NEWS

 

La maggioranza delle imprese italiane assegna meno del 3% budget IT alla cybersecurity

In Italia l’aumento degli adempimenti previsti dalle normative in materia di cybersicurezza può impattare in maniera significativa sulla competitività aziendale: a incidere sono principalmente gli investimenti tecnico-organizzativi necessari alla compliance nonché la molteplicità degli oneri burocratici e amministrativi richiesti, oltre che l’innalzamento delle barriere all’ingresso.

La maggior parte delle imprese assegna meno del 3% del budget IT alla cybersecurity, solo una minima parte ne alloca più del 15%, mentre il 42% sta ancora valutando un eventuale incremento delle risorse destinate alla sicurezza informatica e solo il 25,4% ha deciso di aumentarle.

Ad ostacolare il processo di compliance sono la mancanza di competenze idonee, sia interne che sul mercato del lavoro, seguita dalla moltiplicazione di prescrizioni che impongono adempimenti diversi e dall’incertezza interpretativa della normativa, tanto che l’81% delle aziende ritiene che si debba puntare sulla consapevolezza e sulla formazione del personale in maniera diversificata per ruolo e competenze.

E proprio sul piano dell’offerta formativa, si osserva nella penisola un crescente interesse per queste tematiche da parte del mondo accademico, con 774 tra corsi e insegnamenti relativi alla cybersicurezza offerti a gennaio 2025, rispetto ai 520 individuati a inizio 2024 (+48%).

Sono questi alcuni dei principali elementi che emergono dal Rapporto “Competitività alla prova della cybersecurity. La sicurezza informatica in Italia e in Europa tra innovazione e regole”, realizzato dall’Istituto per la Competitività (I-Com) e presentato in occasione del convegno pubblico annuale che si è tenuto lo scorso 18 marzo alla Camera dei Deputati presso la Sala Matteotti, nell’ambito delle attività relative all’Osservatorio I-Com sulla Cibersicurezza e al quale hanno partecipato numerosi tra esperti della materia, rappresentanti delle associazioni e delle istituzioni.

Lo studio del think tank guidato da Stefano da Empoli fornisce una panoramica sullo stato dell’arte della cybersicurezza in Italia e in Europa sotto molteplici punti di vista, tra i quali figurano le strategie normative a livello italiano ed europeo, il grado di sicurezza e gli attacchi subiti da aziende e istituzioni pubbliche, i sistemi di certificazione e la consapevolezza di aziende e cittadini.

I-Com ha condotto un’indagine con l’obiettivo di verificare la rispondenza applicativa del quadro regolatorio europeo e nazionale in materia di cybersecurity, coinvolgendo imprese appartenenti a vari settori e avvalendosi anche del sostegno di alcune delle principali associazioni di categoria.

In particolare, tra gli adempimenti prescritti dalle normative in materia di cybersicurezza che possono impattare sulla competitività aziendale, per la maggior parte delle grandi imprese, così come per quelle di media dimensioni e per le piccole imprese, la principale criticità è legata agli investimenti tecnico-organizzativi necessari alla compliance.

Altri aspetti ricorrenti sono la preoccupazione circa l’innalzamento delle barriere all’ingresso, in particolare per le PMI, nonché la molteplicità degli oneri burocratici e amministrativi richiesti.

Tra i fattori che rendono più difficoltosa la compliance rispetto alle norme in materia di cybersecurity si segnalano principalmente la mancanza di competenze idonee, sia internamente sia sul mercato del lavoro, seguita dalla moltiplicazione, a volte disorganica, delle prescrizioni che impongono adempimenti diversi e dall'incertezza interpretativa della normativa.

Altro dato fondamentale riguarda gli investimenti dedicati alla cybersicurezza, in quanto rispetto a un eventuale incremento delle risorse destinate alla cybersecurity il 42% delle aziende sta ancora valutando tale possibilità, mentre soltanto il 25,4% ha deciso di aumentare gli investimenti in cybersicurezza.

Relativamente all’adozione di una o più certificazioni volontarie di cybersicurezza, la maggior parte delle imprese ha dichiarato di non aver conseguito alcun tipo di certificazione. Secondo il 35% delle imprese un primo ostacolo all’ottenimento di una certificazione volontaria di cybersecurity risiede nei costi elevati del processo di certificazione, che non sono percepiti come proporzionati ai benefici, mentre il 19% sostiene che i tempi per il rilascio della certificazione stessa sono troppo dilatati.

Appare incoraggiante, invece, che il 74,5% delle aziende sia d’accordo in merito al fatto che standard comunitari – come gli European Common Criteria-based cybersecurity certification scheme (EUCC) – possono incentivare le imprese a certificarsi. Allo stesso tempo, appare urgente approfondire il tema sulla possibilità rendere mandatoria la certificazione di cibersicurezza per determinati prodotti, servizi e processi ICT, poiché oltre il 70% dei rispondenti non ha ancora avviato (o, in alcuni casi, portato a termine) la valutazione sui vantaggi/svantaggi circa la volontarietà o l’obbligatorietà di tali strumenti.

Per comprendere l’evoluzione dell’offerta formativa italiana in ambito cybersecurity, I-Com ha intrapreso un’attività di monitoraggio secondo la quale i segnali che provengono dal versante universitario sono piuttosto incoraggianti. È stato rilevato infatti un crescente interesse per queste tematiche da parte del mondo accademico, con 774 tra corsi e insegnamenti relativi alla cybersicurezza offerti a gennaio 2025, rispetto ai 520 individuati a inizio 2024 (+48%).

Con l’entrata in vigore del decreto legislativo di recepimento della direttiva NIS2 lo scorso 16 ottobre, l’Agenzia per la Cybersicurezza Nazionale (ACN) è tenuta ora a declinare nel dettaglio gli obblighi per imprese e soggetti pubblici, per cui è cruciale che lo faccia secondo una logica di gradualità ed essenzialità delle misure richieste, differenziando queste ultime in base alle peculiarità dei singoli settori e del livello di rischio. Allo stesso tempo, è ineludibile la fissazione di criteri chiari per il risk assessment, ad esempio prendendo come riferimento alcuni standard già utilizzati per il Perimetro di Sicurezza Nazionale Cibernetica (PSNC), anche al fine di evitare sovrapposizioni di adempimenti, in particolar modo per quegli operatori che saranno obbligati al rispetto di entrambe le discipline.

Nel complesso, l’elevato numero di master specifici sui temi della cybersicurezza (30 su tutto il territorio nazionale) suggerisce un aumento della domanda di approfondimento post-laurea di questi temi. Quanto alla formazione superiore, un ruolo di rilievo è rivestito dagli ITS che hanno lo scopo di formare personale tecnico in aree strategiche per lo sviluppo economico del Paese.

Da un’analisi svolta da I-Com emerge infatti che gli ITS che si occupano di cybersicurezza sono il 35,4% rispetto al numero complessivo di quelli attivi, una quota più che raddoppiata rispetto alla rilevazione precedente effettuata a inizio 2024.

Fonte: Istituto per la Competitività (I-Com)

Note sull'Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati, iscritta presso il Ministero delle Imprese e del Made in Italy (MISE) ai sensi della Legge 4/2013. Email: [email protected] 

Articoli correlati

Prev L’82% degli utenti abbandona un brand per le preoccupazioni sulla privacy e il 19% lo fa a seguito di un data breach
Next Attenzione alla truffa telefonica del curriculum che vi sottrae soldi e dati personali

Galleria Video

Vademecum per prenotare online le vacanze senza brutte sorprese

Cerca Delegato

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Newsletter

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy

Federprivacy sui social

Argomenti in evidenza