Con l’entrata in piena operatività della direttiva direttiva NIS2 e le scadenze del 2026 alle porte, i Laboratori Accreditati di Prova (LAP) si affermano come infrastruttura strategica per la sicurezza digitale italiana. Accreditati da ACN e operativi a supporto del loro CVCN, i LAP testano tecnologie e sistemi destinati alle infrastrutture critiche nazionali, garantendo riservatezza, imparzialità e competenza certificata ISO/IEC 17025.
Analizziamo il quadro normativo — dalla Legge 133/2019 al recepimento della NIS2 con il D.Lgs. 138/2024 — e il ruolo dei fondi PNRR nella creazione della rete nazionale dei laboratori.
Indice degli argomenti
I LAP: perché oggi fanno davvero la differenza nella cybersicurezza
La cybersicurezza non è più un tema confinato ai reparti IT. È diventata una questione di tenuta sistemica che riguarda servizi essenziali — dall’energia alla sanità, dalle telecomunicazioni alla finanza — e che interessa direttamente aziende, enti pubblici e cittadini. Con la Legge 133/2019, l’Italia ha istituito il Perimetro di Sicurezza Nazionale Cibernetica (PSNC), introducendo un quadro di regole stringenti per tutti i soggetti che erogano servizi critici. All’interno di questa architettura, un ruolo centrale è oggi svolto dai Laboratori Accreditati di Prova (LAP), strutture riconosciute dall’Agenzia per la Cybersicurezza Nazionale (ACN) come pilastri operativi dello scrutinio tecnologico nazionale.
Cosa sono i LAP e perché esistono
I LAP sono laboratori accreditati dal Centro di Valutazione e Certificazione Nazionale (CVCN) — Organismo di Certificazione in seno ad ACN — con la missione di testare la sicurezza di apparati elettronici, software e componenti di rete utilizzati per l’erogazione di servizi critici dai soggetti inclusi nel PSNC . In pratica, funzionano come “banchi di collaudo” della sicurezza digitale: mettono sistemi e tecnologie sotto stress, simulando scenari di attacco reali — dai DDoS alle verifiche di robustezza crittografica — per individuare vulnerabilità prima che possano essere sfruttate.
La loro creazione non è casuale, ma risponde a un disegno strategico nazionale. Come dichiarato dall’Ammiraglio Andrea Billet, Direttore del CVCN, “la creazione di una rete di laboratori a supporto delle attività del CVCN è un’iniziativa strategica, supportata da fondi appositi del PNRR e da specifici obiettivi di attuazione. I LAP fanno parte del più ampio meccanismo di scrutinio tecnologico attuato dall’Agenzia”. Il processo di accreditamento è particolarmente rigoroso e coinvolge anche referenti del Ministero della Difesa e dell’Interno.
Il LAP di Neverhack Italia: un caso concreto finanziato dal PNRR
Tra i laboratori accreditati figura il LAP di Neverhack Italy (già Innovery SpA), un progetto nato nell’ambito del PNRR M1C1 – Investimento 1.5 “Cybersecurity”, finanziato con fondi europei Next Generation EU per un importo complessivo di 225.000 euro . Il laboratorio svolge attività di continuous technological assessment and testing della sicurezza di apparati e applicazioni utilizzati dai soggetti inclusi nel Perimetro Nazionale, affiancando il CVCN nei casi che quest’ultimo ritiene delegabili.
Neverhack, gruppo internazionale di cybersecurity con oltre 1.100 esperti distribuiti in 12 Paesi e un Global SOC operativo su 3 continenti, porta all’interno del sistema dei LAP un’esperienza maturata sia nel mondo della consulenza che in quello della ricerca applicata, offrendo un esempio concreto di raccordo tra settore privato e interesse pubblico.
L’accreditamento come LAP implica aver superato audit rigorosi, dimostrando una maturità organizzativa e operativa superiore alla media di mercato, che abilita formalmente a validare la sicurezza degli asset ICT destinati al PSNC. Neverhack dispone anche di un CERT accreditato dal FIRST e dal Trusted Introducer, le principali organizzazioni internazionali dei CERT, il che le permette di unire la capacità di reazione e cooperazione internazionale sugli incidenti, con quella di prevenzione e certificazione, coprendo l’intero ciclo di vita della sicurezza.
NIS2: il 2026 è l’anno della svolta operativa
Il contesto in cui operano i LAP è reso ancora più rilevante dall’entrata in piena operatività della direttiva europea NIS2, recepita in Italia con il D.Lgs. 138/2024. Il 2026 segna il passaggio dalla fase di inquadramento normativo all’implementazione concreta degli obblighi. Le tappe principali sono:
- Gennaio 2026: avvio della fase operativa con obbligo di notifica degli incidenti significativi — preallerta entro 24 ore, notifica completa entro 72 ore, relazione finale entro un mese.
- Febbraio-settembre 2026: pubblicazione progressiva delle linee guida settoriali da parte dell’ACN.
- Entro il 31 ottobre 2026: le misure di sicurezza di base devono essere implementate e operative — 37 misure per i soggetti importanti, 43 per quelli essenziali.
La NIS2 estende significativamente il perimetro dei soggetti coinvolti: non solo grandi infrastrutture, ma anche medie imprese che operano in energia, trasporti, sanità, farmaceutica, finanza, telecomunicazioni e gestione di servizi pubblici come acqua e rifiuti. Quando uno di questi soggetti adotta sistemi ICT considerati critici, entra in gioco il meccanismo di valutazione del CVCN — e con esso il ruolo dei LAP.
Tre principi fondamentali: riservatezza, imparzialità, competenza
Il valore dei LAP non si esaurisce nella capacità tecnica. Il loro funzionamento poggia su tre pilastri:[1]
- Riservatezza: i dati trattati — codici sorgente, architetture di rete, piani infrastrutturali — sono estremamente sensibili e vengono gestiti con standard di protezione comparabili a quelli del segreto militare.
- Imparzialità: i LAP devono poter dichiarare un sistema non conforme indipendentemente da pressioni politiche o commerciali. È una garanzia di credibilità dell’intero sistema.
- Rigore scientifico: lo standard ISO/IEC 17025 definisce i requisiti per la conduzione delle prove, il trattamento dei risultati e la manutenzione degli strumenti, assicurando che ogni valutazione sia riproducibile e scientificamente fondata.
Oltre la compliance: un vantaggio competitivo per le imprese
Sottoporre i propri prodotti e sistemi al vaglio di un LAP può apparire inizialmente come un onere. In realtà, il superamento di test di penetrazione, prove di resistenza crittografica e simulazioni di attacco rappresenta un differenziale competitivo misurabile. Un prodotto certificato attraverso il CVCN non solo garantisce la conformità normativa, ma apre l’accesso a mercati regolamentati e appalti pubblici in cui la fiducia verificata è un prerequisito.
In un contesto in cui l’ACN ha approvato nel 2025 il Piano per l’industria cyber nazionale (Misura #51 della Strategia Nazionale di Cybersicurezza 2022-2026), definendo azioni e fonti di finanziamento per la crescita delle imprese nel settore, collaborare con un LAP significa anche inserirsi in un ecosistema strategico riconosciuto a livello istituzionale.
Un contributo alla resilienza del sistema Paese
I Laboratori Accreditati di Prova non sono centri tecnici isolati: sono nodi di un’infrastruttura nazionale che connette innovazione tecnologica, responsabilità istituzionale e fiducia digitale. La loro funzione è rendere concreta e verificabile la protezione dei servizi da cui dipende la vita quotidiana di milioni di persone.
Investire in queste strutture — come ha fatto Neverhack Italia — significa contribuire a un obiettivo che supera i confini aziendali: rendere l’Italia e l’Europa meno vulnerabili alle minacce cibernetiche, in un momento storico in cui la sicurezza digitale non è più un’opzione, ma una condizione necessaria per la competitività e la sovranità tecnologica del Paese.
