e privato rappresentano gli strumenti con cui possiamo costruire un futuro digitale sicuro, innovativo e sostenibile.
