mo luogo, quando si verifica un data breach - oltre ai danni operazionali, reputazionali e di IPR - l'azienda o l’organizzazione governativa rischia di poter essere soggetta a multe o a Class Action. Inoltre, istituire un'appropriata duty of care in questa materia è particolarmente rilevante perché permette di mitigare il rischio che deriva da un utilizzo senza precauzioni di internet o dei sistemi informativi; la presenza di una compliance a livello di framework nazionale può alleggerire questa posizione. Infine, si è deciso di costituire un framework nazionale perché si è capito che il problema cyber deve essere estrapolato dal contesto meramente tecnico. Nel prossimo futuro, la sfida sarà riuscire a far percepire la sua importanza all'interno dei board delle organizzazioni; in questo modo, si riusciranno a trovare le risorse necessarie per poter mettere in sicurezza il business dell'organizzazione stessa e successivamente, in scala più ampia, dare maggiore sicurezza al sistema Paese. Il framework è di tipo generale e potrà, dunque, essere esteso a tutti i settori regolati; si potrà avere una base comune di riferimento a cui seguiranno delle verbalizzazioni riferite ai diversi settori regolati. Bisogna individuare un modello che consenta alle aziende di raggiungere un livello di maturità cyber adeguata al loro business e, in seguito, capire qual è il percorso adatto a ogni singola società in funzione del suo specifico business; questo consentirà di aumentare le difese nonché la consapevolezza interna grazie alla sensibilizzazione del personale. Per arrivare al framework nazionale, si parte dalle best practices internazionali cercando di adattarle alla situazione italiana, dove si trovano poche grandi aziende e tantissime piccole e medie imprese. Questo lavoro si svolge in collaborazione con un gruppo di persone appartenenti a gruppi industriali che gestiscono le grandi infrastrutture critiche nazionali - come Eni e Enel - per arrivare a un miglioramento di sistema per il Paese rispetto a problematiche di attacchi che, inevitabilmente, esisteranno sempre. A livello italiano, il lavoro sulla cyber security permetterà di avere una “due diligence” nei confronti dei rapporti con le altre nazioni. Non si tratta, quindi, di un problema solo nazionale, bensì della modalità con la quale l’Italia si rapporta con altre nazioni: se viene generato un attacco, la probabilità che questo rimanga entro i nostri confini è pari a zero.
66