Il Gruppo di Cooperazione NIS, organo istituito dalla Direttiva UE 2016/1148 (Network and Information Security – NIS) per raggiungere un elevato livello comune di sicurezza dei sistemi informativi in tutta l’UE, ha pubblicato la sesta edizione del report annuale sugli incidenti informatici. Si tratta dell’ultima edizione del report ai sensi della Direttiva NIS in quanto, da gennaio 2026, entreranno in vigore i nuovi obblighi di notifica degli incidenti previsti dalla Direttiva UE 2022/2555 (NIS2).

I dati rilevati sono significativi: nel 2024 sono stati notificati 1.276 incidenti di cybersecurity rilevanti per la Direttiva NIS, con un incremento del 18% rispetto al 2023. Il settore sanitario è il più colpito per il quinto anno consecutivo (22% delle notifiche di incidenti). Le altre notifiche riguardano i settori dell’energia (15%), dei trasporti (13%), delle infrastrutture digitali (12%) e bancario (10%).

I punti chiave relativi agli incidenti notificati

Il report individua tre cause degli incidenti notificati nel 2024:

Sebbene addirittura il 51% degli incidenti derivi da guasti tecnici, quali bug di software e applicativi, errori negli aggiornamenti, problemi hardware, etc., a destare maggiore allarme restano le azioni malevole intenzionali:

• gli attacchi Distributed Denial-of-Service (“DDoS”), infatti, causano il maggior numero di interruzioni alla continuità aziendale e tempistiche più ampie per il ripristino dei dati;
• gli attacchi ransomware restano la principale minaccia alla “CIA triad” – modello fondamentale nella sicurezza informatica composto da: Confidentiality (Riservatezza), Integrity (Integrità) e Availability (Disponibilità) – con impatti significativi sulla continuità dei servizi, in particolare nei settori sanitario ed energetico.

La situazione in Italia: Confartigianato lancia l’allarme

“Dalle multinazionali alle piccole imprese gli hacker non risparmiano nessuno”, sottolinea in un’intervista il Presidente di Confartigianato Marco Granelli. Le indagini Istat evidenziano che tra il 2019 e il 2023 i reati informatici denunciati dalle aziende italiane sono cresciuti del 45,5% e il 15,8% delle imprese ha subito almeno un incidente con conseguenze significative su dati e servizi ICT.

Le regioni più colpite sono la Toscana, dove gli episodi di cybercrime contro le aziende in 4 anni sono cresciuti dell’88,3%, il Veneto (+63,7%), le Marche (+56%), la Puglia (+54,7%), il Lazio (+53,2%), l’Emilia Romagna (+53%), Piemonte (47%), Lombardia (45,5%).

Sebbene l’83,1% delle aziende riconosca l’importanza della cybersecurity e nel 2024 il 42,6% abbia investito in sicurezza informatica, solo il 32,2% adotta le misure di sicurezza raccomandate dall’Istat. Un ostacolo chiave resta la carenza di personale formato e con competenze tecniche specifiche in materia di cybersecurity. Secondo Granelli “La digitalizzazione se non adeguatamente protetta, espone le aziende a rischi sempre maggiori. Sono necessari conoscenze, strumenti pratici e risorse per difendersi”.

Come proteggere gli assets informatici?

La prima linea di difesa è rappresentata dalla consapevolezza di rischi e minacce informatiche e dalla conoscenza dei principali strumenti per proteggersi. Proprio al fine di sensibilizzare e diffondere le migliori prassi in materia di cybersecurity, l’Agenzia per la Cybersicurezza Nazionale (ACN) pubblica periodicamente guide pratiche per enti ed imprese. Le guide, disponibili consultando il sito istituzionale, affrontano tematiche quali:

• l’integrazione della sicurezza digitale nella strategia d’impresa;
• l’importanza della formazione continua dei dipendenti;
• la gestione degli incidenti e la business continuity;
• l’adozione di strumenti come autenticazione a più fattori (MFA),
• la cifratura dei dati;
• backup sicuri e monitoraggio delle minacce;
• la selezione di fornitori qualificati e l’utilizzo consapevole di servizi cloud SaaS;
• la necessità di limitare i privilegi utente e adottare approcci come lo Zero Trust.

Costruire un framework di resilienza digitale

L’adozione delle raccomandazioni operative formulate dalle Autorità competenti in materia di cybersecurity costituisce un riferimento utile ma non esaustivo. La materia, per sua natura, è complessa e in continua evoluzione: le azioni da intraprendere vanno selezionate caso per caso, adottando un approccio basato su rischio e considerando le disposizioni normative applicabili.

A partire da gennaio 2026, infatti, diventeranno pienamente applicabili i rinnovati obblighi di notifica tempestiva degli incidenti informatici previsti dalla Direttiva NIS2, mentre da ottobre 2026 entreranno in vigore i requisiti in materia di misure di sicurezza, la cui inosservanza esporrà enti ed imprese a sanzioni fino a 10 milioni di euro (ai sensi dell’articolo 34 della Direttiva).

Risulta quindi strategico avvalersi di servizi di consulenza specializzata, in grado di supportare le organizzazioni nella mappatura dei rischi, nella selezione di sistemi di sicurezza adeguati e nella predisposizione di procedure operative conformi alle norme.

Costruire un framework di resilienza digitale significa essere in grado di garantire la tutela del patrimonio informativo aziendale, la continuità operativa e il rispetto dei più stringenti obblighi normativi. Contattaci per ulteriori informazioni.