Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

L’approfondimento

La corretta gestione degli incidenti cyber: tra adempimenti pratici e approccio multi-compliance

Home Norme e adeguamenti
Indirizzo copiato

Gli incidenti informatici sempre più frequenti e con impatti sempre più importanti rappresentano un fenomeno preoccupante. Ecco come eseguire la corretta gestione degli incidenti cyber

Pubblicato il 2 ott 2025
Anna Cataleta

Senior Partner P4I – Partners4Innovation

Michele Onorato

Partner presso Partners4innovation | IT & Security Governance

La corretta gestione degli incidenti cyber: tra adempimenti pratici e approccio multi-compliance
tassonomia incidenti informatici

Nel panorama internazionale e soprattutto in quello nazionale si ha evidenza di incidenti informatici sempre più frequenti con impatti sempre più importanti.

In alcuni casi le aziende colpite non hanno potuto erogare i propri servizi per diversi giorni, subendo danni economici, di immagine e di compliance alle normative.

Lo stato italiano sta sensibilizzando le aziende ai temi di sicurezza informatica in quanto i rischi cyber impattano sempre di più l’ecosistema “Paese”.

Si tratta di un fenomeno sempre più preoccupante.

Clusit Security Summit, perché l’Italia è meta ambita dal cyber crime

Incidenti cyber in aumento

Gli ultimi dati del Rapporto Clusit 2025 non sono affatto incoraggianti, poiché mostrano come gli attacchi cyber non accennino a diminuire.

Il rapporto illustra come dal punto di vista quantitativo, negli ultimi 5 anni il numero degli incidenti rilevati sia cresciuto sensibilmente, mostrando una tendenza inequivocabile, tanto che la media mensile a livello globale è passata dai 156 del 2020 ai 295 del 2024.

Fin dal 2022, inoltre, il Clusit evidenziava una verità allarmante: “l’Italia è nel mirino”, situazione poi confermata anche nel 2023, e con l’osservazione dei dati del 2024 si può concludere che il nostro Paese rappresenta ormai un bersaglio preferenziale per i cyber criminali.

In particolare, il report Clusit evidenzia i seguenti dati:

  • dal 2023 al 2024 si registra una crescita del 27% degli incidenti nel mondo;
  • dal 2023 al 2024 si registra un aumento del 15% degli incidenti in Italia;
  • il cybercrime si conferma ancora una volta la motivazione principale degli incidenti, con una crescita che non accenna a diminuire. Infatti, 9 su 10 degli incidenti cyber nel mondo sono di matrice criminale;
  • inoltre, 2 su 3 incidenti avvengono nel continente americano ed europeo;
  • nel 2024, i cyber criminali continuano a puntare su tecniche consolidate e industrializzabili: i malware sono infatti responsabili di oltre un terzo degli incidenti: un incidente su tre è basato su malware.

A ciò si aggiunge anche una crescita di tipo qualitativo degli incidenti, poiché il report evidenzia un aumento della gravità (severity) degli stessi.

Le azioni del legislatore italiano ed europeo

In particolare, è stata emanata la Legge 90/2024 (recante Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici) ed è stata, inoltre, recepita la Direttiva NIS2 (Direttiva 2022/2555) mediante D.lgs. 138/2024.

Ciò comporta per le aziende uno sforzo ad adeguarsi ad una serie di requisiti di sicurezza con un focus anche sugli incidenti informatici.

Inoltre, si deve tenere conto anche di ulteriori normative emanate dal legislatore europeo, specialmente nel corso degli ultimi anni.

Requisiti di sicurezza, focus sugli incidenti informatici

Tra esse si ricordano:

  • specifici requisiti di cybersicurezza per i prodotti con elementi digitali e mira a
  • il Cybersecurity Act (Regolamento UE 2019/881), in vigore dal 27 giugno 2019 ed applicabile dal 21 giugno 2021, volto a creare un quadro europeo per la certificazione della sicurezza informatica di prodotti ICT e servizi digitali e a rafforzare il ruolo dell’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (Enisa);
  • la Direttiva CER (Direttiva UE 2022/2557) sulla resilienza dei soggetti critici, la quale definisce un quadro a livello UE per rafforzare la resilienza dei soggetti critici (i quali saranno individuati dagli Stati membri entro il 17 luglio 2026) nel mercato interno a fronte di una serie di minacce (es. attacchi terroristici, emergenze sanitarie, rischi naturali). La Direttiva CER è in vigore dal 17 gennaio 2023 ed è applicabile dal 18 ottobre 2024. Per quanto riguarda la correlazione tra NIS2 e CER, va ricordato che l’art. 2 par. 2 della Direttiva NIS2 specifica che la stessa si applica, indipendentemente dalle dimensioni dell’impresa, anche ai soggetti identificati come critici ai sensi della Direttiva CER. La Direttiva CER è stata recepita, a livello nazionale, con il D.lgs. 134/2024;
  • il Regolamento DORA (Regolamento UE 2022/2554) relativo alla resilienza operativa digitale per il settore finanziario, il quale è entrato in vigore il 17 gennaio 2023 ed è pienamente applicabile dal 17 gennaio 2025. Tale Regolamento nasce dall’esigenza di implementare in modo efficace sistemi di gestione dei rischi, con particolare focus sulle tecnologie dell’informazione e della comunicazione, introducendo obblighi di governance e di sicurezza cui le diverse entità finanziarie vanno incontro. ​Rispetto alla Direttiva NIS2, il Regolamento DORA costituisce un atto giuridico settoriale e, dunque, lex specialis;
  • il Regolamento Ue Cyber Resilience Act (Regolamento 2024/2847) il quale stabilisce salvaguardare i consumatori e le imprese che li acquistano e il Regolamento Ue Cyber Solidarity Act (Regolamento 2025/38) relativo alla creazione di misure per migliorare la preparazione, l’individuazione e la risposta alle minacce e agli incidenti di cybersicurezza in tutta l’Ue;
  • a livello nazionale, il Decreto-Legge 21 settembre 2019 n. 105, convertito con
  • modificazioni dalla L. 18 novembre 2019 n. 133 recante “Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica”. Il Perimetro di sicurezza nazionale cibernetica (PSNC) rappresenta il più importante sforzo del legislatore italiano per creare un ecosistema di governance e di responsabilità comune nel settore della cybersecurity. A partire dal 2020, il PSNC è stato attuato tramite quattro decreti del Presidente del Consiglio dei Ministri e un Decreto del Presidente della Repubblica. In generale, l’obiettivo del PSNC è quello di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori nazionali, pubblici e privati, da cui dipende: l’esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, o utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale.

Gestione degli incidenti cyber

Gestire un incidente informatico prevede una serie di passi specifici che riguardano non solo la gestione dello stesso, ma anche gli aspetti propedeutici che permettano di velocizzare il rilevamento ed il contenimento.

È necessario quindi conoscere profondamente l’azienda sia dal punto di vista business che dal punto di vista tecnologico per permettere una corretta interazione tra questi due aspetti.

I temi che andrebbero affrontati come primi elementi fondamentali sono:

  • sensibilizzare il management rispetto a quanto espresso dalla direttiva;
  • conoscenza dei processi di business ed impatto sull’azienda in caso di interruzione;
  • mappatura deli asset rispetto ai processi di business ed i relativi flussi informatici;
  • effettuare una valutazione dei rischi e comprendere in che misura si è disposti ad accettarli;
  • progettare, implementare e monitorare una serie di misure di sicurezza che mi permettano di avere una base solida in termini di prevenzione e di gestione;
  • educare il personale nell’utilizzo degli strumenti informatici in modo corretto e nella gestione delle informazioni personali e aziendali;
  • monitorare la propria infrastruttura ed analizzare tempestivamente gli eventi anomali.

I passaggi per la gestione di incidenti cyber

Ecco i principali step per gestire un incidente di sicurezza informatica:

  • preparazione;
  • identificazione;
  • contenimento;
  • eradicazione;
  • ripristino;
  • lezione appresa (Post-Incident Review);
  • comunicazione.

Preparazione

Monitorare costantemente permette di accorgersi velocemente di eventuali comportamenti anomali ed essere più tempestivi nella risposta.

Ecco le fasi della preparazione:

  • realizzazione di un’organizzazione di sicurezza;
  • definire ruoli e responsabilità chiari permetterà di gestire in modo più tempestivo gli incidenti.
  • definizione di un piano di risposta agli incidenti;
  • fare una classificazione puntuale degli incidenti in modo che sia dia la priorità corretta nella gestione in base all’impatto che gli incidenti possono avere;
  • formazione del personale e simulazioni periodiche;
  • formare il personale permette di comprendere il processo ed attraverso le simulazioni;
  • effettuare anche un miglioramento del processo e del piano di risposta agli incidenti;
  • implementazione di tool di monitoraggio e logging.

Identificazione

  • Rilevamento di anomalie o segnali di compromissione (tramite sistemi SIEM, eccetera) in real time e 24 ore su 24. La velocità con cui ci si accorge di un possibile incidente è un elemento fondamentale per ridurre gli impatti e gestire in modo tempestivo l’intero incidente.
  • Usare strumenti di intelligenza artificiale che permettano di analizzare mole di dati importanti. Utilizzare strumenti che permettano di analizzare preliminarmente mole di dati importanti aiuta gli operatori a concentrarsi sugli eventi rilevanti.
  • Analisi preliminare per confermare la natura dell’incidente. Si collega al punto precedente ed una analisi corretta aiuta ad indirizzare correttamente l’applicazione delle contromisure e la risoluzione dell’incidente:

Contenimento

  • Isolamento dei sistemi compromessi per evitare la diffusione. Ridurre il più possibile il perimetro significa ridurre l’impatto dell’incidente e dei relativi danni possibili.
  • Applicazione di misure temporanee. È importante la tempestiva e quindi applicare contromisure veloci per contenere l’incidente. La risoluzione definitiva può essere applicata in un secondo momento.

Eradicazione

  • Analisi approfondita per individuare la causa principale. Determinante per migliorare la propria postura di sicurezza ed evitare che lo stesso incidente possa accadere nuovamente.
  • Rimozione di malware, account non autorizzati o strumenti dell’attaccante. Sono attività necessarie e alcune andrebbero effettuate periodicamente onde evitare che l’attaccante possa utilizzare falle di sicurezza (per esempio, gli account orfani).

Ripristino

  • Ripristino delle funzionalità dei sistemi compromessi (da backup sicuri e aggiornati). Nel caso in cui l’incidente sia più grave del previsto è necessario avere un piano affidabile di ripristino dei sistemi in modo che si possa riprendere ad erogare i servizi strategici nel più breve tempo possibile.
  • Monitoraggio continuo per verificare l’assenza di ulteriori compromissioni. Deve essere continuo e soprattutto nel momento di un incidente in quanto permette di vedere e studiare i possibili movimenti dell’attaccante.

Lezione appresa (Post-Incident Review)

  • Analisi dettagliata dell’accaduto. Un’analisi puntuale permette di comprendere la causa dell’incidente e tutti i movimenti che l’attaccante ha compiuto.
  • Aggiornamento delle policy, dei controlli e della formazione sulla base delle vulnerabilità emerse. Questo per evitare che l’incidente possa accadere nuovamente e per migliorare la propria postura di sicurezza anche in base al cambiamento delle tecniche degli attaccanti.

Comunicazione

  • Notifica agli stakeholder interni ed esterni (se richiesto da normativa). Deve esser realizzato un piano di comunicazione che permetta di fare comprendere sia internamente e sia esternamente che l’incidente è noto ed è gestito senza creare situazioni di panico. Inoltre, ciò garantisce anche la gestione di eventuali sanzioni previste da normative/direttive quali la NIS2.
  • Documentazione dettagliata dell’incidente e delle azioni intraprese. Permette di avere evidenza di tutto ciò che è stato eseguito e quali sono state le misure di sicurezza aggiuntive definite ed implementate.

Il ruolo di un approccio multi-compliance nella gestione degli incidenti cyber

Sicuramente, il tema della corretta gestione degli incidenti informatici è particolarmente sentito, soprattutto allo stato attuale, in un periodo storico in cui l’Europa (e soprattutto l’Italia) sono bersagliate dai cyber criminali.

Per questo motivo è fondamentale, per garantire una gestione efficace degli incidenti cyber, non solo seguire tutti gli step sintetizzati nel presente articolo, ma anche avere chiari i diversi profili di responsabilità e adottare un approccio multi-compliance (soprattutto alla luce delle svariate normative in ambito cyber che si son susseguite negli ultimi anni).

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Anna Cataleta
Senior Partner P4I – Partners4Innovation
O
Michele Onorato
Partner presso Partners4innovation | IT & Security Governance

Leggi anche:

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • GDPR AI assicurazioni

  • la riflessione

    GDPR e intelligenza artificiale: ecco una “bussola” per il mondo assicurativo

    07 Mar 2025

    di Stefano Petrussi

    Condividi
  • Collaborazione tra team security

  • la soluzione

    Come rafforzare la sicurezza in azienda grazie a una maggiore collaborazione tra team

    23 Dic 2024

    di Mario Manfredoni

    Condividi
  • Il paradosso dell'articolo 17 della Nis 2: quando il "volontario" diventa obbligatorio

  • guida alla normativa

    Prossime scadenze NIS2: quali sfide dovranno affrontare le organizzazioni

    03 Mar 2025

    di Federica Maria Rita Livelli

    Condividi
  • Metadati email e log di navigazione sanzione Regione Lombardia

  • VIOLAZIONI GDPR

    Sanzione privacy a Regione Lombardia, per controllo illecito di email e internet

    30 Mag 2025

    di Chiara Ponti

    Condividi