Che la cybersecurity sia diventata un tema imprescindibile per governi, aziende e cittadini, in un contesto in cui le minacce digitali non solo si moltiplicano, ma diventano anche sempre più sofisticate, è cosa ormai cosa nota. Il nuovo standard di sicurezza imposto dalla NIS2, per cui è arrivato il momento di adeguarsi qui in Italia, ci fa capire, se ancora ce ne fosse bisogno, che il tempo delle parole è finito ed è necessario passare ai fatti, che significa implementazione di misure, adempimenti e procedure concrete per una maggior protezione cyber del nostro patrimonio e dei nostri dati.
Il Global Cybersecurity Index (GCI) dell’International Telecommunication Union (ITU) del 2024 ha fornito una fotografia dettagliata dello stato dell’arte della sicurezza informatica a livello globale, evidenziando progressi, ma anche significative disparità regionali. Parallelamente, l’attuazione della direttiva NIS 2 nell’ordinamento italiano rappresenta una svolta normativa cruciale, mentre il cybercrime continua a crescere in termini di frequenza e pericolosità. Per approfondire il tema, abbiamo pubblicato il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon.
Indice
1. Stato della cybersecurity secondo il rapporto ITU 2024
Il GCI 2024 ha valutato 194 paesi sulla base di cinque parametri considerati strategici: misure legali (c’è ancora qualcuno che dice che gli avvocati esperti in nuove tecnologie non servono?), tecniche, organizzative, sviluppo delle capacità e cooperazione internazionale.
Mentre paesi come Stati Uniti, Regno Unito e Francia guidano la classifica grazie a infrastrutture di sicurezza avanzate e normative efficaci, molte nazioni in via di sviluppo, specialmente in Africa e in alcune aree dell’Asia, rimangono indietro.
L’Italia si è posizionata al 20° posto, quindi nella fascia alta della classifica globale, ma non altissima tra i Paesi virtuosi, dimostrando un impegno crescente ma con margini di miglioramento, soprattutto nell’ambito dello sviluppo delle capacità e della cooperazione internazionale.
Potrebbero interessarti anche:
2. La direttiva NIS 2: un nuovo standard di sicurezza
La direttiva NIS 2, entrata in vigore nell’Unione Europea e recepita in Italia con il decreto legislativo n. 123/2024, innalza notevolmente il livello degli standard di sicurezza informatica per le infrastrutture critiche. La direttiva amplia il campo di applicazione rispetto alla precedente NIS 1, includendo nuovi settori, dalle infrastrutture digitali alla sanità, dai trasporti alle forniture energetiche.
Le principali novità introdotte dalla NIS 2 includono:
- Obbligo di notifica degli incidenti entro 24 ore dal rilevamento.
- Requisiti di sicurezza più stringenti, con l’obbligo di adottare misure preventive adeguate.
- Sanzioni elevate in caso di mancata conformità, che possono arrivare fino al 2% del fatturato globale dell’azienda.
L’obiettivo è chiaro: creare un livello omogeneo di sicurezza informatica in tutta l’Unione Europea, garantendo che anche le piccole e medie imprese adottino pratiche adeguate di protezione dei dati e delle infrastrutture. Per approfondire il tema, abbiamo pubblicato il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon.
NIS 2 ed Evoluzione della Cybersicurezza Nazionale
Il volume offre una ricostruzione completa e aggiornata della Direttiva NIS 2 e del suo recepimento nel D.Lgs. 4 settembre 2024, n. 138, mettendoli in relazione con l’architettura della cybersicurezza nazionale, il ruolo dell’Agenzia per la Cybersicurezza Nazionale (ACN) e le più recenti riforme europee in materia.Curato da Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri, con contributi di dirigenti ACN e prefazione del Direttore Generale Bruno Frattasi, il testo unisce in un’unica guida quadro teorico, prassi applicativa e impatti operativi per soggetti essenziali e importanti. – Quadro normativo europeo “all-in-one”Dalla NIS 1 alla NIS 2, passando per Cybersecurity Act, DORA, Direttiva CER, Cyber Resilience Act e Cyber Solidarity Act, il volume ricostruisce in modo sistematico la strategia UE sulla cybersicurezza e la colloca nel contesto del mercato digitale e delle infrastrutture critiche.- Focus sull’ambito di applicazione e sull’autovalutazione NIS 2Una sezione dedicata aiuta a capire se e come si rientra tra i soggetti essenziali o importanti, illustrando le eccezioni, i poteri di ACN e proponendo un vero e proprio strumento di autovalutazione (giurisdizione, dimensione, tipologia di soggetto).- Requisiti minimi e misure di sicurezza spiegati punto per puntoAmpio commento alle misure di gestione del rischio informatico per soggetti essenziali e importanti, con analisi della determinazione ACN 14 aprile 2025 n. 164179 e delle misure di sicurezza di base (governance, asset, gap analysis, rafforzamento dell’assetto di cybersicurezza, gestione incidenti).- Protezione dei dati personali, domini e obblighi di notificaIntegrazione tra NIS 2, disciplina privacy e gestione dei data breach: procedure di notifica, ruolo dei nomi a dominio, sinergie e possibili sovrapposizioni tra i diversi regimi di segnalazione.- Governance aziendale e responsabilità degli organi di gestioneCapitoli dedicati ai doveri dell’organo di gestione in materia di cybersicurezza, alle responsabilità degli amministratori e degli organi direttivi e alla necessità di strutture interne dedicate (referente per la cybersicurezza, ruoli chiari, accountability).- Condivisione delle informazioni e notifiche degli incidenti al CSIRT ItaliaAnalisi degli obblighi di divulgazione coordinata delle vulnerabilità, degli accordi di condivisione delle informazioni, della rete CSIRT nazionale e delle nuove regole sulla notifica degli incidenti (soggetti obbligati, eventi da notificare, termini, tassonomia cyber, sanzioni ed esenzioni).- Crittografia e transizione post-quantumApprofondimento sul rafforzamento delle misure di sicurezza dei dati tramite crittografia, sul Centro Nazionale di Crittografia, sulle linee guida ACN e Garante Privacy e sui rischi della futura “rottura crittografica” nell’era quantistica, con indicazioni operative per la transizione post-quantum.- Vigilanza ACN, ispezioni e sanzioniCommento ai poteri di monitoraggio e valutazione della conformità dell’ACN, alle verifiche e ispezioni, agli esiti delle attività di controllo e alle misure di esecuzione. Il volume illustra inoltre la funzione delle sanzioni nel quadro della cybersicurezza europea, i criteri di proporzionalità e gli strumenti deflativi del contenzioso.- Cooperazione nazionale, CSIRT e gestione delle crisiTrattazione del ruolo dei CSIRT, del sistema delle autorità di settore NIS, del Tavolo NIS, del Quadro nazionale di gestione delle crisi informatiche e dei meccanismi di coordinamento tra ACN, Procura nazionale antimafia e antiterrorismo, polizia giudiziaria, servizi di informazione e autorità UE (gruppo di cooperazione NIS, EU-CyCLONe).- Riforma dei reati informatici e del D.Lgs. 231/2001Una parte finale è dedicata alle modifiche al codice penale e al codice di procedura penale (accesso abusivo, danneggiamento informatico, estorsione tramite reati informatici, truffa, intercettazioni, testimoni e collaboratori di giustizia) e all’aggiornamento del catalogo dei reati presupposto ex D.Lgs. 231/2001. Perché non puoi farne a meno oraCon l’entrata in vigore del D.Lgs. 138/2024 e delle più recenti determinazioni dell’Agenzia per la Cybersicurezza Nazionale, oltre 20.000 entità pubbliche e private sono già coinvolte dagli obblighi NIS 2, con impatti diretti su governance, misure di sicurezza, notifiche di incidente e sanzioni.Questo volume fornisce il quadro completo e operativo per impostare o rivedere il proprio modello di compliance, ridurre il rischio di non conformità e presentarsi preparati a verifiche, ispezioni e richieste informative. Acquista ora “NIS 2 ed evoluzione della cybersicurezza nazionale” e utilizza la guida per mappare correttamente i tuoi obblighi, adeguare processi e controlli interni e trasformare la conformità NIS 2 da adempimento formale a leva strategica di sicurezza e affidabilità per la tua organizzazione.
Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri | Maggioli Editore 2025
34.20 €
3. Il cybercrime: numeri e impatti
Il rapporto Clusit 2024 ha registrato un aumento del 30% degli attacchi informatici rispetto all’anno precedente, con un impatto economico globale stimato in 6 trilioni di dollari. I settori più colpiti sono stati la sanità, le infrastrutture critiche e i servizi finanziari. Solo in Italia, il Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (CNAIPIC) ha segnalato oltre 500 attacchi gravi nel primo semestre del 2024.
Tra le minacce più diffuse troviamo i ransomware, che bloccano i sistemi informatici richiedendo un riscatto, e le Advanced Persistent Threats (APT), attacchi mirati spesso utilizzati per spionaggio industriale e sottrazione di informazioni sensibili.
Un dato allarmante viene dal rapporto ENISA 2024, che evidenzia come il 50% delle PMI europee non sia preparato a gestire un attacco informatico complesso. Inoltre, uno studio di IBM Security ha rivelato che il costo medio di una violazione dei dati ha raggiunto i 4,45 milioni di dollari, un aumento del 15% rispetto al 2023. Per approfondire il tema, abbiamo pubblicato il volume Investigazioni e prove digitali – Blockchain e Crypto Asset, disponibile su Shop Maggioli e su Amazon
Investigazioni e prove digitali
Il volume si propone come una guida chiara e aggiornata per professionisti del diritto, consulenti forensi, tecnici informatici e forze dell’ordine che devono orientarsi nel complesso panorama dell’investigazione e della prova digitale. Le tecnologie emergenti stanno radicalmente trasformando il contesto giuridico: blockchain, crypto asset, NFT e smart contract, un tempo considerati di nicchia, sono oggi elementi centrali nelle indagini di polizia giudiziaria, nelle controversie civili e nelle consulenze tecniche forensi.Il testo affronta, con taglio pratico, questioni complesse come la tracciabilità delle transazioni su registri distribuiti, l’attribuzione e il sequestro di wallet digitali e la gestione di flussi finanziari illeciti, e i relativi risvolti giuridici: la trasferibilità mortis causa dei crypto asset, i problemi di proprietà e autenticità legati agli NFT, e l’applicazione concreta degli smart contract in ambito patrimoniale e contrattuale.Gli autori, con un solido background pratico, dedicano ampio spazio alle attività investigative in ambienti cifrati, con un focus specifico sulla raccolta, conservazione e analisi della prova digitale, rispondendo alle crescenti esigenze di validità e affidabilità richieste dai contesti giudiziari. MARCO STELLADocente presso l’Accademia e la Scuola di Polizia Economico-Finanziaria della Guardia di Finanza nelle materie di Informatica, Open Source intelligence e investigazioni online. Autore di numerose pubblicazioni e relatore in convegni sui temi della Social Network Analysis, della Blockchain Intelligence e delle applicazioni di Intelligenza Artificiale.
Marco Stella | Maggioli Editore
32.30 €
4. La cybersecurity come priorità strategica
Le aziende italiane, soprattutto quelle che operano in settori strategici, devono considerare la sicurezza informatica non solo come un requisito di conformità normativa, ma come un vero e proprio pilastro della propria strategia aziendale. La direttiva NIS 2 rappresenta un’occasione per rafforzare i propri sistemi di sicurezza e implementare politiche di risk management efficaci.
Le organizzazioni dovrebbero adottare un approccio zero trust, che prevede un monitoraggio continuo e una verifica costante degli accessi alla rete. Inoltre, l’implementazione di soluzioni basate sull’intelligenza artificiale può migliorare la capacità di rilevare e rispondere alle minacce in tempo reale.
5. Conclusioni: una visione strategica e operativa
L’integrazione della Direttiva NIS 2 nel quadro normativo italiano rappresenta un’opportunità unica per rafforzare la resilienza del paese di fronte alle minacce informatiche. Tuttavia, la normativa da sola non basta: è necessario un cambio culturale che porti aziende e istituzioni a considerare la cybersecurity non come un costo, ma come un investimento strategico.
Per ottenere risultati tangibili, è cruciale adottare un approccio proattivo che includa:
- Formazione continua del personale, per sviluppare competenze specifiche nella gestione delle minacce cibernetiche.
- Sviluppo di partnership internazionali, favorendo la condivisione di informazioni e best practice.
- Adozione di tecnologie innovative, come l’intelligenza artificiale e la machine learning, per il rilevamento precoce delle minacce.
In un panorama in cui il cybercrime evolve rapidamente, solo una combinazione di normative rigorose, approcci tecnologici avanzati e collaborazione internazionale può garantire la sicurezza del cyberspazio. Le aziende che sapranno integrare questi elementi nella propria governance digitale non solo ridurranno il rischio di attacchi, ma potranno anche ottenere un vantaggio competitivo nel mercato globale, dimostrando affidabilità e robustezza ai propri clienti e stakeholder.
Ti interessano questi contenuti?
Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Scegli quale newsletter vuoi ricevere
Autorizzo l’invio di comunicazioni a scopo commerciale e di marketing nei limiti indicati nell’informativa.
Presto il consenso all’uso dei miei dati per ricevere proposte in linea con i miei interessi.
Cliccando su “Iscriviti” dichiari di aver letto e accettato la privacy policy.
Grazie per esserti iscritto alla newsletter.
Scrivi un commento
Accedi per poter inserire un commento