ACN

L’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato le linee guida per rafforzare la resilienza in conformità alla legge n. 90 del 28 giugno 2024. Le linee guida, divise in due sezioni, definiscono le misure di sicurezza necessarie e le modalità consigliate per implementarle.

La prima parte individua le misure di sicurezza che i soggetti adottano per il rafforzamento della resilienza, la seconda supporta e indirizza i soggetti nell’implementazione delle misure, descrivendone le modalità di implementazione raccomandate.

Inoltre, tutti i soggetti previsti dalla legge sono tenuti a comunicare all’Agenzia la nomina del Referente per la cybersicurezza.

La comunicazione ad ACN deve avvenire tramite PEC all’indirizzo ufficiale dell’Agenzia (acn@pec.acn.gov.it). La comunicazione include la nomina firmata digitalmente e il modulo specifico compilato dal referente.

Il Referente per la Cybersicurezza avrà un ruolo cruciale nel coordinamento delle misure di sicurezza e nella gestione delle comunicazioni con l’ACN, contribuendo così al rafforzamento della protezione nazionale contro le minacce informatiche.

Scarica le linee guida – PDF

https://www.acn.gov.it/portale/en/linee-guida-rafforzamento-resilienza

L'articolo ACN: linee guida per resilienza e nomina del referente per la cybersicurezza proviene da Rivista Cybersecurity Trends.

L’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato le “Linee guida per il rafforzamento della protezione delle banche dati rispetto al rischio di utilizzo improprio”, un documento di riferimento per contrastare il rischio di accessi abusivi e migliorare la sicurezza cibernetica in Italia.

Le Linee Guida affrontano le minacce di accessi non autorizzati da parte di insider e attacchi esterni, proponendo misure pratiche e normative. Vengono approfonditi aspetti cruciali come la gestione dei rischi connessi alla supply chain, al controllo degli accessi privilegiati, alla formazione del personale amministrativo e alle attività di monitoraggio e auditing interno.

Questo documento si integra nel contesto della Strategia nazionale di sicurezza cibernetica, orientata a rafforzare la resilienza digitale di enti pubblici e privati inclusi nel Perimetro di sicurezza nazionale cibernetica, in conformità con il decreto-legge 105/2019. ACN, attraverso funzioni di vigilanza e supporto, guida l’adozione delle migliori pratiche per la protezione delle infrastrutture digitali.

Contestualmente, si è insediato il Tavolo NIS, istituito per l’attuazione della normativa europea sulla sicurezza delle reti e dei sistemi informativi. Sotto la guida del Direttore Generale Bruno Frattasi, il tavolo ha approvato strumenti operativi come una nuova piattaforma di censimento dei soggetti pubblici e privati regolati dalla disciplina NIS. Questa piattaforma sarà ufficialmente presentata il 27 novembre durante un evento all’Università La Sapienza di Roma, con la partecipazione del Sottosegretario Alfredo Mantovano, Autorità delegata alla sicurezza della Repubblica.

Questi interventi di ACN segnano un ulteriore progresso verso il consolidamento della sicurezza cibernetica del Paese, rafforzando la capacità dell’Italia di prevenire e mitigare rischi legati alla protezione dei dati e alle infrastrutture cibernetiche.

Linee guida per il rafforzamento della protezione delle banche dati rispetto al rischio di utilizzo improprio”

https://www.acn.gov.it/portale/en/w/online-le-linee-guida-per-il-rafforzamento-della-protezione-delle-banche-dati-rispetto-al-rischio-di-utilizzo-improprio-

L'articolo ACN rilascia le linee guida per proteggere le banche dati proviene da Rivista Cybersecurity Trends.

L’Agenzia per la cybersicurezza nazionale (ACN), congiuntamente con le agenzie omologhe e i partner europei, ha pubblicato un importante documento che analizza la transizione verso la crittografia post-quantum. Redatto su iniziativa del BSI tedesco, il report esamina le principali vulnerabilità e le possibili precauzioni da adottare per contrastare la minaccia quantistica.

Il documento richiama la necessità di una cooperazione sulla crittografia post quantum, con tutti gli Stati Membri invitati a contribuire attivamente alle iniziative in corso nel Gruppo di Cooperazione NIS, al quale l’ACN partecipa in rappresentanza dell’Italia. Lo scopo è definire una tabella di marcia condivisa per l’adozione di algoritmi crittografici resistenti agli attacchi tramite computer quantistici.

Con un documento informativo pubblicato nel luglio 2024, l’ACN aveva già evidenziato l’urgenza di avviare questo processo di transizione e la necessità di una cooperazione internazionale. Il quantum computing, infatti, promette di rivoluzionare il calcolo eseguendo operazioni impensabili per i computer tradizionali, ma rappresenta anche una seria minaccia per la sicurezza dei sistemi crittografici attualmente in uso. Sono stati teorizzati algoritmi che potrebbero consentire a computer quantistici con sufficiente potenza di compromettere la sicurezza di alcuni dei sistemi crittografici più utilizzati.

Tra i settori maggiormente esposti si annoverano i servizi bancari, i dispositivi smart e le app di messaggistica. Preoccupano in particolare gli attacchi “store now, decrypt later”, nei quali un avversario memorizza i dati crittografati nel presente per decrittografarli in futuro, quando sarà disponibile un computer quantistico sufficientemente potente.

Per affrontare questa minaccia imminente, la comunità internazionale concorda sulla necessità di identificare i sistemi vulnerabili e di migrare verso algoritmi post-quantum, progettati per resistere agli attacchi eventualmente perpetrati utilizzando computer quantistici.

Leggi il documento che descrive e analizza gli scenari della transizione alla crittografia post quantistica

https://www.acn.gov.it/portale/en/w/europa-unita-nell-urgenza-della-transizione-alla-crittografia-post-quantum

L'articolo ACN: Europa unita nella transizione alla crittografia post-quantum proviene da Rivista Cybersecurity Trends.

Un passo decisivo verso la protezione digitale delle Olimpiadi Invernali del 2026: l’8 gennaio 2025, presso la sede dell’Agenzia Nazionale per la Sicurezza Cibernetica (ACN), è stato firmato un Memorandum of Understanding tra l’ACN e la Fondazione Milano Cortina 2026.

L’accordo rappresenta una risposta concreta alle crescenti minacce digitali che possono compromettere eventi globali di questa portata. Con un focus sulla prevenzione e la gestione delle crisi, l’intesa garantirà che le infrastrutture tecnologiche delle Olimpiadi invernali del 2026 siano protette da possibili attacchi informatici.

Protagonisti della firma sono stati il Direttore Generale dell’ACN, Bruno Frattasi, e il Presidente del CONI e della Fondazione, Giovanni Malagò, con la presenza del Vice Direttore Generale dell’ACN, Nunzia Ciardi.

“Lavoreremo insieme per fornire la massima sicurezza informatica possibile”, ha dichiarato il Direttore Frattasi. Collaboreremo strettamente per monitorare e analizzare le minacce, scambiare informazioni critiche e supportare la gestione delle crisi, garantendo così la sicurezza informatica dell’evento e la protezione delle risorse tecnologiche prima dei Giochi”.

“La firma del protocollo con il Presidente Malagò è un momento importante per la nostra Agenzia”, ​​spiega Frattasi, “prosegue una linea di collaborazione istituzionale per garantire l’ottima riuscita di un evento che fa dell’Italia una vetrina a livello mondiale”. Inoltre, prosegue il direttore, “siamo stati al fianco dei colleghi francesi dell’ANSSI durante le Olimpiadi estive del 2024, ed è stata un’occasione proficua per prepararci ad affrontare la sfida delle prossime Olimpiadi invernali”.

https://www.acn.gov.it/portale/en/w/acn-e-fondazione-milano-cortina-siglano-un-protocollo-per-la-cybersicurezza-delle-olimpiadi-2026

L'articolo Siglato Memorandum per la Cybersecurity delle Olimpiadi Milano Cortina 2026 proviene da Rivista Cybersecurity Trends.

La Commissione Europea ha approvato il progetto SECURE – Strengthening EU SMEs Cyber Resilience, destinato a rafforzare la resilienza cibernetica e l’innovazione nella cybersicurezza delle piccole e medie imprese (PMI) europee. Il progetto è coordinato dall’Agenzia per la Cybersicurezza Nazionale (ACN) e coinvolge un consorzio di 14 partner di 7 Paesi europei, tra cui il Centro di competenza italiano Cyber 4.0, il Centro di competenza nazionale ad alta specializzazione sulla cybersecurity promosso dal Ministero delle Imprese e del Made in Italy (MIMIT), come partner tecnico di riferimento.

Con un budget totale di 22 milioni di euro, di cui 16,5 milioni erogati tramite cascade funding e il sistema delle “open call”, il progetto offrirà supporto finanziario e competenze per l’adeguamento delle PMI al Cyber Resilience Act (CRA).

L’obiettivo principale di “SECURE” è fornire supporto sia di natura finanziaria che di competenze alle PMI europee, per sviluppare strumenti e risorse necessari a garantire la conformità del CRA, il regolamento dell’Unione Europea che stabilisce requisiti obbligatori di cybersecurity per i prodotti hardware e software con componenti digitali.

Tra gli obiettivi ci sono anche attività di sensibilizzazione, formazione e istruzione nell’ambito della sicurezza informatica; lo sviluppo di strumenti per facilitare l’implementazione del Cyber Resilience Act; lo svolgimento di test e valutazioni delle vulnerabilità dei prodotti con elementi digitali per verificare la conformità al CRA; eventi e iniziative per promuovere sinergie tra le Pmi europee.

Il consorzio, coordinato dall’ACN, include partner di Austria, Belgio, Lussemburgo, Polonia, Romania e Spagna, con il supporto ufficiale di altri 12 National Coordination Centers (NCC) europei. Questa sinergia internazionale rappresenta un passo fondamentale per rendere l’ecosistema digitale europeo più resiliente e sicuro.

Bruno Frattasi, Direttore Generale di ACN, ha sottolineato l’importanza del progetto: “L’avvio del progetto Secure rappresenta un altro importante esempio della capacità di intercettare risorse europee a beneficio dello sviluppo tecnologico del Paese e della sicurezza informatica allo scopo di garantire, al massimo delle nostre potenzialità, l’ecosistema digitale nazionale. Il progetto rappresenta inoltre un virtuoso modello di coordinamento tra attori diversi, pubblici e privati, finalizzato a dare un concreto e tangibile supporto al tessuto imprenditoriale italiano nel momento in cui sarà chiamato a raggiungere i livelli di compliance richiesti dal Cyber Resilience Act. La piattaforma, che verrà erogata a beneficio delle nostre PMI e di omologhe realtà europee che vorranno avvalersene, si inscrive in quello stesso filone di supporto e sostegno al mondo imprenditoriale italiano che ha trovato in ACN un sicuro punto di riferimento. Le PMI per altro, usufruendo di strumenti e risorse per investire e crescere in sicurezza informatica, potranno divenire più competitive nell’area degli scambi globali”.

Leonardo Querzoni, Presidente di Cyber 4.0, ha evidenziato il riconoscimento del ruolo del Competence Center: “La decisione del partenariato SECURE di affidare la gestione della piattaforma per l’erogazione degli FSTP al Centro di Competenza rappresenta un importante riconoscimento per Cyber 4.0, avvalorandone l’operato degli ultimi anni nella gestione e distribuzione di fondi PNRR, mediante strumenti e processi sviluppati e consolidati autonomamente. Questa collaborazione tra Cyber 4.0 e ACN permette di estendere il ruolo di supporto al tessuto imprenditoriale del nostro Competence Center a livello europeo, con particolare riferimento al contesto delle PMI, particolarmente impattato dall’adeguamento al CRA. Al tempo stesso, SECURE si configura come un modello pilota che potrà essere applicato anche ad altri settori e ad altre normative, offrendo alla Commissione Europea una piattaforma per la gestione del meccanismo FSTP. Non a caso, il budget di SECURE è uno dei più alti mai assegnati per progetti di cybersecurity e al tempo stesso porta l’Italia al primo posto nella gestione dei finanziamenti ricevuti dai paesi UE su questo tema”.

https://www.acn.gov.it/portale/en/w/acn-intercetta-nuovi-investimenti-in-cybersecurity-a-favore-dell-ecosistema-cibernetico-nazionale

L'articolo Cybersecurity e PMI: UE finanzia il progetto SECURE guidato dall’Italia proviene da Rivista Cybersecurity Trends.

Il tempo stringe per le organizzazioni soggette alla Direttiva NIS: il 28 febbraio 2025 rappresenta il termine ultimo per completare la registrazione obbligatoria. Chi non rispetterà questa scadenza rischia pesanti sanzioni economiche, fino allo 0,1% del fatturato aziendale.

Direttiva NIS e chi riguarda

La Direttiva NIS (Network and Information Security), recepita in Italia con il Decreto Legislativo 138/2024, impone nuovi standard di sicurezza informatica per proteggere le infrastrutture critiche. Le organizzazioni pubbliche e private operanti in settori essenziali come energia, trasporti, sanità e servizi digitali devono conformarsi agli obblighi previsti, tra cui la registrazione presso l’Agenzia per la Cybersicurezza Nazionale (ACN).

Cosa succede dopo il 28 febbraio 2025

A partire dal 1° marzo 2025, le aziende che non avranno completato la registrazione potrebbero subire multe significative. La normativa punta a garantire la resilienza delle reti e dei sistemi informativi, pertanto il mancato adeguamento potrebbe anche esporre le aziende a vulnerabilità informatiche con gravi conseguenze operative e reputazionali.

Come effettuare la registrazione

Per mettersi in regola, le organizzazioni devono seguire questi passaggi:

• Identificare un referente interno responsabile della sicurezza informatica e della comunicazione con l’ACN.
• Compilare la dichiarazione di registrazione sul portale dedicato dell’ACN.

Perché è importante adeguarsi?

L’aumento degli attacchi informatici rende fondamentale il rispetto della Direttiva NIS. Questa normativa non rappresenta solo un obbligo legale, ma un’opportunità per le organizzazioni di rafforzare la propria sicurezza e proteggersi da minacce sempre più sofisticate. Investire nella sicurezza informatica oggi significa prevenire danni economici e operativi domani.

Per chi ha dubbi sulle procedure, l’ACN ha messo a disposizione diverse risorse di supporto, tra cui una sezione FAQ aggiornata periodicamente. In particolare, la FAQ 3.1 fornisce istruzioni dettagliate per eseguire un’autovalutazione e verificare se si rientra tra i soggetti obbligati alla registrazione.

Per agevolare l’adeguamento alle nuove normative, l’ACN ha inoltre reso disponibili guide e strumenti pratici pensati per accompagnare le organizzazioni lungo il percorso di conformità:

• Portale ufficiale ACN: Link alla registrazione
• Ambiti di applicazione della Direttiva NIS: Consulta qui
• Guida completa alla Direttiva NIS: Scarica il documento

https://www.cybersecitalia.it/obblighi-nis-ultima-chiamata-per-la-registrazione-scadenza-il-28-febbraio-cosa-rischia-chi-non-si-registra/43694/

L'articolo NIS: scadenza vicina, registrazione obbligatoria entro il 28 febbraio proviene da Rivista Cybersecurity Trends.

Le crescenti tensioni geopolitiche e l’espansione della superficie digitale, caratterizzata dall’uso di dispositivi connessi, dalla mobilità, dalla pratica del Bring Your Own Device (BYOD) e dall’intensificarsi delle attività dei cybercriminali, aumentano il rischio digitale e rendono necessaria un’evoluzione nell’approccio alla sicurezza informatica e alla resilienza digitale.

Per rispondere a queste sfide e per aiutare le Pubbliche Amministrazioni Centrali nel processo continuativo di gestione del rischio cyber, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha messo a disposizione uno strumento innovativo di cyber-risk management. Questo strumento consente di identificare, analizzare e trattare i rischi informatici in modo efficace, garantendo una protezione continua dei sistemi e dei servizi pubblici.

Uno strumento per una strategia più solida

La gestione del rischio cyber non è un’operazione una tantum, ma un processo continuo che richiede strumenti adeguati. Il tool messo a disposizione dall’ACN accompagna le PA in tutte le fasi della gestione del rischio, dall’identificazione dei rischi fino alla definizione dei piani di trattamento e del relativo monitoraggio.

Grazie a un aggiornamento costante, lo strumento offre una fotografia sempre aggiornata dello stato dei rischi, aiutando le amministrazioni a prendere decisioni strategiche e a migliorare la sicurezza informatica dei servizi offerti ai cittadini.

Come accedere allo strumento

L’ACN invita le Pubbliche Amministrazioni Centrali non ancora accreditate a richiedere l’abilitazione all’utilizzo dello strumento, inviando una comunicazione all’indirizzo progetti-cyber@acn.gov.it.
Lo strumento è accessibile, tramite credenziali SPID, al sito https://rischiocyber.acn.gov.it/cyber/

https://www.acn.gov.it/portale/en/w/rischio-cyber-ecco-il-cyber-tool-di-acn-per-la-pa

L'articolo Cyber Risk: ACN invita le PA Centrali a usare il nuovo strumento proviene da Rivista Cybersecurity Trends.

L’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato il report mensile “Operational Summary” di CSIRT Italia, che analizza l’andamento della minaccia cyber in Italia e fornisce un elenco delle vulnerabilità informatiche più gravi per il mese di febbraio 2025.

Nel mese di febbraio si è registrato un aumento del numero di eventi legati alla cybersicurezza, mentre il numero di incidenti è rimasto in linea con la media del semestre. I settori maggiormente colpiti sono stati la Pubblica amministrazione locale, la Pubblica amministrazione centrale e il settore dell’Energia. L’incremento degli eventi nel settore della Pubblica Amministrazione Centrale è stato attribuito principalmente agli attacchi DDoS.

L’Italia ha assistito a un’intensificazione delle attività di hacktivismo, con attacchi DDoS e defacement mirati contro soggetti pubblici e privati. Tali operazioni sono state riconducibili a gruppi con finalità politico-ideologiche, coinvolgendo collettivi filorussi e altri attori legati alla causa palestinese. Le campagne offensive hanno preso di mira siti web della pubblica amministrazione e di aziende operanti nei settori dei trasporti e dei servizi finanziari, con l’obiettivo di ottenere visibilità mediatica e amplificare il messaggio propagandistico delle rivendicazioni. Dei 181 attacchi DDoS rilevati nel periodo, solo il 3% ha causato disservizi temporanei, con una durata media di circa un’ora di irraggiungibilità delle risorse attaccate.

Oltre agli attacchi DDoS, si sono verificate operazioni di defacement su alcuni siti web, finalizzate alla diffusione di messaggi propagandistici. Tali azioni hanno avuto un impatto limitato, colpendo prevalentemente siti web di piccole realtà aziendali nel settore tecnologico, caratterizzate da livelli di protezione ridotti. Parallelamente, si è registrato un aumento delle attività ransomware, attribuito in particolare a un attacco che ha compromesso la disponibilità dei sistemi informatici di un’azienda del settore energetico, causando disservizi anche ad altri operatori del settore. I gruppi più attivi per numero di rivendicazioni ransomware sono stati FOG e Akira.

Tra i vettori di attacco maggiormente rilevati nel mese di febbraio figurano le campagne malevole veicolate tramite email, lo sfruttamento di vulnerabilità note e l’utilizzo di credenziali valide precedentemente compromesse. Il numero delle nuove vulnerabilità CVE pubblicate ha mostrato una sensibile diminuzione rispetto a gennaio.

Il report completo è disponibile sul sito ufficiale dell’ACN al link:

https://www.acn.gov.it/portale/en/w/operational-summary-febbraio-2025

L'articolo Operational Summary ACN: aumentano le minacce cyber in Italia proviene da Rivista Cybersecurity Trends.