Dati sensibili, infrastrutture di ricerca, servizi digitali: il cuore delle università italiane è sempre più esposto al rischio cyber. In questo scenario, la Conferenza dei rettori delle università Italiane (Crui) ha avviato, nei giorni scorsi, un piano nazionale di formazione per preparare gli atenei alla direttiva europea Network and Information Security 2 (NIS2), e per rafforzarne la capacità di prevenire, gestire e affrontare i rischi cyber.
Come coordinatore della Commissione Ict della Crui, Gianluigi Greco, rettore dell’Università della Calabria, ha promosso questo percorso che accompagnerà le università in un processo strutturato di adeguamento, che non si limiti alla conformità normativa ma punti a costruire una reale capacità di gestione del rischio cyber, in linea con le migliori pratiche europee.
«Si tratta di un’iniziativa strategica per il sistema universitario italiano, che mira a rafforzare la consapevolezza e le competenze sulla cybersicurezza a livello di governance degli atenei. La direttiva NIS2 segna un cambio di paradigma: la sicurezza informatica non è più solo un tema tecnico, ma una responsabilità diretta degli organi di vertice ai quali ora spetta di dimostrare di aver gestito il rischio in modo consapevole» – ha dichiarato Gianluigi Greco.
Il programma prevede un’articolazione progressiva: momenti formativi rivolti agli organi apicali per rafforzare le competenze di indirizzo e supervisione, moduli didattici dedicati al personale tecnico per gli aspetti operativi e specialistici, e strumenti di valutazione e certificazione delle competenze acquisite. Particolare attenzione è dedicata alla gestione del rischio, alla governance, alla continuità operativa e alla risposta agli incidenti, in coerenza con quanto richiesto dalla direttiva NIS2. Le università – con comunità eterogenee, grandi quantità di dati, attività di ricerca, infrastrutture avanzate – rappresentano bersagli privilegiati per attacchi informatici, in particolare ransomware, che prevedono sottrazione dei dati, cifratura dei sistemi e richiesta di riscatto. Per questo motivo, il percorso formativo nazionale mira a rafforzare le competenze di tutti i soggetti coinvolti e a consolidare la resilienza digitale del sistema universitario.
Parallelamente, la partecipazione al tavolo settoriale sulla NIS2 con l’Agenzia per la Cybersicurezza nazionale (Acn) e il Ministero dell’Università e della Ricerca (Mur) garantirà un raccordo costante tra le politiche nazionali e le esigenze del sistema universitario, promuovendo un ruolo attivo degli atenei nella costruzione dell’ecosistema nazionale di cybersicurezza.
Il percorso, realizzato in collaborazione con la Fondazione Security and Rights in the Cyber Space (SERICS) e in coordinamento con le iniziative del Mur, si inserisce in una strategia più ampia volta a rafforzare la resilienza digitale del sistema universitario e della ricerca italiana.
«Non si tratta solo di conformità normativa. Il piano formativo promosso dalla Crui mira a sviluppare una consapevolezza diffusa sulle implicazioni tecniche e giuridiche della cybersicurezza – ha detto Laura Ramaciotti, Presidente della Crui a margine dell’assemblea generale – L’obiettivo è approfittare della modernizzazione tecnologica e organizzativa per proteggere la libertà accademica da interferenze esterne, elevando così la fiducia dei nostri stakeholder. La sicurezza informatica è un prerequisito essenziale per la trasformazione digitale dell’università italiana, un impegno che la Crui considera cruciale per la resilienza di un settore necessario al progresso e alla competitività del sistema Paese».
Il percorso formativo prevede, a partire dalla prima settimana di aprile, la fruizione di contenuti asincroni per gli organi apicali, lo svolgimento dei webinar tematici tra aprile e maggio e, successivamente, l’avvio dei moduli didattici dedicati al personale tecnico. Con questa iniziativa la Crui intende porsi come interlocutore attento e propositivo, facendo degli atenei un terreno fertile per l’applicazione e l’innovazione della strategia italiana per la Cybersecurity.