Dai Security Days ai gruppi di lavoro

Eventi, formazione e gruppi di lavoro per costruire una cultura condivisa della sicurezza nella comunità GARR.

L’evoluzione delle minacce informatiche e la crescente dipendenza dalle infrastrutture digitali rendono indispensabile un rafforzamento delle misure di sicurezza. Le direttive europee, culminate nella NIS2, mirano a garantire la continuità dei servizi essenziali e a sostenere un livello elevato di resilienza digitale. In questo quadro, GARR è chiamato non soltanto ad assicurare la conformità alla normativa, ma anche a svolgere un ruolo chiave nel supportare l’intera comunità verso modelli collaborativi, pratiche condivise e soluzioni comuni.

I Security Days hanno rappresentato per la comunità dell’università e della ricerca un momento di confronto senza precedenti sui temi della sicurezza informatica. Per la prima volta l’evento si è svolto nella forma di un workshop dedicato, pensato non solo come occasione di aggiornamento tecnico, ma come spazio di dialogo strutturato tra le diverse componenti della comunità GARR: responsabili ICT, esperti di sicurezza, personale tecnico-amministrativo e decisori.

La richiesta di partecipazione è stata superiore alle aspettative e non è stato semplice per il comitato di programma condensare in appena due giornate la ricchezza di contributi, esperienze e sollecitazioni emerse negli ultimi anni. Il risultato è stato un programma intenso, articolato in 9 sessioni plenarie e 26 sessioni parallele, nel corso delle quali sono stati affrontati temi centrali per la cybersecurity: dall’impatto e dall’implementazione della nuova direttiva NIS2 alla gestione degli incidenti, dalla sicurezza della supply chain all’identità federata, dall’autenticazione multifattore alle attività di vulnerability assessment, fino a DNSSEC e alla creazione di uno CSIRT, formazione e strumenti open accessibili in ambito federato.

Tra i temi che hanno catalizzato maggiore attenzione e stimolato un confronto trasversale durante l’intero evento, la normativa NIS2 ha occupato un ruolo centrale. Il decreto legislativo n. 138 del 2024, che ha recepito in Italia la Direttiva (UE) 2022/2555, nota come NIS2, introduce infatti un quadro profondamente rinnovato per la sicurezza delle reti e dei sistemi informativi, con l’obiettivo di garantire un livello elevato e uniforme di resilienza digitale in tutti gli Stati membri. Per la comunità GARR, composta in larga parte da enti provenienti dal mondo dell’istruzione e della ricerca, l’impatto è particolarmente rilevante: la maggior parte delle organizzazioni collegate alla rete GARR rientra ora esplicitamente nell’ambito di applicazione della normativa.

Un passaggio chiave del nuovo quadro regolatorio è rappresentato dalle cosiddette “specifiche di base”, adottate dall’Agenzia per la Cybersicurezza Nazionale con la determinazione del 14 aprile 2025. Esse definiscono le misure minime di sicurezza che le organizzazioni soggette alla NIS devono adottare entro ottobre 2026, nonché le tipologie di incidenti per le quali, da gennaio 2026, scatterà l’obbligo di notifica al CSIRT Italia. Proprio a queste specifiche è stata dedicata la presentazione “NIS2: indicazioni operative per la comunità”, curata da Alessandro Inzerilli (Security compliance e risk manager di GARR), con l’obiettivo di fornire una lettura concreta degli adempimenti richiesti e di offrire prime indicazioni pratiche per la loro interpretazione e implementazione.

La presentazione ha suscitato un interesse tale da rendere evidente l’esigenza di un approfondimento ulteriore. In collaborazione con l’ufficio formazione GARR, si è quindi deciso di trasformare questi contenuti in un corso strutturato, erogato in modalità webinar attraverso la piattaforma Learning GARR. Il webinar, che si è tenuto il 4 dicembre, ha registrato quasi 500 iscritti sulla piattaforma e una partecipazione complessiva, tra diretta e visualizzazioni successive, di oltre 1.500 utenti unici, grazie alla trasmissione simultanea su GARR TV, YouTube, LinkedIn e Facebook.

Nel corso di oltre un’ora e mezza, il webinar ha delineato innanzitutto il quadro normativo europeo e nazionale, chiarendo ambiti di applicazione, soggetti coinvolti e distinzione tra soggetti essenziali e importanti. Ampio spazio è stato dedicato agli obblighi in capo agli organi di amministrazione e direttivi, chiamati a svolgere un ruolo attivo e non delegabile nella gestione del rischio cyber e nella supervisione delle misure adottate. La seconda parte si è concentrata sulle specifiche di base, illustrate nei loro criteri di progettazione, derivati dal Framework Nazionale per la Cybersecurity e la Data Protection e nei loro contenuti: 116 requisiti per i soggetti essenziali e 87 per quelli importanti, in larga parte di natura organizzativa. Audit, ruoli e responsabilità, gestione degli asset, continuità operativa, gestione delle crisi, formazione del personale e sicurezza della supply chain sono solo alcuni degli ambiti affrontati, accanto ai requisiti tecnologici relativi a monitoraggio, protezione delle reti, gestione delle vulnerabilità e controllo degli accessi.

Particolare attenzione è stata riservata al processo di gestione e classificazione degli incidenti, destinato a diventare il primo obbligo operativo già a partire dal 2026. In questo contesto sono stati forniti riferimenti a standard e framework internazionali e indicazioni utili per impostare un percorso di adeguamento coerente e sostenibile. Il webinar ha inoltre segnato l’avvio di un ciclo formativo più ampio, denominato Security Date, pensato per rispondere in modo continuativo ai fabbisogni formativi emersi dalla comunità: un appuntamento al mese per tutto il 2026, affiancato da corsi in presenza in occasione dei principali eventi GARR.

Accanto alla dimensione formativa, i Security Days hanno fatto emergere con chiarezza un’altra esigenza: quella di rafforzare il coordinamento e la collaborazione operativa tra gli enti della comunità. L’interesse verso la sicurezza informatica è cresciuto in modo esponenziale negli ultimi anni, anche in conseguenza dei cambiamenti introdotti dalla pandemia, che hanno ampliato le superfici di attacco e reso più complesse le dinamiche del cybercrime. In questo scenario, è sempre più evidente che la risposta non può essere solo individuale, ma deve basarsi su un impegno condiviso, su strumenti comuni e su una visione di sistema.

Durante i momenti di confronto, è emersa più volte l’aspettativa che GARR possa svolgere un ruolo di facilitatore e coordinatore, mettendo a disposizione servizi, piattaforme e linee guida comuni: dalla gestione e prevenzione degli incidenti, a strumenti uniformi per il risk assessment e la governance, fino alla formazione specialistica. Per dare una risposta strutturata a queste richieste, è stata proposta la creazione di gruppi di lavoro tematici, individuati attraverso un sondaggio rivolto ai partecipanti ai Security Days e aperto anche al coinvolgimento di ulteriori colleghi all’interno delle organizzazioni.

Il sondaggio ha permesso di individuare le aree ritenute prioritarie. In testa si sono collocati il risk assessment, la gestione degli incidenti e i tools di sicurezza, seguiti dalla governance e compliance, comunque valutata come altamente rilevante. Considerando anche le sovrapposizioni naturali tra alcuni ambiti, la proposta emersa è stata quella di avviare inizialmente due gruppi di lavoro: uno dedicato alla Gestione degli incidenti e tools di sicurezza, l’altro focalizzato su Governance e gestione del rischio.

Il primo gruppo avrà come obiettivo l’analisi e la possibile realizzazione di un punto di accesso condiviso e multitenant, basato su modelli di accesso per ruolo e integrato con l’infrastruttura di identità federata IDEM, nonché l’integrazione di strumenti per la gestione degli incidenti, la condivisione delle informazioni e la cyber threat intelligence in un’unica piattaforma. Il secondo gruppo lavorerà invece sull’individuazione di strumenti comuni per il risk assessment, sulla definizione di approcci condivisi alla gestione del rischio nella comunità GARR e su modelli efficaci di gestione documentale della compliance normativa, evitando soluzioni meramente formali.

GARR sta attualmente lavorando alla redazione dei charter dei due gruppi, che ne definiranno scopo, obiettivi, tempistiche, ruoli e modalità operative. Il passo successivo sarà l’organizzazione di un primo incontro, per discutere e finalizzare le bozze e avviare ufficialmente le attività. L’obiettivo, ambizioso ma concreto, è quello di produrre risultati tangibili già nel corso del 2026, da condividere con l’intera comunità, possibilmente in occasione dei prossimi GARR Security Days previsti per il prossimo autunno.

In questo senso, i Security Days non rappresentano un punto di arrivo, ma l’inizio di un percorso. Un percorso che unisce formazione, collaborazione e condivisione di competenze, e che mira a rafforzare in modo strutturato la resilienza digitale della comunità GARR, trasformando gli obblighi normativi e le sfide di sicurezza in un’opportunità di crescita collettiva.