La crescente esposizione digitale di istituzioni, aziende e cittadini ha reso la cyber sicurezza una priorità strategica per l’Italia.
Dilazione debiti
Saldo e stralcio
È del 9 aprile ultimo scorso, d’altra parte, la notizia, apparsa nelle principali testate giornalistiche di tiratura nazionale, della pubblicazione dei numeri di telefono di alcuni esponenti politici del nostro Paese, tra cui il Presidente della Repubblica Sergio Mattarella e la Presidente del Consiglio Giorgia Meloni. L’accaduto, oggetto di indagini da parte della Polizia Postale, ha suscitato ampia preoccupazione in merito alla vulnerabilità delle informazioni istituzionali e all’efficacia delle misure finora adottate.
L’Italia non è sprovvista di una normativa adeguata. In risposta alla sempre più frequente e complessa minaccia rappresentata da attacchi informatici, violazioni di dati e campagne di disinformazione, infatti, di recente sono state approvata la legge n. 90 del 28 giugno 2024 e il decreto legislativo n. 138 del 4 settembre 2024, volti a rafforzare il sistema nazionale di sicurezza cibernetica.
L’attuazione di queste normative si colloca nel più ampio contesto europeo di recepimento della Direttiva (UE) 2022/2555, nota tra gli addetti ai lavori come NIS 2, con cui si intende armonizzare il livello di protezione delle infrastrutture digitali nei Paesi membri.
Il quadro normativo: obiettivi e contenuti della Legge 90/2024
La legge 90/2024 introduce una serie di misure destinate a rafforzare l’intero ecosistema nazionale della sicurezza informatica.
In primo luogo, viene riconosciuto il ruolo centrale dell’Agenzia per la Cybersicurezza Nazionale (ACN), istituita nel 2021, come autorità di riferimento per la gestione e la prevenzione degli incidenti informatici.
La normativa stabilisce nuovi obblighi per le pubbliche amministrazioni e per i soggetti privati rientranti nei settori essenziali — quali energia, sanità, finanza, trasporti e comunicazioni — imponendo standard minimi di sicurezza e meccanismi di notifica degli incidenti.
Un elemento di rilievo è rappresentato dall’introduzione della figura del referente per la cyber sicurezza all’interno di ogni amministrazione pubblica, con il compito di coordinare le misure preventive e gestire eventuali attacchi.
Trasforma il tuo sogno in realtà
partecipa alle aste immobiliari.
Inoltre, il legislatore ha previsto specifiche sanzioni in caso di mancata conformità, al fine di incentivare l’adozione tempestiva e concreta delle prescrizioni.
Recepimento della Direttiva NIS 2
In parallelo alla normativa nazionale, l’Italia ha provveduto al recepimento della direttiva NIS 2 mediante il decreto legislativo n. 138 del 4 settembre 2024. Il nuovo assetto legislativo europeo introduce obblighi più stringenti per una vasta platea di soggetti, tra cui gli enti della pubblica amministrazione, le imprese medio-grandi, alcune PMI e i fornitori di servizi digitali critici.
Il decreto prevede inoltre la creazione di un framework coordinato per la gestione delle crisi cibernetiche, fondato sulla cooperazione tra soggetti pubblici, privati e autorità europee.
Una delle innovazioni principali della NIS2 è la riduzione dei tempi massimi entro cui le organizzazioni devono notificare un incidente: una segnalazione preliminare deve avvenire entro 24 ore dalla scoperta, mentre una notifica completa deve essere trasmessa entro 72 ore.
La trasparenza e la reattività sono considerate fondamentali per contenere i danni e rafforzare la resilienza del sistema.
Stato della cyber sicurezza nelle PMI
Nonostante l’importanza crescente della cyber sicurezza, molte PMI italiane mostrano una preparazione insufficiente.
Secondo il Rapporto Cyber Index PMI 2024, il punteggio medio di maturità digitale delle Pmi è di 52 su 100, al di sotto della soglia di sufficienza fissata a 60. Solo il 15% delle aziende adotta un approccio strutturato alla cyber sicurezza, mentre il 56% è poco consapevole o del tutto impreparato.
Obblighi per le Pmi
L’episodio citato in epigrafe sottolinea l’urgenza per le PMI di adottare misure efficaci di cyber sicurezza.
Le imprese devono essere consapevoli che la protezione dei dati non riguarda solo le grandi organizzazioni o le istituzioni pubbliche, ma è fondamentale per tutte le realtà aziendali.
Assistenza per i sovraindebitati
Saldo e stralcio
Una violazione dei dati può comportare gravi conseguenze legali, finanziarie e reputazionali.
Le Pmi, in particolare quelle operanti in settori critici, sono ora tenute a conformarsi a nuovi requisiti di sicurezza informatica. Tra gli obblighi principali vi era la registrazione sulla piattaforma dell’ACN, da compiere entro il 28 febbraio 2025.
Oltre a ciò, tali imprese dovranno:
- nominare un referente interno che si occupi di gestire gli adempimenti in materia di cyber sicurezza;
- segnalare tempestivamente (entro 24 ore dalla scoperta) eventuali incidenti informatici;
- adottare misure tecniche e organizzative adeguate alla gestione dei rischi informatici. A titolo meramente esemplificativo, l’impresa dovrà (tra le altre cose):
- a) condurre regolarmente vulnerability assessment e penetration test per identificare e correggere punti deboli;
- b) eseguire backup regolari dei dati e conservarli in luoghi sicuri;
- c) implementare sistemi di monitoraggio continuo per rilevare attività sospette;
- d) definire e documentare politiche di sicurezza delle informazioni, inclusi protocolli per l’accesso ai dati e per l’uso accettabile delle risorse informatiche;
- e) organizzare corsi di formazione periodici per educare i dipendenti sulle minacce informatiche (come il phishing, i malware e i ramsonware) nonchè e sulle best practice relative alla sicurezza informatica;
- f) sviluppare un Business Continuity Management System (BCMS) per garantire la resilienza dell’organizzazione e la continuità dei servizi in caso di incidenti informatici o di altri eventi critici che colpiscono i sistemi IT.
Governance, risk e compliance management
Al netto degli adempimenti elencati in precedenza, le Pmi dovrebbero valutare l’implementazione, al loro interno, di idonei sistemi di governance, risk e compliance management.
Tali sistemi aiutano le imprese a:
- prendere decisioni strategiche in modo efficace, etico e allineato agli obiettivi aziendali;
- identificare, valutare e gestire i rischi che potrebbero influire negativamente sull’organizzazione (non solo informatici ma anche normativi, reputazionali, finanziari e operativi);
- garantire il rispetto di normative interne (i.e. d. lgs. 231/2001 e d.lgs. 138/2024) e comunitarie (GDPR e NIS 2) nonché di standard (anche internazionali) e policy interne (ove adottate).
L’adozione dei sistemi permette, tra le altre cose:
- la riduzione del rischio di incidenti informatici oppure una migliore gestione degli stessi (nel caso in cui dovessero eventualmente verificarsi);
- il miglioramento (dal punto di vista sia della sicurezza sia dell’efficienza) dei processi relativi al trattamento dei dati personali e alla gestione dei sistemi informatici;
- il rafforzamento della fiducia da parte degli stakeholder (per esempio, clienti, fornitori ed ulteriori partner commerciali).
La dimensione culturale della sicurezza digitale
Oltre agli strumenti giuridici e tecnologici, la sfida della cyber sicurezza impone un cambiamento culturale.
Il fattore umano rappresenta ancora oggi l’anello debole nella catena della protezione informatica. La disattenzione nella gestione dei dispositivi, l’uso di reti non protette, la condivisione inconsapevole di dati, sono tutte prassi che possono compromettere anche i sistemi più avanzati.
La nuova normativa prevede, a tal proposito, programmi di formazione continua e campagne di sensibilizzazione rivolte sia ai dipendenti pubblici sia alla cittadinanza.
Trasforma il tuo sogno in realtà
partecipa alle aste immobiliari.
L’obiettivo è quello di costruire una consapevolezza diffusa dei rischi e delle responsabilità connesse all’utilizzo delle tecnologie digitali.
Investire nella cyber sicurezza significa proteggere il proprio business
L’introduzione della Legge 90/2024 e del decreto legislativo 138/2024 segna un passo importante per il rafforzamento della cyber sicurezza in Italia.
Il caso recente della diffusione dei numeri telefonici dei vertici dello Stato costituisce un monito eloquente sulla necessità di un approccio integrato e sistemico alla protezione delle informazioni digitali.
Con particolare riguardo alle PMI, l’adeguamento a queste normative non è solo un obbligo legale, ma una necessità strategica per garantire la continuità operativa e la fiducia dei clienti.
Investire nella cyber sicurezza significa proteggere il proprio business in un’epoca in cui le minacce digitali sono sempre più pervasive e sofisticate.
***** l’articolo pubblicato è ritenuto affidabile e di qualità*****
Opportunità uniche acquisto in asta
ribassi fino al 70%
Visita il sito e gli articoli pubblicati cliccando sul seguente link
