Sicurezza informatica in Azienda: in arrivo il webinar di Howay
Formazione Aziendale & Eventi

Sicurezza informatica in Azienda: in arrivo il webinar di Howay

La sicurezza informatica in Azienda non è più costituita solo da firewall sofisticati o antivirus potenti, in quanto i prima linea operano le persone, che devono essere adeguatamente formate e in grado di comprendere i pericoli che si celano anche dietro messaggi e link apparentemente innocui.

È questa la premessa su cui si basa il recente Decreto Legislativo 138/2024, che si rivolge in particolare alle aziende con almeno 50 dipendenti oppure con un fatturato annuale di 10 milioni di euro.

L’obiettivo è chiaro: garantire la sicurezza informatica di tutti, dai dipendenti che operano sui mezzi digitali per gestire ordini, approvvigionamenti e fatture, fino al cliente finale per la salvaguardia dei propri dati sensibili condivisi con l’azienda.

Howay interviene in questo processo aiutando le attività ad adeguarsi alle nuove direttive europee, attraverso percorsi di cyber awareness e un webinar gratuito che avrà luogo il 17 settembre alle ore 11.00; nei prossimi paragrafi, invece, forniremo una panoramica sulla nuova normativa.

Sicurezza informatica in Azienda: a chi si rivolge il Decreto

Il D. Lgs. 138/2024, entrato in vigore il 16 ottobre 2024, rappresenta il recepimento ufficiale in Italia della Direttiva UE 2022/2555 (NIS 2), che introduce misure di cybersicurezza a livello europeo per proteggere infrastrutture critiche e servizi essenziali.

I soggetti a cui si rivolge la normativa sono numerosi, ma per semplificarne l’applicazione sono stati suddivisi in quattro macro categorie, meglio esplicitate negli allegati del Decreto, che si possono riassumere come segue:

  • Settori ad alta criticità (Allegato I), come energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, settore sanitario, acqua potabile, acque reflue, infrastrutture digitali, gestione dei servizi TIC (B2B);
  • Settori considerati critici (Allegato II), ovvero servizi postali e di corriere, gestione dei rifiuti, fabbricazione (dispositivi medici, apparecchiature elettroniche, autoveicoli, rimorchi e mezzi di trasporto), produzione e distribuzione di sostanze chimiche, produzione, trasformazione e distribuzione di alimenti, fornitori di servizi digitali e organizzazioni di ricerca;
  • Amministrazioni centrali, regionali, locali e altri tipi di enti produttori di servizi e attività economiche (Allegato III);
  • Ulteriori tipologie di soggetti (Allegato IV), quali trasporto pubblico locale, istituti di istruzione con attività di ricerca, attività di interesse culturale, società in house, società partecipate e società a controllo pubblico.

È importante precisare che accanto alle categorie di cui sopra, l’Agenzia per la Cybersicurezza Nazionale (ACN) potrebbe individuare ulteriori soggetti incaricati nell’implementazione delle misure di sicurezza richieste dal Decreto; inoltre, rientrano negli obblighi anche i fornitori di servizi di comunicazione, i prestatori fiduciari e i fornitori di servizi di gestione o registrazione di nomi di dominio.

Come garantire la Sicurezza Informatica in Azienda?

Prima di parlare di obblighi, è necessario fare una premessa: all’articolo 6 del Decreto si distinguono i soggetti essenziali e i soggetti importanti, per i quali variano di conseguenza le scadenze e gli obblighi. In particolare, tra i soggetti essenziali vi sono le attività presenti all’Allegato II e all’Allegato I che superano i massimali delle medie imprese, le amministrazioni pubbliche centrali, i prestatori di servizi fiduciari e i fornitori di reti pubbliche di comunicazione elettronica.

Quali sono gli obblighi previsti dal Decreto? Ecco un breve riassunto:

  • Registrazione e aggiornamento dati su piattaforma ACN, avvenuta entro febbraio 2025, per consentire all’ente la compilazione di elenchi ufficiali dei soggetti obbligati;
  • Comunicazione da parte dell’ACN entro aprile 2025 sulla classificazione come soggetto essenziale o importante per le diverse scadenze e obblighi;
  • Implementazione di misure di sicurezza di base: analisi del rischio, controllo degli accessi, gestione vulnerabilità, sicurezza nella supply chain, continuità operativa, audit interno e formazione. I soggetti essenziali hanno standard più rigorosi rispetto ai soggetti importanti;
  • Notifica incidenti informatici: in caso di evento significativo, la segnalazione al CSIRT Italia deve avvenire tempestivamente. Più nel dettaglio, entro 24 ore avviene la pre-notifica, entro 72 la notifica completa con primo impatto ed entro un mese la relazione finale;
  • Governance interna: gli organi di amministrazione devono approvare il piano di cybersecurity, nominare il responsabile e garantire che il sistema sia monitorato, aggiornato e condiviso anche con i vertici aziendali;
  • Certificazione e sicurezza della supply chain: occorre usare prodotti e processi informatici certificati a livello europeo e verificare i fornitori secondo standard di cybersecurity coerenti;
  • Tempistiche per l’adeguamento: Le misure di sicurezza di base devono essere completate entro 18 mesi dalla comunicazione di classificazione; la notifica degli incidenti deve essere disponibile entro 9 mesi dalla stessa data.

Perché è importante formare il personale sulla Sicurezza Informatica

I dipendenti rappresentano spesso il punto più vulnerabile nella catena della sicurezza informatica. Secondo IBM, infatti, il 95% delle violazioni è causato da errori umani evitabili, come cadere in trappole di phishing, usare password deboli o gestire erroneamente dati sensibili. 

Nel solo 2024, il Rapporto Clusit segnala in Italia un aumento del 23% degli attacchi cyber rispetto al semestre precedente, con oltre metà degli incidenti classificati come “critici o gravi”.

Ecco perché è essenziale addestrare il personale su minacce specifiche e buone pratiche operative, come:

  • Phishing e social engineering: riconoscere email sospette, link falsificati o richieste ingannevoli;
  • Gestione delle password: utilizzo di password complesse, autenticazione a più fattori (MFA) e policy di cambio periodico;
  • Protezione dei dati: corretta classificazione, archiviazione sicura, backup, crittografia e accessi controllati;
  • Procedure aziendali di risposta: sapere come comportarsi in caso di incidente, chi contattare e quali strumenti utilizzare.

Un singolo attacco, come un ransomware o una fuga di dati personali o aziendali, può danneggiare gravemente la reputazione, oltre a causare perdite economiche significative e compromettere la continuità operativa. La fiducia dei clienti diminuisce e spesso si cercano partner più affidabili dal punto di vista della sicurezza.

Adeguarsi al Decreto sulla Cybersicurezza significa anche dotarsi di un piano formativo aggiornato. A tal proposito, sei sicuro che la tua Azienda non rientri tra i soggetti obbligati? Howay supporta imprese e professionisti attraverso il Corso NIS2 per PMI e settori a basso rischio, pensato per fornire un quadro completo sulla normativa, la gestione del rischio e le misure da adottare per evitare sanzioni estremamente elevate, che richiedono fino al 2 % del fatturato annuo.

Non solo, all’interno della scheda informativa potrai trovare soluzioni flessibili in base alle esigenze interne della tua azienda, includendo in ogni caso l’attestato digitale Open Badge. Per saperne di più, ti invitiamo a collegarti alla pagina linkata.

Approfondimenti:

Scopri di più

continua a leggere

Ultimi novità e aggiornamenti

8/18/2025

Best Place to Work: W Group vince per il terzo anno consecutivo

8/11/2025

Stipendio medio in Italia: come varia in base alla formazione

8/8/2025

Buoni Pasto in Busta Paga: come si richiedono

8/8/2025

Corso di Business English: l'offerta di Howay per professionisti e Aziende

Howay Logo
CorsiProfessionistiAziendeFormazione finanziataAcademyNews
Lavora con noiComplianceCertificazioniWhistleblowingReclamiDichiarazione di accessibilità
Contatti
Social Media
Facebook Logo HowayInstagram Logo HowayLinkedIn Logo Howay
Torna in cima
Privacy
·
Purpletree
·
Impostazione Cookie