Negli ultimi anni si sta assistendo ad una progressiva digitalizzazione del mondo del lavoro e dei servizi: i processi diventano sempre più automatizzati, interi impianti vengono gestiti attraverso software sofisticati, persino i dipendenti possono accedere alle proprie buste paga e buoni welfare grazie ad applicazioni a portata di clic.
Se da una parte il progresso tecnologico comporta una riduzione del carico di lavoro per il singolo, oltre allo snellimento delle tempistiche burocratiche, dall’altra apre dei rischi che possono compromettere gravemente la salute dell’intero ecosistema aziendale.
Ecco perché nel 2021 è stata istituita l’Agenzia per la Cybersicurezza Nazionale, che ha messo in campo un piano d’azione strategico, per implementare le nuove misure di tutela e prevenzione dagli attacchi informatici entro il 2026.
Noi di Howay abbiamo già affrontato la questione in precedenza con il contenuto dedicato alla Sicurezza Informatica in Azienda. In questo articolo andremo a fornire una breve panoramica sulle nuove indicazioni dell’Agenzia, ricordandoti che è disponibile il nostro corso Corso NIS2 per PMI e settori a basso rischio per adeguarsi alla normativa.
L’Agenzia per la Cybersicurezza Nazionale (ACN) nasce con l'intento di rendere la transizione digitale del Paese sicura, autonoma e resiliente. In un clima in cui la digitalizzazione interessa tanto la Pubblica Amministrazione quanto il settore produttivo, garantire la continuità dei servizi online significa rafforzare la fiducia di cittadini e imprese, tutelando dati e infrastrutture da possibili compromissioni.
Tra gli obiettivi principali dell’Agenzia vi è quello di assicurare l’autonomia strategica nazionale ed europea nel digitale, riducendo la dipendenza da tecnologie e fornitori extra-UE. L’Italia, in linea con le direttive comunitarie, mira a sviluppare soluzioni e competenze interne, promuovendo l’innovazione tecnologica e la sovranità sui propri dati. Questo approccio non è solo una questione di sicurezza, ma anche di competitività industriale.
Altro pilastro dell’azione dell’ACN è la prevenzione delle minacce cyber: l’Agenzia lavora per anticipare e neutralizzare gli attacchi informatici prima che producano effetti dannosi, rendendo sempre meno vantaggiose le attività offensive. Quando, invece, un attacco si verifica, entra in gioco la gestione delle crisi cibernetiche, che richiede un coordinamento costante tra soggetti pubblici e privati.
Infine, l’Agenzia affronta un tema sempre più rilevante, ovvero il contrasto alla disinformazione online. Le cosiddette “minacce ibride”, che mescolano manipolazione informativa e attacchi digitali, possono compromettere la stabilità democratica del Paese. Per questa ragione vengono promosse azioni mirate a proteggere il dominio informativo di tutto il territorio nazionale.
Per raggiungere gli obiettivi fissati, l’Agenzia per la Cybersicurezza Nazionale agisce attraverso la Strategia nazionale di cybersicurezza 2022-2026, un piano articolato che coordina risorse, competenze e interventi su più livelli. La strategia si fonda su un approccio sistemico, che punta a proteggere gli asset strategici del Paese e a rafforzare la resilienza complessiva del sistema digitale italiano.
L’asse della protezione riguarda la gestione del rischio e la definizione di un quadro normativo coerente, volto a garantire standard elevati di sicurezza per infrastrutture, reti e servizi digitali. Accanto a essa, la risposta a incidenti e minacce informatiche si basa su capacità nazionali di monitoraggio, analisi e allertamento, con procedure che coinvolgono istituzioni, imprese e operatori critici in un flusso coordinato di azioni tempestive.
Lo sviluppo rappresenta un altro strumento fondamentale: la Strategia promuove la crescita di tecnologie digitali sicure e competitive, sostenendo ricerca, innovazione e cooperazione tra università, imprese e centri di eccellenza. Questo orientamento favorisce la nascita di un ecosistema nazionale in grado di ridurre la dipendenza da soluzioni estere e rafforzare la sovranità tecnologica.
Un ulteriore pilastro è la cooperazione, tanto a livello interno quanto internazionale, che consente di condividere conoscenze, coordinare politiche e garantire un fronte comune contro le minacce globali. Infine, la formazione (come quella offerta dai programmi Howay) e la cultura della cybersicurezza mirano a creare una forza lavoro qualificata e consapevole, capace di riconoscere i rischi digitali e contribuire alla sicurezza collettiva del Paese.
La Direttiva NIS 2 (Network and Information Security Directive), adottata dall’Unione Europea nel 2022 e recepita in Italia nel 2024, rappresenta il principale strumento normativo europeo per rafforzare la sicurezza informatica degli Stati membri. Più nel dettaglio, aggiorna e amplia la precedente NIS del 2016, introducendo obblighi più stringenti per un numero maggiore di soggetti pubblici e privati, dai gestori di servizi essenziali alle imprese che operano in settori critici come energia, trasporti, sanità, finanza e pubblica amministrazione.
L’obiettivo della NIS 2, come abbiamo trattato in un contenuto precedente, è costruire un sistema di difesa digitale armonizzato a livello europeo, migliorando la capacità di prevenire, gestire e rispondere agli incidenti cibernetici che minacciano la stabilità economica e la sicurezza dei cittadini. Essa impone agli Stati membri di adottare strategie nazionali, istituire autorità competenti e definire procedure comuni di cooperazione e scambio di informazioni.
È proprio in questo contesto che si inserisce il lavoro dell’Agenzia per la Cybersicurezza Nazionale, che agisce come autorità nazionale competente per l’attuazione della Direttiva NIS 2 in Italia. L’Agenzia coordina le attività di vigilanza e controllo, definisce gli standard di sicurezza minimi e supporta le organizzazioni nell’adeguamento alle nuove regole.
La Strategia nazionale di cybersicurezza 2022-2026 rappresenta quindi lo strumento operativo con cui la nazione dà piena attuazione alla NIS 2, garantendo coerenza tra gli obiettivi europei e le esigenze del sistema produttivo e istituzionale nazionale.
Di recente, l’ACN ha messo a punto alcune misure pratiche per rendere operativa la Direttiva NIS 2 sul territorio italiano. La più significativa riguarda l’istituzione della figura del Referente CSIRT, introdotta con la Determinazione del Direttore del 19 settembre 2025, che aggiorna e sostituisce il precedente atto regolatorio.
Si tratta di una persona fisica designata dal Punto di Contatto dell’organizzazione, con il compito di interfacciarsi direttamente con lo CSIRT Italia e di gestire le notifiche di incidenti significativi secondo le tempistiche previste (artt. 25–26 del decreto NIS). L’ACN ha stabilito che la nomina dovrà essere effettuata tra il 20 novembre e il 31 dicembre 2025 via procedura telematica sul portale dell’Agenzia.
È prevista anche la possibilità di indicare uno o più sostituti del Referente CSIRT, per garantire continuità operativa anche in caso di assenza o impedimento del principale. I sostituti possono svolgere le stesse funzioni in sua vece, purché posseggano requisiti tecnici adeguati.
Un’altra misura recente l’aggiornamento dell’elenco dei soggetti NIS soggetti agli obblighi della normativa: durante il V Tavolo NIS, l’ACN ha integrato revisioni già compiute e registrazioni tardive pervenute entro giugno 2025, con ulteriori aggiornamenti previsti entro fine d’anno.
Con queste ultime disposizioni l’ACN definisce la governance operativa della risposta agli incidenti e obbliga soggetti NIS a perfezionare le proprie strutture interne entro scadenze precise.
Approfondimenti:
