Le minacce informatiche continuano ad aumentare e, contestualmente, cresce l’attenzione delle istituzioni alla protezione dei dati, delle reti e delle infrastrutture critiche. In questo scenario, le organizzazioni, e in particolar modo le telco, devono adottare sistemi di gestione solidi, meglio se riconosciuti a livello internazionale e accreditati: framework certificati che consentano di elevare il livello complessivo di cybersicurezza, contribuendo a costruire un ecosistema più sicuro e affidabile.
Indice degli argomenti
La nuova prassi di riferimento Uni/PdR 174
È proprio per rispondere alle esigenze di contrasto e contenimento di questo tipo di rischi che nasce la prassi di riferimento Uni/PdR 174 promossa da Accredia in collaborazione con Cini Cybersecurity National Lab (Laboratorio Nazionale per la Cybersecurity del Consorzio Interuniversitario Nazionale Informatica), Uninfo e altri attori istituzionali.
La Uni/PdR 174 nasce con l’obiettivo di creare un documento che armonizzi la Uni Cei En Iso/Iec 27001 (standard internazionale che definisce i requisiti per stabilire, implementare, mantenere e migliorare continuamente un Sistema di Gestione della Sicurezza delle Informazioni all’interno di un’organizzazione), largamente adottata nel mondo e in Europa, e il Cyber Security Framework del National Institute of Standards and Technology Nist, utilizzata da molte aziende, in particolare negli Stati Uniti: è uno strumento pratico che consente alle organizzazioni che già utilizzano il framework per l’autovalutazione di dimensionare lo sforzo necessario per avviare il proprio percorso di certificazione accreditata e – a quelle che già la possiedono – di adeguare il proprio sistema di gestione per la cybersicurezza e la sicurezza delle informazioni agli obiettivi previsti dal framework.
Uno degli elementi chiave della prassi è la creazione di un Cyber-Information Security Management System (C-Isms), un sistema di gestione che combina i principi della sicurezza delle informazioni a tutto campo, con un approccio dinamico in grado di affrontare efficacemente i sempre più rapidi cambiamenti di scenari nel cyberspazio e l’evoluzione delle minacce alla cybersicurezza.
Il C-Isms, infatti, fornisce una struttura metodologica che consenta alle aziende di migliorare la propria capacità di protezione e di reazione agli attacchi cyber.
Una risposta integrata ai requisiti normativi
La prassi è uno strumento potenzialmente utile a rispondere agli obblighi del Decreto Legislativo 138/2024 che – tra le varie cose – pone misure di sicurezza più rigorose per le organizzazioni operanti in settori critici, come quello delle telecomunicazioni, previsti dalla Direttiva Nis2. La norma Iso/Iec 27001, con riferimento all’adozione dei requisiti sistemici, fornisce infatti un quadro normativo prescrittivo e richiede altrettanto rigore nella definizione dei controlli operativi dell’Annesso “A”, sulla base della valutazione dei rischi, mentre il Nist Csf offre un approccio più flessibile che permette alle organizzazioni di adattare le proprie strategie di cybersicurezza in base al rischio: la convergenza di questi due riferimenti permette di creare un sistema di gestione della sicurezza informatica più efficace e strutturato, in grado di garantire vantaggi concreti a chi lo adotta.
I benefici che derivano dall’adozione del nuovo standard
L’adozione della Uni/PdR 174 offre numerosi benefici tangibili alle organizzazioni, che possono: dimostrare maggiore affidabilità e trasparenza nei confronti di clienti, partner, fornitori e stakeholder, rafforzando la fiducia e la reputazione dell’organizzazione; avere accesso a nuove opportunità di mercato in situazioni che richiedono standard elevati di sicurezza informatica; ridurre il rischio di dover implementare standard diversi in base al mercato di riferimento per le organizzazioni che operano su scala globale, semplificando il processo di conformità; ottenere maggiore efficienza operativa grazie alla riduzione della frammentazione della gestione; ottimizzare, grazie all’approccio risk-based, le risorse, concentrandosi sulle vulnerabilità più critiche e implementando controlli adeguati in modo efficiente.
“La possibilità di ottenere una certificazione sotto accreditamento rappresenta un va lore aggiunto, perché assicura la conformità agli standard internazionali e una garanzia oggettiva sulla qualità e l’efficacia della gestione della cybersicurezza”, spiega Filippo Trifiletti, direttore generale Accredia. “Adottare la Uni/PdR 174 sulla cybersicurezza per le aziende significa scegliere un percorso di eccellenza e innovazione, consolidando la propria posizione in un mercato sempre più esigente in termini di protezione dei dati e resilienza digitale”.
Anche per le telco la parola d’ordine è resilienza: i nuovi rischi
La situazione, del resto, è estremamente complessa, soprattutto per le società di telecomunicazioni: nel primo trimestre del 2025, il settore ha registrato un’impennata del 94% negli attacchi informatici settimanali, raggiungendo una media di 2.664 incidenti per organizzazione. A dirlo è uno studio realizzato da Check Point Research, secondo cui questo picco riflette una tendenza globale in crescita: i cybercriminali stanno spostando sempre più l’attenzione dal furto di dati alla compromissione dell’infrastruttura stessa che connette la società. E con i ricavi delle telecomunicazioni previsti in crescita a un cagr più lento del 2,9% fino al 2028 – al di sotto dell’inflazione – l’aumento dei rischi informatici e dei costi di conformità potrebbe erodere gravemente la redditività e la sostenibilità a lungo termine.
Una delle principali vulnerabilità deriva dall’enorme portata e complessità della trasformazione digitale nel settore. L’implementazione delle reti 5G, l’espansione dell’edge computing e la massiccia dipendenza da piattaforme cloud interconnesse hanno ampliato notevolmente la superficie di attacco. Le telecomunicazioni non sono più fornitori di servizi isolati; sono ecosistemi complessi, profondamente integrati nella difesa nazionale, nella gestione delle emergenze e nelle operazioni economiche. Un singolo disservizio potrebbe causare interruzioni diffuse. Le tensioni geopolitiche stanno amplificando ulteriormente la minaccia.
Non a caso l’Enisa, l’agenzia europea per la sicurezza informatica, classifica ora le telecomunicazioni tra i settori infrastrutturali critici con la massima priorità, una classificazione condivisa da oltre 85 paesi. Questo è più di un riconoscimento: è un invito affinché le telecomunicazioni adottino strategie di sicurezza informatica solide e lungimiranti, coerentemente con gli obblighi imposti dalla Direttiva Nis2.
Tuttavia, le misure normative da sole non sono sufficienti. Le aziende di telecomunicazioni devono andare oltre la conformità e considerare la sicurezza informatica e la resilienza imperativi strategico. La connettività da sola non è più sufficiente: fiducia, sicurezza e servizio ininterrotto sono i pilastri che definiranno la prossima generazione di successo nel settore delle telecomunicazioni. Senza solide difese informatiche, i rischi vanno oltre le perdite finanziarie, arrivando a colpire la sicurezza nazionale, la fiducia dei cittadini e, in ultima analisi, il tessuto stesso della società.
