Guida ACN per le PMI italiane: 6 indicazioni su come rafforzare la cybersecurity aziendale

Il 12 agosto 2025, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato una nuova guida pensata per i dirigenti di Piccole e Medie Imprese.

Riprende concetti già discussi in precedenti articoli del blog di axitea.com ma vale la pena riassumerli in un contenuto aggiornato, dal momento che la guida pratica proviene direttamente da ACN, l’autorità italiana competente per la NIS che sta lavorando con le aziende per l’adeguamento alle nuove disposizioni.

Il documento si inserisce nel percorso di sensibilizzazione promosso dall’Agenzia per aumentare la consapevolezza e l’efficacia delle difese cyber all’interno delle imprese italiane, in particolar modo delle 4,5 milioni di PMI.

L’obiettivo è fornire ai decisori aziendali indicazioni chiare e concrete, affinché la sicurezza informatica diventi parte integrante della gestione d’impresa e non un tema lasciato in secondo piano.

Di seguito una sintesi dei contenuti principali della guida, utile per comprendere come le PMI possano strutturare una strategia di cybersicurezza efficace. L’articolo ricorda le responsabilità diretta e personale per organi direttivi ed evidenzia inoltre le 6 indicazioni che le PMI devono intraprendere per rafforzare la sicurezza informatica aziendale.

La sicurezza informatica come responsabilità manageriale

La direttiva NIS2 porta con sé responsabilità per organi di amministrazione e direzione: Membri del Consiglio di Amministrazione (CdA), Amministratori Delegati (AD), Direttori e Procuratori generali con poteri di rappresentanza legale e decisionale.

Coerentemente con questo contesto, anche la guida per PMI sottolinea che la cybersicurezza è una responsabilità dei vertici aziendali.

Non può essere considerata solo un problema tecnico, ma deve diventare un tema strategico, al pari della gestione finanziaria o della continuità operativa.

Ecco le 6 azioni chiave da tenere come guida per ogni PMI.

1. Stabilisci gli obiettivi e diffondi la cultura della cyber security

La sicurezza aziendale deve essere parte integrante della pianificazione strategica. È fondamentale che i dirigenti definiscano obiettivi chiari e coerenti con le strategie di business, assicurandosi che vengano rivisti periodicamente. Questo include l’implementazione di misure per la continuità dei processi, il monitoraggio delle minacce, la gestione degli incidenti e la conformità normativa.

Integrare la sicurezza nella cultura aziendale significa promuovere la consapevolezza a tutti i livelli. Il personale deve essere informato sull’impatto di una violazione e sul valore delle buone pratiche.

L’assenza di obiettivi e di una cultura cyber adeguata può portare a interruzioni della produzione o dei servizi, perdita di dati riservati, impatti economici e legali, danni all’immagine aziendale e una significativa perdita di fiducia da parte di clienti e investitori.

2. Attenzione al quadro normativo di riferimento

Le normative sulla cybersicurezza, come la Direttiva NIS2, il Perimetro di Sicurezza Nazionale Cibernetica (PSNC) e il GDPR – oltre a rappresentare obblighi – forniscono indicazioni utili per elevare il livello di resilienza. Le PMI devono conoscere il quadro normativo applicabile al proprio settore e definire le misure di sicurezza necessarie per garantirne la conformità.

La mancata conoscenza e il mancato rispetto di queste norme espongono l’organizzazione a rischi di non conformità, sanzioni, perdite economiche e danni reputazionali.

3. Proteggi gli asset vitali per il tuo business

Non è possibile proteggere tutto con lo stesso livello di sicurezza. La guida sottolinea l’importanza di identificare e proteggere gli asset più critici per il business (processi, sistemi e dati), sia interni che esterni. Questo passo è fondamentale per ottimizzare risorse e sforzi.

È necessario analizzare periodicamente i rischi a cui gli asset sono esposti e intraprendere azioni per mitigarne gli impatti. Inoltre, è cruciale non sottovalutare i rischi legati ai fornitori e della supply chain, assicurandosi che anch’essi adottino contromisure adeguate. L’assenza di un’identificazione degli asset critici compromette l’efficacia delle analisi del rischio e aumenta la vulnerabilità a violazioni e compromissioni.

4. Seleziona e supporta un responsabile per la cybersicurezza

Per garantire un adeguato livello di sicurezza, è opportuno nominare un responsabile per la cyber security (interno o esterno) con competenze specialistiche dedicate. Un ruolo fondamentale per identificare gli obiettivi di sicurezza, sviluppare un programma strutturato e gestire gli incidenti.

Nelle PMI o nelle aziende più piccole è però difficile destinare risorse per figure interne specializzate in cyber security, che richiedono molti investimenti: per questo motivo, la sicurezza informatica viene esternalizzata e affidata a un Managed Security Service Provider, con analisti cyber e Security Operation Center attivo H24, 7 giorni su 7.

L’assenza di questa figura (ad esempio in cui si affidino le responsabilità a una figura non specializzata in cyber security come un IT Manager) può portare a una mancanza di competenze, a un coordinamento inefficace e a una scarsa consapevolezza della sicurezza tra i dipendenti, amplificando i danni in caso di incidente.

5. Predisponi corsi di formazione e di awareness

Il fattore umano è uno dei principali vettori d’attacco per i cybercriminali. Formazione e sensibilizzazione dei dipendenti sono cruciali. È essenziale garantire al personale l’accesso a corsi, materiali informativi e aggiornamenti periodici sulle minacce cyber, come il phishing e altre tecniche di social engineering.

Le iniziative di formazione devono essere mirate e adattate ai diversi ruoli e competenze all’interno dell’organizzazione. È buona prassi valutare l’efficacia dei corsi e pianificare sessioni di approfondimento se necessario. La mancanza di consapevolezza espone l’azienda a un’alta vulnerabilità e aumenta il rischio di errori umani che possono portare a violazioni e danni reputazionali.

6. Verifica l’affidabilità dei fornitori e dei contratti

Siamo tutti connessi: nella cyber security, la catena di approvvigionamento (supply chain) è un anello critico.

La scelta di fornitori non affidabili aumenta il rischio di essere vittima di attacchi informatici, con conseguenti danni economici per l’organizzazione e la perdita di reputazione e fiducia da parte degli stakeholder.

La guida dell’ACN sottolinea l’importanza di selezionare fornitori che rispettino elevati standard di sicurezza, siano certificati e utilizzino le migliori pratiche.

È necessario definire contratti dettagliati con le terze parti, includendo clausole di sicurezza, requisiti di conformità normativa e procedure per la gestione degli incidenti. La scelta di fornitori non affidabili aumenta il rischio di attacchi informatici, con conseguenti danni economici e perdita di reputazione. Un contratto privo di adeguate clausole di sicurezza può comportare violazioni dei dati, interruzioni operative e sanzioni.