Quello tra cyber security e PNRR è un rapporto molto stretto, anche se non sempre esplicito. Infatti, il Piano nazionale per la ripresa e la resilienza esprime un chiaro concetto, ovvero che le aziende hanno la necessità di evolvere dal punto di vista tecnologico, in particolare sul versante informatico. Prova ne è che la digitalizzazione è protagonista nel PNRR e il tema cyber security viene legato alla Pubblica Amministrazione come mai prima d’ora. Tuttavia, ci sono richiami precisi solo in relazione alla PA centrale e sembra che quella locale sia trascurata. Anche per le aziende private, inoltre, non è sempre ben chiaro come possano accedere ai fondi previsti.
Cyber security e PNRR, come accedere ai fondi
Riguardo la cyber security, il PNRR tiene separati Pubblica Amministrazione e privato, quasi il problema sicurezza avesse declinazioni differenti. In realtà, “c’è grande bisogno di investimenti in ambito cyber security, sia per le aziende pubbliche sia per quelle private, perché entrambe sono costantemente sotto attacco, sono costantemente interessanti per il cyber crime” afferma Luca Bonora, Head of Business Developer Manager di Cyberoo. “Quindi, tanto la PA quanto le aziende private dovrebbero poter sfruttare i fondi del PNRR per aumentare il livello di sicurezza”.
Ma come fare per accedere ai fondi? Il PNRR dedica a questo argomento il paragrafo 5 del Capitolo 1 nella Missione 1, dove si riferisce esplicitamente alla Pubblica Amministrazione centrale e a come strutturare strategie di cyber security sia in termini infrastrutturali sia di persone dedicate. “Il PNRR è un po’ meno esplicito sulle amministrazioni locali, per le quali si parla invece più genericamente di digitalizzazione” sottolinea Luca Bonora.
“Tuttavia, la cyber security rientra in questo contesto perché se si va a vedere tra le pieghe del PNRR si scopre che le Pubbliche Amministrazioni locali si possono rifare all’allegato B dell’Industry 4.0, ora Transizione 4.0, dove si parla di beni immateriali. E la cyber security, intesa come servizi cloud, rientra all’interno di questi ultimi. Un discorso analogo vale per le aziende private, le quali possono accedere, sempre secondo quanto stabilito nell’allegato B, ai fondi del PNRR, ottenuti come credito d’imposta, per beneficiare dei servizi di cyber security”.
Va precisato che il credito d’imposta, che viene restituito in tre quote annuali, prevede di poter recuperare il 20% dell’investimento in beni immateriali se questo viene effettuato entro il 2023, poi la percentuale scende al 15% nel 2024 e al 10% nel 2025.
Qual è il valore di un’azienda?
“Oggi, un responsabile IT ha ben chiari i pericoli che corre la sua azienda in termini di sicurezza, c’è una precisa consapevolezza” continua Luca Bonora. “Ma come si concretizza questa comprensione del problema? Cercando dei fondi per poter approcciare le spese corrette. Questi fondi adesso arrivano con il PNRR e ce ne sono tantissimi. Per le imprese, l’investimento previsto raggiunge 13,4 miliardi di euro, una cifra molto alta se si considera che il costo di una soluzione di ottimo livello per una media azienda può variare dai 50.000 euro ai 100.000 euro. È un investimento che permette di alzare di molto il livello di sicurezza e, visto che si parla di servizi gestiti, consente anche all’azienda di non doversi preoccupare di altri tipi di costi”.
Rimane, quindi, il problema di capire come investire tali fondi, ovvero su quale servizio puntare per avere un adeguato livello di protezione. In pratica, come poter creare del valore. A questo riguardo il PNRR non si pronuncia, la scelta viene lasciata alle aziende.
“Creare valore significa cercare di assicurare la continuità del business” sostiene Luca Bonora. “Oggi chi sferra un attacco sa esattamente qual è il suo obiettivo e quanto può ottenere. Conoscendo in modo estremamente puntuale il target, l’attaccante è nella condizione di ottenere il massimo. Un’azienda che investe tanto per il suo business deve investire anche per la sua continuità, perché chi attacca conosce molto bene l’azienda, sa quanto vale e sa come metterla in ginocchio.
Capita sempre più spesso che le aziende si debbano fermare per giorni, alcune volte anche per settimane. Questo è l’aspetto che va considerato quando si parla di valore. Quanto vale per un’azienda stare ferma quindici giorni?”.
Una cyber security che non funziona in silos
Ormai tutte le aziende hanno già fatto diversi investimenti in cyber security e si sono dotate delle soluzioni di base, come firewall, antivirus o posta elettronica. Magari, qualcuna ha attivato anche la multifactor authentication. Eppure, pur avendo tutto un insieme di soluzioni di sicurezza, vengono lo stesso bloccate dal cyber crime perché subiscono un attacco. Com’è possibile?
“Perché tutte queste soluzioni lavorano da sole, come fossero in silos” spiega Luca Bonora. “Così, anche se si hanno i prodotti migliori, se operano in modo autonomo, un Advanced Persistent Threat trova come oltrepassarli. A un’azienda che ha già tutte le difese di base serve un servizio gestito di cyber security, tipicamente un Managed Detection Response.
Si porta un MDR all’interno dell’azienda, non si cambiano le soluzioni ma le si fa lavorare tutte assieme e così si alza il livello di sicurezza. Questo va anche nell’ottica di quanto previsto dal PNRR, perché un servizio gestito come un MDR viene attivato in tempi brevi. Infatti, il PNRR stanzia dei fondi, ma a fronte di precisi progetti con tempi definiti, e impone il rispetto di tali tempi, prevedendo anche il controllo non solo del progetto finito ma anche delle sue fasi di completamento”.
Il servizio e il provider giusti
Più in generale, il PNRR rende disponibili i finanziamenti da usare per alzare il livello della cyber security aziendale. Tali finanziamenti possono essere usati per progetti che prevedono la fruizione di servizi cloud. “Quali e quanti servizi dipende da cosa si reputa rilevante per l’azienda” conclude Luca Bonora. “L’importante è scegliere un provider che sia in grado di soddisfare appieno le esigenze di cyber security e, siccome il cyber crime non si ferma mai, che possa realmente assicurare una presenza costante nell’arco delle 24 ore. Molti dicono di farlo, ma poi, se si verifica con attenzione, sono pochi quelli in grado di assicurarlo davvero”.