Investire nella cybersecurity. Quali sono le tendenze di un pilastro strategico del Piano di Transizione 5.0
Si prevede che nel 2025 41 miliardi di dispositivi in tutto il mondo saranno collegati all’internet delle cose, così la cybersecurity assume un ruolo di primo piano e la sicurezza informatica diventa un elemento cruciale per la sopravvivenza e la competitività delle aziende.
In uno scenario dove sono sempre più diffusi malware progettati per rubare credenziali bancarie, software che consentono il controllo remoto dei dispositivi o che servono a scaricare ulteriori malware, il Piano Transizione 5.0 rappresenta un’opportunità significativa per le imprese italiane chiamate a investire in cybersecurity.
Il Piano Transizione 5.0
Il Piano Transizione 5.0, che mira a sostenere e accelerare la trasformazione digitale ed energetica delle imprese nazionali, rendendole più competitive e sostenibili a livello internazionale. Prevede incentivi fiscali specifici per gli investimenti in tecnologie e soluzioni che migliorano la sicurezza informatica agevolando l’acquisto di software e hardware per la sicurezza, proponendo sostegno per gli investimenti sui servizi di consulenza e formazione sui rischi e agevolazioni per investire su soluzioni per proteggere i dati e le applicazioni nel cloud oltre che adottare misure per garantire la sicurezza dei dispositivi connessi.
Il principale strumento che propone il Piano di Transizione 5.0 è poi il Credito d’imposta per gli investimenti in cybersecurity che comprende, tra le altre spese ammissibili, non solo sistemi informatici, software, servizi soluzioni cloud e servizi di consulenza, ma anche il Credito d’imposta per la formazione 4.0 che copre anche le spese sostenute per la formazione del personale in materia di cybersecurity.
Grazie a questi incentivi, le imprese possono ridurre i rischi di attacchi e di le conseguenti perdite economiche, aumentare la fiducia di clienti e partner, rispettare le normative sulla protezione dei dati e ottimizzare i processi interni, oltre a migliorare l’efficienza operativa.
L’eccellenza italiana secondo il Report Global Cybersecurity Index 2024 grazie al CSIRT
Secondo il Report Global Cybersecurity Index 2024 dell’International Telecommunication Union, agenzia delle Nazioni Unite specializzata in ICT, l’Italia è un paese modello per come vengono gestiti i problemi e le necessità della cybersicurezza e del cybercrime. Lo dimostra non solo la presenza di un’Autorità Nazionale, ovvero l’Agenzia per la Cybersicurezza Nazionale (ACN), che ha il compito di tutelare la sicurezza e la resilienza nello spazio cibernetico, ma anche l’Operational Summary del Computer Security Incident Response Team (CSIRT) Italia, che svolge una parte attiva nel miglioramento delle competenze e della consapevolezza su questi rischi.
Il CSIRT è l’hub nazionale che riceve le notifiche di incidente, che possono essere segnalate online dai soggetti interessati, e che con queste redige uno strumento utile per valutare le tendenze e lo stato dei crimini informatici nel nostro paese: l’Operational Summary. Questo è un documento che riporta, su base mensile, informazioni utili per caratterizzare lo stato della minaccia cyber in Italia, i gruppi più attivi e quei dati che facilitano la comprensione dei fenomeni e del loro andamento nel tempo, il tutto con lo scopo di rafforzare i livelli di prevenzione sulla base della conoscenza degli eventi accaduti.
Incentivi pubblici per la cybersecurity
In un contesto in continua evoluzione in cui gli investimenti per la cybersecurity sono necessari ma impegnativi, le aziende italiane possono contare anche sul sostegno di enti nazionali per raggiungere l’obiettivo della sicurezza in campo informatico. L’Agenzia per la Cybersicurezza Nazionale e il Governo, infatti, hanno istituito una struttura di coordinamento per favorire gli investimenti e allocato per il 2024 90 milioni di euro da utilizzare per progetti in cybersecurity, IA e quantum computing.
Altro ente che promuove gli investimenti in cybersecurity è Invitalia, con gli incentivi di Digital Transformation. La misura favorisce la trasformazione tecnologica e digitale dei processi produttivi delle micro e pmi, grazie all’applicazione di tecnologie avanzate 4.0. Inoltre finanzia i progetti che utilizzano soluzioni tecnologiche digitali di filiera, tra cui quelle relative al software.
Anche CDP Venture Capital ha istituito il Fondo Digital Transition con l’obiettivo di agevolare la transizione digitale delle filiere e delle pmi attraverso il sostegno economico per progetti innovativi di cybersecurity, IA, fintech, blockchain e cloud portati avanti da almeno 250 imprese entro la metà del 2025.
La cybersecurity tra Europa e Italia con la Direttiva NIS 2
La Direttiva NIS 2 che segue la precedente Direttiva NIS del 2016 è tra le più recenti risposte dell’Unione Europea alle minacce informatiche e introduce l’aggiornamento dell’elenco dei settori e delle attività soggetti agli obblighi in materia di cybersecurity, oltre a promuovere una maggiore cooperazione tra gli stati membri. Questa direttiva introduce alcuni criteri per rendere più semplice e coerente l’identificazione degli operatori che si dividono in due nuove categorie: “soggetti essenziali” e i “soggetti importanti” a loro volta categorizzate secondo il criterio dimensionale delle aziende. Dal NIS2 sono infatti escluse le organizzazioni con meno di 50 dipendenti o un fatturato annuo inferiore a 10 milioni di euro, a meno che non siano ritenute di importanza critica. A definire i soggetti critici sarà poi la Direttiva CER – Critical Entities Resilience, che si occupa della resilienza di entità critiche o estremamente critiche per rafforzarne il livello di preparazione di fronte a una serie di minacce, tra cui quelle terroristiche, i rischi naturali e le emergenze sanitarie. Oltre ai fornitori di servizi digitali, la NIS 2 si applicherà anche ad altre tipologie di soggetti come i fornitori di reti di comunicazione o di servizi di comunicazione elettronica accessibili al pubblico, quelli che forniscono servizi di registrazione dei nomi di dominio e anche alcuni enti della Pubblica Amministrazione. Il termine entro cui ogni membro dovrà definire l’elenco dei soggetti considerati essenziali o importanti e fornire le necessarie informazioni sul loro livello di applicazione della normativa è fissato al 17 aprile 2025.
Il Data act e l’uso commerciale dei dati
La sempre maggiore diffusione di dispositivi connessi, l’adozione del cloud e l’utilizzo di sistemi IoT espongono le aziende a un numero crescente di potenziali vulnerabilità informatiche. La gestione di quantità sempre più grandi di dati sensibili richiede misure di sicurezza adeguate per prevenire violazioni e perdite di informazioni. Ma anche la gestione della loro commercializzazione ha bisogno di regole certe, mentre accade sempre più spesso che un attacco informatico interrompa i processi produttivi causando gravi danni economici.
Nel quadro normativo complesso e variegato che attiene alla protezione, alla governance e all’utilizzo dei dati, il Data act, ovvero il regolamento del Parlamento europeo e del Consiglio, si integra con le altre norme, anche di settore, a partire dal Gdpr, e va quindi a regolare proprio l’uso commerciale dei dati, per garantire un loro impiego corretto senza limitare le opportunità per il mercato. L’autorità competente per la sua applicazione sarà l’Agenzia per l’Italia Digitale (AdID)che attraverso questa normativa regolerà i servizi di intermediazione dei dati.
Così anche il Data act rientra in quella serie di norme che dimostrano come investire in cybersecurity non sia solo un costo, ma un investimento strategico per la crescita e lo sviluppo dell’azienda.