Il 2025 sarà inevitabilmente dominato dal grande tema della progressiva applicabilità della Direttiva NIS 2 recepita dall’Italia con il Decreto Legislativo n. 138 del 4 settembre 2024, “sulle misure per un livello comune elevato di cybersicurezza in tutta l’Unione”.
Il primo appuntamento è già fissato a partire dal primo gennaio e si concluderà alla fine di febbraio. In questo lasso di tempo le organizzazioni che appartengono alle categorie merceologiche individuate nelle 24 pagine di allegati dovranno iscriversi al portale messo a disposizione dall’Agenzia per la cybersicurezza nazionale. Dopodiché entro un mese sapranno se rientrano nell’ambito di applicazione della norma. Si stima che non meno di 10 mila soggetti saranno quelli interessati e per molti di loro inizierà il cammino dell’adozione di una serie di misure di sicurezza cyber. Tuttavia, poiché la norma impone a questi soggetti di garantire la propria filiera di fornitori dal punto di vista della resilienza cyber, inevitabilmente la platea si estenderà enormemente e finirà per coinvolgere centinaia di migliaia di organizzazioni.
Potrebbe, quindi, essere proprio il 2025 l’anno della svolta per il nostro Paese rispetto alla questione della cybersecurity, colpevolmente ignorata per decenni. Senza dubbio il percorso sarà lungo, ma in questo caso, al di là di sanzioni, per il nostro tessuto economico si potrebbe porre un serio problema di competitività, perché migliaia di PMI rischiano di essere emarginate da un mercato che sarà costretto a chiedere garanzie in materia di sicurezza di dati e sistemi.
Oltre al tema normativo che senza dubbio sarà prevalente, ci sono chiare indicazioni che la criminalità informatica diventerà ancora più aggressiva. In primo luogo, i sistemi di intelligenza artificiale permetteranno attacchi sempre più sofisticati basati sull’utilizzo dei deep fake e contestualmente migliorerà significativamente le capacità di industrializzare gli attacchi. Un effetto collaterale della più elevata “produttività” sarà una più facile accessibilità, anche da punto di vista dei costi, ai servizi offerti dalle organizzazioni criminali, generando una sorta di massificazione della possibilità di delinquere on-line.
In questo modo, dopo che il modello “crime as a Service” aveva abbattuto la barriera di accesso legata alla necessità di competenze, verrebbe ora a cadere anche quello delle risorse economiche necessarie ad accedere al “mercato”. In questo senso è prevedibile che il 2025 segnerà nuovi picchi nella quantità di attacchi ai danni di privati e organizzazioni.
Ultimo elemento che potrebbe caratterizzare il prossimo anno è legato all’ulteriore espansione attesa dell’Internet delle Cose soprattutto in ambito industriale, che, secondo una ricerca della società di consulenza Gartner, vedrà il 25% delle aziende del settore acquisire o investire in una piattaforma di Industrial Internet of Things. Questo significa che la superficie di attacco rappresentata dagli oggetti smart crescerà in misura significativa e, di conseguenza, è facilmente prevedibile un incremento degli attacchi verso questi obiettivi con possibili effetti cinetici nel mondo reale e potenziali danni fisici a cose e persone.
In definitiva, possiamo guardare all’anno che verrà con la solita, inevitabile preoccupazione.
— — — —
Abbiamo bisogno del tuo contributo per continuare a fornirti una informazione di qualità e indipendente.
