Cybersecurity e normative: i numeri del 2024 e le azioni da intraprendere per NIS2 

L’Osservatorio del POLIMI su Cybersecurity & Data Protection e la ricerca di SIRMI-Mercato Enterprise 2024 concordano su due dati: aumentano gli attacchi hacker e, di conseguenza, aumenta l’investimento da parte delle aziende in cybersecurity. Il primo dato ha portato l’UE ad intraprendere azioni in modo tale di adeguare gli standard di sicurezza informatica e di lotta al cybercrime (NIS2, DORA e l’imminente Cyber Resiliance Act), in un contesto che vede le aziende sempre più connesse, in continua mobilità, e quindi sempre più esposte a rischi di natura digitale. L’adozione progressiva dell’AI introduce nuovi rischi cyber a quelli già esistenti e non ancora risolti come il fattore umano e i rischi legati ai fornitori. Non solo questo significa interruzioni forzate dell’attività ma anche il rischio di mettere a repentaglio la propria reputazione con i clienti. Sono gli stessi hacker ad usare l’AI per attacchi più sofisticati e più vincenti (malware AI-enhanced, social engineering, etc.). 

Gli attacchi verso la singola azienda si possono propagare e compromettere la sicurezza di intere filiere sino a configurarsi come rischio a livello di sistema Paese, in particolare se parliamo di settori indispensabili e a rischio in quanto tali quali quelli della Sanità, dei Trasporti, Finanziari, Ministeri, etc. Ma non solo. 

 È proprio per questa ragione che NIS2, la nuova direttiva europea sulla cybersecurity, non ha solo ampliato la platea di organizzazioni soggette a NIS (oltre alle cosiddette INDISPENSABILI, anche le IMPORTANTI) ma ha anche coinvolto i fornitori delle stesse.   

Quali sono le previsioni di POLIMI e di SIRMI? Per SIRMI, la previsione è quella di una crescita YoY di circa il 10% della spesa in cybersecurity da parte del Mercato Enterprise da qui al 2027. Per il Politecnico di Milano (POLIMI), l’Osservatorio Cybersecurity & Data Protection 2024 (pubblicato a febbraio di quest’anno) i dati dicono che: 

• nel 2024, il 73% delle aziende italiane ha subito almeno un attacco hacker 
• gli incidenti cyber sono aumentati del 27% rispetto al 2023 
• se guardiamo i dati worldwide, un terzo degli attacchi totali ha interessato l’Europa e il 10% l’Italia 
• la buona notizia è che se gli attacchi aumentano, il numero degli attacchi critical o high non aumenta, grazie anche alla maggiore attenzione delle aziende e agli investimenti in cybersecurity 
• il mercato italiano nel 2024 cresce del 15% raggiungendo un valore assoluto di 2,48 miliardi di euro (+51% per il mercato Enterprise) 

Scopri tutte le tappe per adeguare la tua organizzazione

NIS2 è arrivata ormai alla tappa di aprile 2025 (per approfondimenti sulle tappe precedenti: NIS2: tutte le prossime scadenze da rispettare). L’Agenzia per la Cybersicurezza Nazionale (ACN), una volta terminato il lavoro di verifica dell’elenco delle aziende che si sono iscritte sul proprio sito, fornirà l’elenco definitivo delle organizzazioni soggette a NIS2, le quali dovranno:

• entro il 15 aprile, accedere ai dati che riguardano la propria allocazione, verificando se le organizzazioni sono soggette o meno alla normativa NIS2  



• entro il 31 maggio e a partire dal 15 aprile, aggiornare le informazioni su IP pubblici, nomi di dominio, stati membri di distribuzione e responsabili della sicurezza. 
• notificare ad ACN, a partire dal 1° gennaio 2026, gli eventuali incidenti cyber subiti 
• dimostrare di avere implementato, entro il 1° ottobre 2026, le azioni necessarie previste da NIS2 (tra i principali requisiti previsti citiamo la governance per cybersecurity da parte degli organi di amministrazione, l’adozione di misure di sicurezza avanzate e la gestione centralizzata di una banca dati per la registrazione dei nomi di dominio). 

Sempre secondo il POLIMI, ad oggi, solo il 62% delle aziende ha avviato il processo di adeguamento. 

Accanto a NIS2, un altro importante regolamento europeo è la normativa DORA (Digital Operational Resilience Act), entrata in vigore il 17 gennaio 2025. Questa legge si concentra principalmente sul settore finanziario e bancario, con l'obiettivo di rafforzare la resilienza operativa digitale delle istituzioni finanziarie, garantendo la protezione dei dati e la continuità dei servizi anche in caso di attacchi cibernetici o disastri informatici. 

Infine, il Cyber Resilience Act, che ha visto la sua entrata in vigore il 10 dicembre 2024, introduce obblighi specifici per i produttori di tecnologie IT. Questi ultimi saranno tenuti a integrare i principi di sicurezza fin dalle prime fasi di progettazione e sviluppo dei propri prodotti, al fine di ridurre il rischio di vulnerabilità. Sebbene la normativa sia già in vigore, gli obblighi più stringenti entreranno in applicazione solo a partire dall'11 dicembre 2027.

NIS2, DORA e l’imminente Cyber Resilience Act pongono alle aziende sfide sempre più complesse al fine di proteggere le proprie infrastrutture digitali.  La direttiva NIS2, in particolare, ampliando gli obblighi di sicurezza informatica per le aziende in tutta Europa e imponendo misure di protezione più restrittive, introduce nuove complessità che possono risultare difficili da gestire internamente. Diventa così necessario, per le aziende coinvolte nell’adeguamento alla nuova NIS, trovare un partner che non solo si occupi delle soluzioni di cybersecurity ma che abbia anche la capacità di fornire una consulenza adeguata per aiutare le aziende ad affrontare i vari step che le coinvolgeranno fino al 2026. 

La proposta commerciale di TIM Enterprise include tecnologie avanzate, come reti ad alta capacità, soluzioni cloud e tutti i servizi professionali e l’esperienza garantiti da Telsy, la brand company del Gruppo TIM specializzata in cybersecurity per TIM Enterprise. 
Grazie a queste risorse, TIM Enterprise garantisce alle aziende le protezioni necessarie per essere sempre conformi alle nuove direttive, riducendo i rischi e ottimizzando le risorse disponibili. 

Qual è la postura cyber del tuo business? Scoprilo con il nostro self-assessment online.