by

L’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato la Relazione annuale al Parlamento per il 2025. Il documento offre una fotografia aggiornata del panorama delle minacce cyber in Italia, dello stato di implementazione della normativa NIS2 e del ruolo crescente dell’Agenzia nella governance dell’intelligenza artificiale. I dati parlano chiaro: la superficie di attacco si espande, ma la capacità di risposta del sistema-paese migliora. Il quadro regolatorio, tuttavia, pone nuovi e significativi oneri sui soggetti NIS.

1. Il panorama delle minacce: i numeri del 2025

Nel corso del 2025, il CSIRT Italia ha gestito 2.729 eventi cyber, con una media di 227 eventi al mese rispetto ai 165 del 2024, segnando una crescita complessiva del 38% su base annua. Il dato di per sé potrebbe suscitare allarme, ma va letto nella sua giusta prospettiva: gli incidenti con impatto confermato sono cresciuti solo del 7%, grazie all’intensificazione dell’attività preventiva dell’Agenzia, che ha inviato 46.867 comunicazioni ai soggetti potenzialmente esposti.

Il settore più colpito rimane la Pubblica Amministrazione, con 1.140 eventi e 196 incidenti. Un dato che non sorprende, ma che conferma come la digitalizzazione del settore pubblico, senza un parallelo rafforzamento delle misure di sicurezza, rappresenti un vettore di rischio sistemico per l’intero paese.

2. NIS2: oltre 21.800 soggetti individuati

Sul fronte regolatorio, la Relazione certifica un dato di notevole impatto pratico: ACN ha individuato oltre 21.800 soggetti rientranti nell’ambito di applicazione della normativa NIS2, una platea sensibilmente più ampia rispetto al regime NIS1. Questo risultato riflette l’ampliamento dei settori coperti dal Decreto Legislativo n. 138/2024 e l’applicazione di criteri dimensionali e settoriali che hanno esteso significativamente il perimetro della compliance obbligatoria.

Per questi soggetti, i processi di adempimento devono essere completati nei termini previsti. Le misure di sicurezza tecnica e organizzativa, la registrazione sul Portale ACN, la designazione del punto di contatto, la mappatura dei fornitori rilevanti e la predisposizione dei piani di risposta agli incidenti non sono più opzioni strategiche: sono obblighi esigibili, soggetti a vigilanza e sanzione.

3. AI Act: ACN come autorità di vigilanza del mercato

Un elemento di assoluta novità riguarda l’intelligenza artificiale. La legge italiana di recepimento dell’AI Act ha attribuito ad ACN il ruolo di autorità di vigilanza del mercato per i sistemi AI che presentano rischi per la sicurezza collettiva. Tale attribuzione non è meramente formale: ACN dispone di poteri sanzionatori e di ispezione nei confronti dei soggetti che sviluppano o immettono sul mercato sistemi AI nella categoria rilevante.

Ciò comporta un effetto di doppia esposizione regolamentare per molte organizzazioni. I soggetti NIS2 che, nell’ambito della propria operatività, sviluppano, integrano o utilizzano sistemi AI potenzialmente rilevanti ai fini dell’AI Act si trovano ora ad essere vigilati da ACN su due fronti distinti: il profilo della resilienza e sicurezza informatica (NIS2) e il profilo della conformità AI (AI Act). Le due catene di vigilanza fanno capo alla stessa autorità, ma rispondono a framework normativi e requisiti di compliance differenti.

4. Raccomandazioni pratiche per i soggetti NIS

Alla luce dei dati e degli sviluppi normativi illustrati nella Relazione, i soggetti NIS essenziali e importanti dovrebbero prioritizzare le seguenti azioni:

  • Completamento degli adempimenti NIS2: verificare lo stato di avanzamento della registrazione sul Portale ACN, la finalizzazione dell’attività di categorizzazione e l’adozione delle misure minime di sicurezza previste dal Decreto.
  • Mappatura della supply chain digitale: la Relazione conferma l’attenzione di ACN alla catena di approvvigionamento. I soggetti NIS devono identificare e comunicare i fornitori rilevanti, predisponendo clausole contrattuali adeguate che garantiscano visibilità sulle dipendenze critiche.
  • Analisi della doppia esposizione ACN (NIS2 + AI Act): i soggetti che sviluppano o integrano sistemi AI devono mappare le intersezioni tra i due regimi di vigilanza e costruire un modello di governance integrato, evitando approcci siloed che generano ridondanze o, peggio, lacune.
  • Investimento nella prevenzione: il gap tra eventi (+38%) e incidenti con impatto confermato (+7%) dimostra che la prevenzione funziona. Le organizzazioni che hanno già implementato sistemi di monitoraggio e risposta proattiva si sono rivelate più resilienti. Il costo dell’adempimento preventivo è strutturalmente inferiore al costo della gestione post-incidente.
  • Presidio dei processi di notifica: con la progressiva maturazione del sistema di vigilanza ACN, la corretta gestione degli obblighi di notifica degli incidenti diventa un elemento chiave. I processi interni devono essere testati e documentati prima che si verifichi un incidente, non durante.

La Relazione al Parlamento 2025 non è un documento di mero rendiconto: è un segnale chiaro di come ACN stia costruendo, progressivamente, un sistema di vigilanza multilivello che copre cybersicurezza e AI. Per i soggetti NIS, il messaggio è univoco: la compliance non è un traguardo, ma un processo continuo. La strategia nazionale ha completato 60 delle 82 misure previste. Il ritardo non è un’opzione.

Su un tema correlato, potrebbe interessare l’articolo: NIS2 e Portale ACN: nuove regole per i fornitori

(Visited 1 times, 1 visits today)
Close Search Window