«Aziende alla svolta cyber»: il modello Agomir

Dal 16 ottobre sono in vigore le nuove norme sulla sicurezza informatica, a cui l’Italia ha dato corso con decreto legislativo che recepisce la direttiva europea “Nis2-Network and information Security Directive 2”, evoluzione della Nis1 e del Gdpr, che introduce nuovi obblighi di certificazione in cybersecurity in termini di valutazione dei rischi, prevenzione e governance allo scopo di aumentare la sicurezza informatica in ambito UE e, con il nuovo decreto, anche in Italia. Adeguarsi comporterà nuovi costi e tuttavia per un’azienda italiana il costo medio di un attacco informatico è di 200mila euro, considerando che solo un’azienda su tre adotta un piano di risposta agli incidenti informatici.

Ne parliamo con Mario Goretti, ad di Agomir, Gruppo lecchese specializzato in software, hardware e soluzioni di intelligenza artificiale per le imprese, una realtà di 100 collaboratori e un fatturato di circa 20 milioni che ora sta finalizzando il raggruppamento in un’unica realtà delle tre società Agomir, Celtis, Supertronic più la nuova recente acquisizione dell’azienda bergamasca Punto Sistemi. Un processo di crescita per acquisizioni avviato da qualche anno e che continua, «con nuove operazioni straordinarie in via di compimento», afferma Goretti.

Quanto impatterà la direttiva Nis2 sulle pmi manifatturiere?

L’adeguamento sarà graduale, non è detto che un’azienda debba eseguire immediatamente le nuove prescrizioni, ma è bene acquisire una miglior cultura e avere un interesse per il miglioramento dei sistemi di sicurezza. Ciò vale sia per la Nis2 sia per l’intelligenza artificiale. Ci sono aziende che stanno nominando dei digital champion, persone che nella loro organizzazione sono più attente a questi temi e possono farsi tramite per l’innovazione.

Ormai le infrastrutture digitali, l’informatica e la cyber sicurezza sono elementi a cui dare attenzione, al pari delle questioni e degli accertamenti tributari. Molte aziende hanno al loro interno il classico ragioniere che fa attenzione agli aggiornamenti di legge, che segue magari i corsi organizzati dalle associazioni di categoria sugli aggiornamenti normativi sulla gestione tributaria, fiscale, normativa, ambientale o sulla gestione dei rifiuti. Allo stesso modo serve dedicare una risorsa anche sui temi informatici e delle strutture digitali: la strada è tracciata per quelli che sono asset ormai fondamentali per tutte le aziende, permettono di ottimizzare il lavoro ma non possono essere trascurati.

Deve migliorare la consapevolezza sul valore dei dati?

Gestione e protezione dei dati, questo è il mantra ovunque. Le aziende devono sapere che hanno migliaia di dati a disposizione ogni giorno, devono saperli gestire, e proteggere nella consapevolezza che rappresentano un patrimonio per vivere il presente e il futuro dell’azienda in modo corretto proprio grazie alla gestione del dato e alla sua protezione. Nel futuro le aziende devono essere data driven company, aziende guidate dai dati.

Il recepimento in Italia della nuova normativa arriva però in un momento complicato per la vita delle imprese.

Sì. Premetto che l’intelligenza artificiale e la Nis2 sono i temi del momento, a mio avviso fin troppo abusati a livello di marketing e ciò crea anche una certa confusione sull’audience classica delle imprese che in questo momento storico hanno anche altri pensieri riguardo ai business tradizionale, alla crisi dell’auto, all’andamento del mercato tedesco.

È un momento storico in cui si è un po’ distratti e non si riesce a prestare la giusta attenzione a temi comunque importanti. Siamo anche in un trimestre in cui rilevo che le priorità di interesse delle aziende sono ora più legate alle difficoltà del reale business concreto, visto che il clima non è dei migliori a livello nazionale e globale.

La Nis2 coinvolge più settori e, di conseguenza, le filiere incluse le piccole imprese?

Il decreto che recepisce la Nis2 si cala da un percorso di direttive europee e nazionali che parte da lontano ed è per aziende di determinati settori che hanno necessità di adattarsi a norme più rigorose sulla cyber sicurezza. Un percorso che sempre di più, anno dopo anno, porta coscienza all’interno delle imprese, partendo dalle grandi e andando a scendere su tutta la catena di fornitura collegata e, quindi, anche su aziende manifatturiere del territorio.

Agomir ne è direttamente impattata?

Come fornitori, il tema non centra esattamente il nostro diretto core business in quanto attiene a competenze in cyber sicurezza reali e più puntuali rispetto alle quali noi agiamo attraverso dei partner appositi in materia. Come impresa, non siamo direttamente impattati in modo obbligatorio. Ci sono soglie di mercato, di dimensioni di impresa e ambiti di business per i quali l’adeguamento avviene per fasi suddivise nei prossimi anni. Le aziende che erano state impattate per prime negli anni precedenti dalla prima direttiva Nis hanno l’obbligo di verificare l’adeguamento della catena di fornitura in modo che la filiera sia è in grado di garantire che la sicurezza è rispettata.

In che modo le aziende si possono preparare alla Nis2?

Come in tante cose attuali, come per l’intelligenza artificiale, ciò che diciamo alle nostre imprese clienti è di individuare, in proporzione alla propria dimensione d’impresa, almeno una persona che presti attenzione a questi temi con il fornitore di soluzioni informatiche o con il consulente di compliance e di innovazione legislativa, possibilmente in modo pro attivo ma almeno in modo reattivo. Ci sono molti punti che si sono colorati di grigio, di incertezza.

C’è frenata negli investimenti informatici?

La situazione è sempre duplice: abbiamo aziende che investono più di prima perché si stanno preparando a un’ulteriore rivisitazione delle infrastrutture digitali e di conseguenza proprio ora guardano oltre, al 2026 e al 2027, e si preparano investendo in rivisitazione di applicazione gestionali, delle infrastrutture a supporto del cloud.

Sono aziende che si stanno ristrutturando per essere più pronte per una corretta digitalizzazione dopo questo periodo un po’ grigio per il business, e infatti noi stiamo crescendo molto su tali tipi di forniture. Ciò rappresenta la massa critica del nostro business e che ci permette di chiudere molto bene il 2024 e di traguardare oltre la visibilità del semplice semestre. Le aziende più strutturate mettono in atto piani di azione che proseguono indipendentemente dalla reale situazione di mercato, il grigio è già messo in conto.

C’è invece un tessuto, magari più numeroso per quantità di imprese ma con minore capacità di investimento, che si è un po’ fermato, si sta interrogando sulle priorità e magari apporta dei correttivi, ad esempio pospone di un anno l’investimento su un’infrastruttura, o non assume un digital champion per rivedere i processi digitali.

Al netto dei nuovi costi per le pmi, c’è un rovescio della medaglia nella nuova normativa?

Penso che su certi ambiti si esageri in norme e dettami, quando invece avremmo bisogno di più praticità nel sostegno agli investimenti, informatici e non solo.

Se le aziende, soprattutto manifatturiere, devono sommare tutte le dinamiche di certificazione e adeguamento alle norme può accadere che alcuni, come raccolgo anche dal sentiment di imprese clienti, si stufino e decidano di chiudere l’attività, anche perché soldi ne hanno e hanno le capacità per farne altri. Bisogna fare attenzione a non soffocare le aziende con mille rivoli normativi che creano circoli viziosi.

© Riproduzione riservata