Il valore della compliance per la cybersecurity: Valentina Frediani

Riportiamo l’intervento di Valentina Frediani, Founder e CEO, Colin & Partners, avvenuto nel corso del “Cybersecurity Summit 2023” di The Innovation Group del 8 e 9 marzo 2023 a Milano.

TIG. Quali sono oggi le priorità per il contenimento dei rischi di cybersecurity?

Valentina Frediani. Dalla survey Cyber Risk Management di TIG emerge che solo il 6% delle aziende vive il tema normativo come un driver. È un risultato molto basso, e dimostra che c’è molta ignoranza sul tema del rapporto tra normativa, cybersicurezza, tutela delle informazioni, tutela della proprietà intellettuale. Sicuramente abbiamo avuto un’accelerazione durante e nel post pandemia sull’ambito tecnologico e sulla sensibilità delle aziende italiane in tema di attacchi cyber. Però si sta anche assistendo a una diffusione a macchia di leopardo della consapevolezza, e spesso manca una visione a livello imprenditoriale.

Noi osserviamo che c’è molta dispersione degli sforzi: servirebbe anche un po’ più di evoluzione di chi lavora sulla sicurezza, che dovrebbe prepararsi di più sulla normativa. Perché, se si conoscono molto bene le norme tecniche, a volte sfuggono le logiche delle norme nella loro visione generale. Probabilmente la NIS2 darà una spinta concreta in questo senso, aiutando a colmare il gap di visione tra il board e chi si occupa di sicurezza. Chi non rispetterà la NIS2, infatti, potrà subire una sospensione delle autorizzazioni, delle concessioni, gli AD potranno essere sospesi dai loro poteri, i rappresentati legali anche.

Quindi questa norma obbligherà necessariamente, pur entrando in vigore nel 2024 (e gli effetti si vedranno negli anni successivi) a prendere coscienza di cosa vuol dire adottare delle soluzioni o sottovalutarle. Il motore di questa accelerazione non dovrà essere però solo il tema sanzionatorio, quanto piuttosto la tutela del patrimonio informativo dell’azienda. È oggi necessario iniziare a preparare gli imprenditori su quello che sta arrivando, perché il settore del digitale va talmente veloce, soprattutto per quanto riguarda le normative che stanno nascendo a livello europeo, per cui sarà richiesto a tutti un grandissimo lavoro.

Mi rendo conto che potrà diventare un compito molto complesso per l’imprenditore, ma bisogna cominciare a cambiare la visione e a connettere il fatto che la cybersicurezza non riguarda solo i sistemi, ma deve permeare l’intera azienda. Di conseguenza le persone vanno formate, perché mettere a fattor comune l’evoluzione e diminuire i rischi. Ora siamo in un momento di change e quindi bisogna dare un’accelerata: la normativa NIS2 sicuramente favorirà questa evoluzione.

TIG. Il tema delle polizze assicurative è oggi molto dibattuto, in particolare, la possibilità di assicurarsi. Qual è il tuo punto di vista su questo tema?

Valentina Frediani. Le polizze assicurative sono parte integrante delle politiche di preselezione del fornitore, ovvero, le aziende puntano ad avvalersi di fornitori che abbiano delle polizze specifiche. In realtà, recentemente, abbiamo osservato che le polizze sul Cyber Risk si sta ritirando dal mercato perché ci sono grandissimi problemi sulle quantificazioni.

Molte compagnie assicurative hanno ritirato varie tipologie di polizze che avevano recentemente messo sul mercato per le difficoltà nella compilazione della valutazione del rischio e per la quantificazione della polizza. Anche solo compilare il questionario, per accedere a una valutazione della polizza di copertura Cyber Risk, è assai difficoltoso per le aziende.

Quindi da una parte abbiamo aziende che vorrebbero essere coperte e che acquisiscono le polizze (anche senza sapere esattamente su che cosa sono coperte), dall’altra parte ci sono le compagnie che, visto lo sciame di attacchi e l’impreparazione di molte aziende, non rilasciano queste coperture assicurative.

Il fatto che sempre più compagnie assicurative rimuovano dal proprio pacchetto di offerta le polizze sul Cyber Risk vuol dire che si aspettano che queste minacce si possano diffondere in modo talmente violento da non poter più coprire tutto con i premi. Questo è sintomatico. In futuro, NIS, DORA o altre norme potrebbero essere degli elementi o delle certificazioni grazie alle quali poter dire “ok, se sei compliant ti posso valutare al fine di attivare una polizza”.

Guarda il Video completo dell’intervento: