Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

lo scenario

SOC e CERT: come l’integrazione dei servizi di sicurezza rafforza la difesa delle aziende

Home Soluzioni aziendali
Partecipa al dibattito
Indirizzo copiato

Quando SOC e CERT lavorano in modo integrato, la capacità difensiva dell’organizzazione raggiunge un livello che nessuna delle due potrebbe garantire singolarmente. Ecco i compiti specifici di ciascuna struttura, le loro differenze e i vantaggi concreti derivanti dalla loro integrazione

Pubblicato il 20 apr 2026
Giancarlo Di Lieto

Head of Cyber Security Neverhack Southern Region e NH CERT Director

AI generativa a supporto del SOC; SOC e CERT: come l'integrazione dei servizi di sicurezza rafforza la difesa delle aziende
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

Il panorama della sicurezza informatica sta attraversando una fase di profonda trasformazione.

Da un lato, le minacce provenienti dal cyberspazio – malware, phishing, ransomware e attacchi sempre più mirati – continuano a moltiplicarsi in frequenza e sofisticazione.

Dall’altro, l’evoluzione del quadro normativo europeo e nazionale, con l’entrata in vigore di GDPR, NIS2 e DORA, impone alle organizzazioni standard sempre più elevati in materia di protezione dei dati e gestione degli incidenti.

Qual è la missione di un SOC nel 2025? Sfide e soluzioni

SOC e CERT, le due strutture che giocano un ruolo chiave

In questo contesto, molte imprese si trovano di fronte a una sfida complessa: garantire un presidio di sicurezza continuo e competente, nonostante la cronica carenza di professionisti specializzati sul mercato e i costi significativi necessari per costruire team interni adeguati.

La risposta che si sta affermando con forza è l’esternalizzazione dei servizi di Security Operations verso provider specializzati, capaci di mettere a disposizione tecnologie avanzate, competenze certificate e processi consolidati.

All’interno di questo modello, due strutture giocano un ruolo chiave: il Security Operations Center (SOC), dedicato al monitoraggio operativo e alla risposta in tempo reale, e il Computer Emergency Response Team (CERT), focalizzato sulla prevenzione, l’analisi approfondita e la gestione strategica degli incidenti.

Quando queste due anime lavorano in modo integrato, la capacità difensiva
dell’organizzazione raggiunge un livello che nessuna delle due potrebbe garantire singolarmente.

Ecco i compiti specifici di ciascuna struttura, le loro differenze e, soprattutto, i vantaggi concreti derivanti dalla loro integrazione.

Il SOC: il presidio operativo della sicurezza

Il Security Operations Center rappresenta il nucleo operativo attorno al quale ruota la difesa informatica di un’organizzazione.

Si tratta di una struttura – fisica o virtuale – in cui un team di analisti specializzati, supportato da piattaforme tecnologiche come SIEM, EDR e strumenti di analisi comportamentale (NDR, UEBA), sorveglia ininterrottamente l’infrastruttura ICT del cliente alla ricerca di segnali di compromissione.

Il lavoro del SOC si articola lungo un processo strutturato:

  • la raccolta e correlazione degli eventi di sicurezza generati dai diversi sistemi aziendali;
  • l’identificazione delle anomalie e delle attività sospette;
  • la classificazione e il triage degli alert;
  • fino all’attivazione delle contromisure di contenimento quando viene confermato un incidente.

L’obiettivo finale è garantire la continuità del business attraverso un efficace processo di Incident Response & Recovery, che comprende il contrasto della minaccia, la mitigazione degli impatti e il supporto al ripristino dei sistemi colpiti.

Il SOC

Il SOC opera tipicamente all’interno di un modello Managed Security Service Provider (MSSP), di cui costituisce l’evoluzione naturale.

Affidare il monitoraggio e la gestione degli incidenti a un provider esterno consente alle aziende – in particolare quelle con budget e risorse limitate in ambito security – di accedere a un livello di protezione altrimenti irraggiungibile, beneficiando di competenze specialistiche, copertura h24 e scalabilità del servizio.

Tra i principali benefici di un servizio SOC in outsourcing si annoverano:

  • l’innalzamento complessivo del livello di protezione di sistemi e dati;
  • una visibilità estesa sulle minacce, incluse quelle più sofisticate e persistenti;
  • la capacità di individuare attività anomale nella rete aziendale in tempi rapidi;
  • la disponibilità di un supporto consulenziale continuo;
  • e l’ottimizzazione dell’investimento in sicurezza grazie a un modello di costo prevedibile e sostenibile.

Un aspetto di particolare rilevanza riguarda la conformità normativa. La direttiva NIS2, recepita in Italia con il D.lgs. 138/2024, impone dal primo gennaio 2026 a tutti i soggetti in perimetro – classificati come essenziali o importanti – l’obbligo di notificare gli incidenti rilevanti entro 24 ore dalla loro rilevazione.

Monitoraggio continuo

Senza un team dedicato al monitoraggio continuo, rispettare questa tempistica diventa estremamente difficile, così come risulta compromessa la capacità di intervenire tempestivamente per arginare l’incidente.

Tuttavia le capacità di un SOC trovano il loro massimo potenziale quando vengono integrate con quelle di un CERT, che aggiunge la dimensione proattiva e strategica indispensabile per affrontare uno scenario di rischio in continua evoluzione.

Il CERT: prevenzione, intelligence e risposta specializzata

Il termine CERT – Computer Emergency Response Team – identifica un team specializzato che eroga una gamma articolata di servizi: dalla gestione degli incidenti di sicurezza informatica, che ne costituisce il servizio core, al monitoraggio delle vulnerabilità, dall’analisi forense alla consapevolezza situazionale, fino alla condivisione strutturata delle conoscenze all’interno della comunità di riferimento.

I CERT si distinguono in base alla constituency, ovvero la categoria di utenti e organizzazioni che servono.

A livello nazionale, in Italia la funzione è ricoperta dall’ACN (Agenzia per la Cybersicurezza Nazionale) attraverso il proprio CSIRT Italia, che ha assorbito i preesistenti CERT Nazionale e CERT-PA.

Accanto a questi, operano:

  • i CERT regionali, focalizzati su specifiche aree geografiche e in diversi casi istituiti grazie a finanziamenti europei;
  • i CERT settoriali, dedicati a comunità su base funzionale – come il CERT-FIN nel settore finanziario;
  • e i CERT interni, che presidiano la sicurezza di singole grandi organizzazioni, come quelli di Poste Italiane, Banca d’Italia, ENEL ecc. o aziende specializzate in cyber security come Neverhack che offre tali servizi per clienti anche nel perimetro di sicurezza nazionale (PSNC).

Un elemento distintivo dei CERT è la loro partecipazione a reti di collaborazione nazionali e internazionali.

ENISA, FIRST e Trusted Introducer

Organizzazioni come ENISA (l’agenzia europea per la cybersecurity), il FIRST (Forum of Incident Response and Security Teams, la più importante community di CERT al mondo) e il Trusted Introducer (la comunità dei CERT europei) svolgono un ruolo fondamentale nel coordinamento, nella condivisione di informazioni e nella definizione di standard comuni.

È interessante ricordare che il primo CERT della storia – il CERT/CC (CERT Coordination Center) – fu istituito nel 1988 presso la Carnegie Mellon University negli Stati Uniti, e per diversi anni mantenne il copyright sulla sigla, inducendo molti enti ad adottare denominazioni alternative come CSIRT, CIRT o SIRT.

Solo da qualche anno il diritto di utilizzo della sigla CERT è stato liberalizzato.

FIRST Service Framework

Dal punto di vista organizzativo, la strutturazione di un CERT segue generalmente il modello proposto dal FIRST Service Framework: un framework non prescrittivo che definisce un linguaggio comune per la comunità globale dei CERT, suggerendo i servizi che dovrebbero far parte del team senza imporre livelli di maturità specifici né modalità di implementazione.

Questo lo rende uno strumento ideale sia per definire il catalogo dei servizi di un nuovo CERT, sia per espandere quello di un team esistente, ed è oggi utilizzato anche come base per i processi di accreditamento e certificazione (argomento oggetto di un prossimo articolo).

SOC e CERT, due anime complementari

Il SOC e il CERT nascono con finalità differenti ma profondamente convergenti.

Il primo è orientato al monitoraggio operativo continuo e al contrasto delle minacce in tempo reale; il secondo si focalizza sulla ricerca, la caratterizzazione e la gestione specializzata degli incidenti, con un approccio che spazia dall’analisi tecnica alla dimensione strategica e normativa.

Quando queste due strutture operano in sinergia, il livello complessivo di protezione dell’organizzazione cresce in modo significativo.

Threat Intelligence strategica

Uno dei contributi più preziosi del CERT al servizio SOC è la threat intelligence strategica.

Il CERT monitora costantemente l’evoluzione del panorama delle minacce, condivide informazioni attraverso reti di fiducia – altri CERT nazionali e settoriali – e produce analisi su trend emergenti e campagne di attacco in corso.

Questo flusso informativo alimenta il SOC con indicatori di compromissione (IoC) e contesto strategico che affinano le capacità di detection, consentendo di identificare con maggiore precisione le minacce reali e di ridurre sensibilmente i falsi positivi.

Gestione avanzata degli incidenti

La fase di incident response rappresenta il punto di massima sinergia tra le due strutture.

Il SOC rileva l’evento e avvia le operazioni di contenimento immediato, ma è il CERT a intervenire con competenze specialistiche di analisi forense, raccolta e conservazione delle digital evidence nel pieno rispetto della catena di custodia, e gestione degli aspetti legali connessi all’incidente.

Questa collaborazione rende possibile una gestione end-to-end dell’incidente – dalla detection al recovery – con tempi di risposta significativamente più rapidi e un impatto ridotto sull’operatività aziendale.

Coordinamento centralizzato e comunicazione

Durante una crisi, il CERT assume il ruolo di punto di coordinamento centralizzato per tutte le problematiche di sicurezza IT dell’organizzazione. Questo significa gestire la comunicazione verso la constituency interna ed esterna, coordinare le attività tra team tecnici, management e, quando necessario, le autorità competenti – per esempio il CSIRT Italia per gli obblighi previsti dalla NIS2.

Il CERT si occupa inoltre di diffondere informazioni tempestive su nuovi scenari di rischio e attacchi in corso verso la propria comunità di riferimento e, eventualmente, verso le comunità internazionali come il FIRST e il Trusted Introducer.

Prevenzione e awareness

Oltre alla componente reattiva, il CERT introduce un elemento di difesa proattiva di grande valore: la costruzione di awareness e cultura della sicurezza all’interno della constituency.

Questo avviene attraverso programmi di formazione, campagne di sensibilizzazione e simulazioni pratiche.

Tra queste ultime spiccano gli esercizi di table-top, sessioni strutturate che coinvolgono il personale aziendale a tutti i livelli e contribuiscono in modo significativo a migliorare l’efficienza nella gestione delle situazioni di crisi conseguenti a un incidente.

Compliance e accountability

In un quadro normativo sempre più esigente – NIS2, GDPR, DORA – disporre di un CERT strutturato a supporto del SOC rafforza sensibilmente la capacità dell’organizzazione di dimostrare la propria conformità normativa e di gestire in modo corretto e documentato gli obblighi di notifica degli incidenti.

La tracciabilità delle attività e la documentazione prodotta dal CERT durante ogni fase della gestione di un incidente costituiscono evidenze fondamentali in caso di audit, ispezioni o procedimenti legali, garantendo quel principio di accountability che le normative richiedono con sempre maggiore insistenza.

Le differenze a colpo d’occhio

È importante sottolineare che i servizi descritti vengono erogati da un CERT indipendentemente dalla sua appartenenza o meno a un SOC.

Tuttavia, è proprio la combinazione di queste due funzioni – una operativa e l’altra analitico-strategica – a consentire la copertura dell’intero ciclo di vita della sicurezza informatica, dalla prevenzione al ripristino, con un livello di efficacia che nessuna delle due strutture potrebbe raggiungere operando in modo isolato.

DimensioneSOCCERT
Focus primarioMonitoraggio e detection in
tempo reale		Gestione specializzata degli incidenti, escalation al management
e supporto alla notifica verso le autorità competenti
Competenze
chiave		SIEM, EDR, event
analysis, alerting		Analisi forense, threat intelligence, aspetti normativi e
organizzativi
OrientamentoOperativo e continuativo, in
modalità 24/7		Strategico e consulenziale, in modalità on demand e retainer
Output
principale		Alert, triage, contenimentoThreat hunting avanzato, coordinamento, recovery

SOC-CERT, la risposta più completa e matura alle esigenze di sicurezza

L’analisi condotta in questo articolo evidenzia come il binomio SOC-CERT rappresenti oggi la risposta più completa e matura alle esigenze di sicurezza delle organizzazioni moderne.

Il SOC garantisce il presidio operativo ininterrotto, la rapidità di rilevazione e la capacità di contenimento immediato delle minacce.

Il CERT aggiunge la profondità analitica, la visione strategica, la capacità di prevenzione e quel tessuto di relazioni con la comunità internazionale della cyber security che permette di anticipare le minacce anziché limitarsi a subirle.

In un contesto in cui tutte le norme di settore impongono tempi di notifica stringenti alle autorità competenti, a valle di analisi sempre più sfidanti della causa origine dell’incidente, l’integrazione tra SOC e CERT non è più una scelta opzionale ma una necessità strategica.

Le aziende che investono in questo modello integrato si dotano non solo di una difesa più robusta contro le minacce informatiche, ma anche degli strumenti per dimostrare conformità, garantire accountability e, in ultima analisi, preservare la fiducia di clienti, partner e stakeholder.

La strada da percorrere è chiara: costruire ecosistemi di sicurezza in cui la componente operativa e quella strategica si alimentano reciprocamente, creando un circolo virtuoso di prevenzione, rilevazione, risposta e miglioramento continuo che rappresenta il vero fondamento della resilienza cyber.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

D
Giancarlo Di Lieto
Head of Cyber Security Neverhack Southern Region e NH CERT Director
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

SPAZIO CISO

Vedi tutti gli approfondimenti >

Articoli correlati

  • NIS2 Enisa sicurezza supply chain; Il valore umano del TPRM: quando la fiducia nella supply chain è messa alla prova; Vendor risk management: i 3 pilastri di un TPRM efficace e dinamico; Vendor assessment nell’era del TPRM continuo: perché il questionario non basta più

  • supply chain

    Vendor Risk Management: come rendere misurabile il rischio dei fornitori

    15 Gen 2026

    di Jim Biniyaz

    Condividi
  • Direttiva NIS2 nel settore alimentare: implicazioni per la cyber security

  • guida alla normativa

    Direttiva NIS2 nel settore alimentare: implicazioni per la cyber security

    16 Feb 2026

    di Margherita Masseroni

    Condividi
  • Infostealer cosa sono come difendersi; Il primo report Acn sugli infostealer: il vettore fantasma dei cyber attacchi

  • un caso studio reale

    Infostealer, il report Acn: ecco le raccomandazioni contro il vettore fantasma dei cyber attacchi

    11 Feb 2026

    di Mirella Castigli

    Condividi
  • Privacy Meta cosa cambia

  • dati personali

    Privacy Meta, aggiornamento su informazioni ricevute da terzi: cosa cambia dal 16 giugno

    09 Giu 2025

    di Mirella Castigli

    Condividi
0
Lascia un commento, la tua opinione conta.x