L’opinione di Giorgio Triolo, Chief Technology Officer di Axitea su sicurezza e procurement pubblico e sulle opportunità offerte dal nuovo DPCM del 30 aprile 2025.
Nel contesto di una digitalizzazione sempre più pervasiva, i fornitori di servizi essenziali si trovano ad affrontare sfide di cybersecurity in costante evoluzione. I recenti attacchi hacker rivolti contro enti pubblici, infrastrutture energetiche e sanitarie, tra le altre, evidenziano la crescente necessità di rafforzare la sicurezza informatica delle infrastrutture digitali del Paese. Si tratta di un trend confermato dal Rapporto Clusit 2025. Secondo il rapporto gli incidenti che hanno colpito le organizzazioni governative sono aumentati di oltre il 100% dal 2020 al 2024. Con un incremento di oltre il 50% solo nell’ultimo anno.
Sicurezza e procurement pubblico
Questo scenario impone una riflessione sulla sicurezza non solo del settore pubblico, ma anche di tutte quelle realtà private che, a vario titolo, contribuiscono alla sicurezza e alla resilienza del Paese. Il DPCM del 30 aprile 2025 rappresenta un’importante tappa nell’evoluzione della normativa italiana in materia di cybersecurity e procurement pubblico. Soprattutto nel contesto del Perimetro di Sicurezza Nazionale Cibernetica (PSNC). Quello che all’apparenza sembrerebb un onere, rappresenta però anche un’opportunità. PA e imprese che operano in settori critici possono sfruttare il DPCM come catalizzatore per ottimizzare la propria postura di sicurezza e offrire una migliore protezione ai dati dei cittadini.
Decodificare il DPCM: oltre la conformità, una visione strategica
Il DPCM del 30 aprile 2025 definisce linee guida fondamentali per assicurare che i beni e i servizi informatici acquistati dalle pubbliche amministrazioni, infrastrutture critiche e settori strategici (energy, sanità, trasporti, difesa, …) siano progettati e gestiti con elevati standard di sicurezza. I requisiti si concentrano principalmente sulla progettazione, la gestione delle vulnerabilità e la supply chain. Aspetti essenziali per prevenire le minacce cibernetiche e garantire la resilienza dei sistemi informatici. La progettazione sicura – Security by Design – richiede che ogni dispositivo o applicazione sia intrinsecamente protetto senza vulnerabilità sfruttabili note, attraverso sistemi progettati e configurati con sicurezza integrata.
Sicurezza e procurement pubblico: attenzione alle vulnerabilità
La gestione delle vulnerabilità, invece, rappresenta un’attività permanente e strategica. Essa richiede l’adozione di processi strutturati e automatizzati per l’analisi e la sorveglianza delle componenti hardware e software. Con previsioni di patching in caso di necessità di aggiornamenti. Infine, la sicurezza della supply chain impone di valutare l’affidabilità dei fornitori e dei partner tecnologici coinvolti nella produzione o nella gestione dei beni e servizi ICT.
Quali sono i rischi
I rischi derivanti dai fornitori sono molteplici e possono includere alcuni dei casi seguenti:
Accessi remoti non sicuri: fornitori che accedono ai sistemi aziendali senza adeguate misure di sicurezza possono introdurre vulnerabilità.
Fornitura di componenti compromessi: può comportare l’introduzione di malware o backdoor nei sistemi aziendali. Motivo per cui è necessario qualificare a monte il fornitore.
Mancato controllo dei subappalti: fornitori che a loro volta subappaltano servizi senza una valutazione adeguata possono esporre l’organizzazione a rischi non previsti.
Le sfide per PA, infrastrutture critiche e settori strategici:
Implementare questi requisiti può rappresentare una sfida per i soggetti pubblici e privati interessati dal decreto, soprattutto in termini di budget e risorse. Molte organizzazioni potrebbero trovarsi a dover affrontare vincoli finanziari e difficoltà nel destinare alla cybersecurity risorse sufficienti. A complicare ulteriormente il quadro, si aggiunge la carenza di competenze specialistiche, che rende ancora più complesso adottare e gestire le misure richieste dal decreto.
Superare gli ostacoli e abbracciare l’innovazione
Per essere più efficaci, le organizzazioni possono concentrarsi su alcune priorità strategiche:
Security by design. I sistemi devono essere progettati e configurati con sicurezza integrata, prevedendo sistemi di patching per mantenere aggiornati i meccanismi di sicurezza.
Gestione delle vulnerabilità dei sistemi e protezione degli accessi. Le aziende interessate sono tenute ad identificare e risolvere le vulnerabilità esistenti. Inoltre implementare misure di controllo accessi che garantiscano l’accesso alle risorse solo a chi ne ha effettivamente diritto. È altrettanto importante aggiornare periodicamente le autorizzazioni in base alle variazioni dell’organigramma.
Tracciabilità e audit. Ai sensi del DPCM, la selezione e la valutazione della catena di approvvigionamento deve essere effettuata tenendo conto dei rischi potenziali associati ai fornitori e ai componenti critici. Tali minacce possono compromettere la continuità operativa, la protezione dei dati sensibili e la reputazione dell’organizzazione.
Adozione di standard internazionali. Implementare un Sistema di Gestione della Sicurezza delle Informazioni basato su standard riconosciuti permette di fornire una struttura solida per la gestione della sicurezza.
Monitoraggio proattivo e risposta agli incidenti. Fondamentale adottare strumenti di monitoraggio capaci di rilevare tempestivamente anomalie e potenziali minacce. Unitamente a un piano di risposta ben definito per contenere gli impatti in caso di attacco.
Collaborazione con esperti. Non è necessario fare tutto da soli. Collaborare con esperti di cybersecurity per ottenere consulenza, supporto e servizi specializzati consente di implementare queste strategie in linea con le risorse e le esigenze di protezione individuate dai diversi enti.
Sicurezza e procurement pubblico, il futuro della cybersecurity in Italia
Il futuro della cybersecurity in Italia richiede un approccio basato su più aspetti, ugualmente critici e collegati tra loro: innovazione, collaborazione e resilienza. È fondamentale adottare tecnologie avanzate come intelligenza artificiale e automazione per arricchire la cybersecurity. Automatizzando i processi di monitoraggio e risposta agli incidenti. Inoltre, è importante promuovere una maggiore collaborazione tra il settore pubblico e il settore privato, condividendo informazioni sulle minacce informatiche e sviluppando soluzioni di sicurezza congiunte. Infine, è essenziale costruire sistemi resilienti in grado di resistere agli attacchi informatici e di riprendersi rapidamente in caso di incidenti, garantendo la continuità dei servizi pubblici.
Lexmark migliora il partner program globale: Lexmark Connect offre accesso a soluzioni e tecnologie di imaging innovative, oltre a strumenti, risorse e vantaggi.
I requisiti di idoneità per accedere a questo programma comprendono anche l’alta fidelizzazione mirata a garantire a Microsoft un fatturato stabile nel corso degli anni, una conoscenza approfondita sulle tecnologie resa possibile attraverso la costante e puntuale partecipazione ai corsi di formazione.
Da ServiceNow arriva Partner Kickoff che espande e migliora il Global Partner Program per implementare le soluzioni AI e offrire maggiori ricavi ai partner.
