Articoli | Consulenza direzionale

Mag, 2026

NIS 2 e ACN: come strutturare il Risk Assessment con il Framework Nazionale per la Cybersecurity

L’entrata in vigore della Direttiva NIS 2 (recepita in Italia a fine 2024) ha segnato un punto di non ritorno per la sicurezza informatica a livello europeo e nazionale. In un contesto geopolitico instabile e con un panorama di minacce cibernetiche (come ransomware e attacchi alla supply chain) in continua e rapida evoluzione, la cybersecurity cessa definitivamente di essere un “mero problema IT”. Diventa, a tutti gli effetti, un pilastro imprescindibile della governance aziendale e della continuità operativa.

Con l’ampliamento senza precedenti della platea dei soggetti obbligati — ora suddivisi capillarmente in Soggetti Essenziali (es. energia, trasporti, banche, sanità) e Soggetti Importanti (es. manifattura, produzione alimentare, …) — e l’introduzione di sanzioni economiche severissime, la direttiva introduce un cambio di paradigma: la responsabilità diretta del Top Management (Organi Direttivi dell’organizzazione).

In Italia, l’ACN (Agenzia per la Cybersicurezza Nazionale) è l’autorità competente designata per dettare le linee guida, stabilire le misure di sicurezza e, non da ultimo, condurre le attività ispettive. Per i “Soggetti Importanti”, l’ACN richiede un approccio rigoroso, documentato e basato sulla gestione proattiva del rischio (Risk Management), come del resto avviene in altre normative (ISO 9001, ISO 27001, …). Ma come tradurre questi stringenti requisiti normativi in azioni pratiche, misurabili e difendibili in sede di audit?

Crea PDF

Stampa

Apr, 2026

Il nuovo modello di categorizzazione per i soggetti NIS: adempimenti, criteri e tempistiche

L’attuazione del decreto legislativo 4 settembre 2024, n. 138, che recepisce la direttiva (UE) 2022/2555 (nota come NIS 2), richiede ai soggetti essenziali e importanti l’adempimento di obblighi specifici definiti dall’Agenzia per la cybersicurezza nazionale (ACN). I riferimenti normativi principali per questo processo sono costituiti dalla determinazione del 9 aprile 2026, recante il modello di categorizzazione delle attività e dei servizi, e dalle relative linee guida pubblicate dall’Agenzia nello stesso mese. Tali documenti stabiliscono i criteri per l’elencazione e la caratterizzazione dei servizi, definendo una struttura che guiderà l’adozione delle misure di sicurezza nel lungo termine.

Il contesto e l’obbligo annuale di comunicazione

Ai sensi dell’articolo 30 del decreto NIS, i soggetti definiti come essenziali e importanti sono tenuti a comunicare e aggiornare annualmente l’elenco delle proprie attività e dei propri servizi. Tale comunicazione deve avvenire attraverso la piattaforma digitale messa a disposizione da ACN. La finestra temporale stabilita per questo adempimento è compresa tra il 1 maggio e il 30 giugno di ogni anno solare.

L’obiettivo di questa ricognizione è mappare i processi dell’organizzazione che dipendono da sistemi informativi e di rete, associandoli a una categoria di rilevanza che esprima l’impatto di una loro possibile compromissione sulla capacità dell’ente di erogare i propri servizi critici.

Crea PDF

Stampa

Apr, 2026

I criteri di conservazione dei log di sicurezza

Questo articolo definisce i criteri di logging in conformità agli standard internazionali (iso/iec 27001:2022, nist), e alle normative vigenti (gdpr, Provvedimenti Garante Privacy italiano) mettendo in luce alcune contraddizioni fra i recenti provvedimenti sanzionatori del GPDP relativi ad una ipotizzata eccessiva conservazione dei log in quanto lesivi dei diritti e delle libertà del personale dipendente e non, soprattutto attraverso la lettura dell’Articolo 4 dello Statuto dei Lavoratori che vieta il monitoraggio dell’attività lavorativa in determinati contesti.

Come si vedrà nel seguito, gli standard e le best practice di sicurezza informatica consigliano la conservazione dei log per 6-12 mesi, mentre il nostro GPDP non ammette conservazione dei log oltre i 30 giorni, salvo non stipulare apposito accordo sindacale (cosa non sempre fattibile e comunque onerosa per l’azienda).

Crea PDF

Stampa

Dic, 2025

La Validazione del Progetto nei Contratti Pubblici: profili di garanzia tecnica e certezza giuridica nel quadro del Regolamento RT-07

L’attuale paradigma del settore delle opere pubbliche in Italia è oggetto di una riconfigurazione strutturale, orientata al superamento di un approccio meramente procedurale in favore del cosiddetto “principio del risultato”, sancito dall’art. 1 del D.Lgs. 36/2023. Tale principio, unitamente al “principio della fiducia” verso l’operato dei funzionari e dei professionisti, impone che ogni fase della filiera realizzativa sia finalizzata alla tempestiva e corretta esecuzione dell’opera. In tale alveo normativo, il processo di verifica e validazione dei progetti assume una funzione di presidio strategico fondamentale, configurandosi come il momento di sintesi tra la creatività progettuale e il rigore normativo-economico richiesto dall’Amministrazione.

L’entrata in vigore del nuovo Codice dei Contratti Pubblici, congiuntamente all’aggiornamento del regolamento tecnico Accredia RT-07 (Revisione 04 del 18 febbraio 2025), ha consolidato tale iter non più come un onere burocratico sussidiario, bensì come un filtro tecnico-giuridico essenziale per la mitigazione di varianti suppletive, l’abbattimento del contenzioso e la prevenzione di criticità esecutive che storicamente hanno afflitto il patrimonio infrastrutturale nazionale.

Crea PDF

Stampa

Ott, 2025

Legge 23 settembre 2025 n. 132 sulla Intelligenza Artificiale; confronto con AI Act e GDPR

La Legge 23 settembre 2025 n. 132 5 (“Disposizioni e deleghe al Governo in materia di intelligenza artificiale”) rappresenta il primo intervento organico dell’Italia in materia di regolazione e promozione dell’intelligenza artificiale, in armonia con il Regolamento (UE) 2024/1689 (il cosiddetto AI Act europeo).

La legge non sostituisce il regolamento europeo, ma lo integra, stabilendo principi nazionali, indirizzi strategici, ambiti di applicazione e deleghe legislative al Governo.

In quest’articolo presentiamo un commento ragionato che colleghi la Legge italiana Legge 23 settembre 2025 n. 132 in materia di intelligenza artificiale con il Regolamento (UE) 2024/1689 (AI Act) e con il Regolamento (UE) 2016/679 (GDPR), mettendo in luce i fondamenti sistematici, le innovazioni normative e le scelte politiche sottese al testo italiano.

Crea PDF

Stampa

Ott, 2025

I controlli ISO 27002: 8.5 Autenticazione sicura

n questo articolo proseguiamo l’esame dei controlli di sicurezza linee guida ISO/IEC 27002:2022, Information security controls (UNI CEI EN ISO/IEC 27002:2023 – Controlli di sicurezza) trattando il Controllo8.5 Autenticazione sicura.

L’Autenticazione Sicura come prima linea di difesa.

La porta d’ingresso dei vostri dati: quanto è robusta?

Immaginate la sicurezza delle informazioni come un edificio. Potete avere i muri più spessi, le finestre blindate e i sistemi di allarme più sofisticati, ma se la porta d’ingresso ha una serratura debole, tutto il resto diventa inutile. L’autenticazione è esattamente questa porta d’ingresso: il primo controllo che determina chi può accedere ai vostri sistemi e alle vostre informazioni.

Crea PDF

Stampa

Lug, 2025

I controlli ISO 27002: Backup delle informazioni (8.13)

In questo articolo proseguiamo l’esame dei controlli di sicurezza linee guida ISO/IEC 27002:2022, Information security controls (UNI CEI EN ISO/IEC 27002:2023 – Controlli di sicurezza) trattando il Controllo 8.13 -Backup delle informazioni.

La linea guida del controllo 8.13 “Backup delle informazioni” della ISO/IEC 27002 non impone una metodologia specifica di backup, ma fornisce criteri e suggerimenti chiave per scegliere o progettare la strategia più adatta. Ecco un riassunto dei suggerimenti principali

Crea PDF

Stampa

Lug, 2025

Linee Guida ENISA sull’applicazione della NIS 2

L’ENISA (Agenzia dell’Unione Europea per la Cibersicurezza) ha pubblicato (quasi contemporaneamente alla CYBERSECURITY ROLES AND SKILLS FOR NIS2 ESSENTIAL AND IMPORTANT ENTITIES) una guida tecnica per l’implementazione delle misure di gestione del rischio di cibersicurezza (https://www.enisa.europa.eu/publications/nis2-technical-implementation-guidance) in riferimento al Regolamento di Esecuzione (UE) 2024/2690 della Commissione del 17 ottobre 2024, che stabilisce i requisiti tecnici e metodologici previsti dall’Articolo 21(2) della Direttiva NIS2 (Direttiva (UE) 2022/2555).

Crea PDF

Stampa

Mag, 2025

Icontrolli ISO 27002: Threat Intelligence (5.7)

Limitarsi a reagire alle minacce informatiche non è sufficiente: è fondamentale prevenirle prima che si verifichino. Raccogliere e analizzare informazioni sulle minacce consente alle organizzazioni di comprendere meglio quali contromisure adottare per proteggersi da rischi concreti e rilevanti.

Crea PDF

Stampa

Mag, 2025

I controlli ISO 27002: Separazione dei compiti (5.3)

Iniziamo con questo articolo una disamina dei controlli delle linee guida ISO/IEC 27002:2022, Information security controls (UNI CEI EN ISO/IEC 27002:2023 – Controlli di sicurezza) trattando il controllo 5.3: Separazione dei compiti (I compiti e le aree di responsabilità in conflitto devono essere separati.).

Crea PDF

Stampa