La Relazione 2024 di ACN al Parlamento fornisce una panoramica sulle attività, i dati e le competenze dell’Agenzia per la cybersicurezza nazionale con lo scopo di rafforzare la resilienza sistemica del Paese. La Relazione di 136 pagine, trasmessa ai Presidenti di Camera e Senato, è organizzata in nove capitoli che illustrano il modo in cui ACN ha operato, affrontando le numerose sfide del dominio cibernetico a protezione della superficie digitale nazionale e promuovendo negli enti e tra le imprese uno sviluppo tecnologico sicuro e accessibile.

Nel 2024 il CSIRT Italia, la struttura operativa dell’ACN, ha gestito 1.979 eventi e 573 incidenti informatici con impatto confermato, con un incremento rispettivamente del 40% e dell’89% rispetto all’anno precedente. Le minacce più frequenti sono state gli attacchi DDoS, spesso riconducibili a gruppi hacktivisti filo-russi, e il ransomware, che colpisce in particolare le PMI. Nonostante l’alto numero di episodi, la maggior parte non ha causato gravi danni, ma il trend resta preoccupante.

Particolarmente rilevante è la crescita delle campagne di phishing e del brand abuse, segno che anche le imprese meno strutturate stanno diventando obiettivi sensibili per gli attaccanti, con anche il rischio che molte PMI non abbiano le risorse o le competenze per rispondere adeguatamente.

Relazione ACN

Nuove regole e obblighi per rafforzare la resilienza

Con la Legge 90/2024, l’Italia ha imposto nuovi obblighi di notifica degli incidenti e standard minimi di sicurezza, in particolare per enti pubblici locali, aziende sanitarie e fornitori di servizi strategici. La legge ha anche rafforzato il coordinamento tra ACN, magistratura e forze dell’ordine, formalizzando pratiche già in uso. Tuttavia, l’estensione degli obblighi potrebbe mettere sotto pressione realtà poco attrezzate, come molti comuni o PMI, che rischiano di subire il peso di una compliance costosa e complessa senza adeguato supporto operativo.

NIS2: Italia tra i primi ad adeguarsi, ma l’attuazione sarà graduale

Nel 2024 l’Italia ha recepito nei tempi la Direttiva NIS2 (con il D.Lgs. 138/2024) allargando l’ambito di applicazione a 18 settori, inclusa buona parte della Pubblica Amministrazione e delle imprese della supply chain. L’ACN è stata confermata come autorità nazionale per la sua attuazione e ha avviato una piattaforma dedicata alla registrazione degli enti interessati.

screenshot-www.acn.gov.it-2025.05.14-12_12_01

Il recepimento tempestivo è un segnale positivo, ma l’efficacia dipenderà dalla capacità di rendere operative le misure previste. L’Agenzia ha annunciato un’attuazione in tre fasi fino al 2026, ma la concreta adozione dei requisiti da parte delle imprese resta una sfida significativa, soprattutto per quelle a bassa maturità digitale.

Cloud e digitalizzazione della PA: nuove regole, vecchie incognite

L’adozione del Regolamento unico cloud per la PA è un altro tassello importante. Il nuovo quadro impone la classificazione di dati e servizi (ordinari, critici, strategici) e la migrazione verso infrastrutture cloud qualificate, con l’obiettivo di promuovere un ecosistema più sicuro, performante e coerente con gli standard europei.

Il successo dell’iniziativa dipenderà dalla capacità delle PA, soprattutto quelle locali, di adeguarsi a requisiti tecnici stringenti e, in molti casi, ciò richiederà investimenti e competenze non sempre disponibili.

Comunicazione e formazione: parte la sensibilizzazione delle PMI

Una delle novità più apprezzabili del 2024 è stata la campagna Accendiamo la cybersicurezza rivolta alle piccole e medie imprese, che ha totalizzato oltre 113 milioni di visualizzazioni. L’ACN ha anche partecipato a oltre 50 eventi formativi e lanciato strumenti divulgativi per supportare l’attuazione di NIS2.

screenshot-www.acn.gov.it-2025.05.14-12_12_22

Resta però da colmare un divario culturale, dal momento che in molte realtà aziendali italiane la cybersicurezza è ancora vista come un onere, non come un investimento strategico. In tal senso le campagne di awareness sono un primo passo, ma serve un sostegno più continuo e capillare.

Cooperazione internazionale: il G7 spinge sulla collaborazione cyber

L’Italia ha sfruttato la Presidenza del G7 per promuovere la creazione di un gruppo di lavoro permanente sulla cybersicurezza tra le agenzie dei Paesi membri. L’iniziativa, nata su proposta dell’ACN, è stata accolta positivamente e proseguirà nel 2025 sotto presidenza canadese. A livello UE, ACN ha inoltre contribuito a regolamenti chiave come il Cyber Resilience Act, il regolamento eIDAS2 sull’identità digitale e l’AI Act sull’intelligenza artificiale. L’Agenzia è anche coinvolta nello sviluppo di schemi europei di certificazione per cloud e 5G.

Il punto critico messo in luce dalla Relazione resta il divario tra soggetti grandi e piccoli: mentre infatti le realtà strutturate possono rispondere adeguatamente alle nuove sfide, molte PMI e PA locali rischiano di trovarsi in difficoltà. Sarà quindi cruciale accompagnare queste realtà non solo con obblighi ma con strumenti concreti, competenze accessibili e incentivi mirati.