Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

sicurezza

NIS2 e minacce cyber alla PA: quattro sfide decisive per il 2026

Home Sicurezza digitale
Partecipa al dibattito
Indirizzo copiato

Le minacce informatiche al settore pubblico crescono per velocità e impatto. La direttiva NIS2 impone nuovi standard. Servono visibilità continua, gestione delle vulnerabilità in tempo reale e playbook operativi. I sistemi CPS e le dipendenze della supply chain restano i punti più critici

Pubblicato il 13 mar 2026
Nicola Altavilla

Director of the Mediterranean Region at Armis

cyber-finanziamento statale; backup; infrastrutture critiche nazionali cyber threat intelligence;  data center provider
AI Questions Icon
Chiedi allʼAI Nextwork360
Riassumi questo articolo
Approfondisci con altre fonti

Gli addetti ai lavori nella cybersecurity del settore pubblico hanno notato come le minacce informatiche siano sempre più rapide, l’impatto di una singola interruzione di servizio sia sempre più ampio e come il vecchio approccio basato su scansioni periodiche, finestre di patch pianificate e il classico “lo gestiremo il prossimo trimestre” non sia più sufficiente.

L’inizio di un nuovo anno rappresenta il momento ideale per riflettere e rivedere le strategie. È necessario un cambio di obiettivi: passare dal “ripristinare più velocemente” al “vedere e fermare la minaccia prima che diventi una crisi”. Questo è il significato concreto e operativo del concetto di “left-of-boom”, la direzione verso cui le amministrazioni dovranno muoversi.

La PA alla prova della cybersecurity: strategie, ostacoli e soluzioni

Il quadro normativo italiano ed europeo: NIS2, ACN e perimetro cibernetico

Nel contesto italiano ed europeo, queste dinamiche sono particolarmente rilevanti. Le amministrazioni pubbliche e i gestori di infrastrutture critiche operano oggi all’interno di un quadro normativo sempre più stringente, segnato dall’entrata in vigore della Direttiva NIS2, dal Perimetro di Sicurezza Nazionale Cibernetica e dalle linee guida dell’Agenzia per la Cybersicurezza Nazionale (ACN). In questo scenario, la sfida non è solo rispettare i requisiti di conformità, ma sviluppare una reale capacità di anticipare le minacce e garantire la continuità dei servizi essenziali.

Quattro previsioni cyber per gli enti pubblici nel 2026

Di seguito, quattro previsioni sull’esposizione cyber che gli enti pubblici dovrebbero considerare con attenzione, insieme alle azioni da intraprendere fin da subito.

Il ransomware nel settore sanitario: dati e vulnerabilità sistemica

Negli ultimi anni il settore sanitario italiano è stato sempre più preso di mira dagli attacchi informatici, in particolare ransomware, con impatti concreti sui servizi sanitari e sulla disponibilità delle infrastrutture critiche. Secondo i dati del report “Warfare Without Borders: AI’s Role in the New Age of Cyberwarfare”, in Italia l’allerta è alta: l’81% delle aziende sanitarie intervistate ha subito da 1 a 2 violazioni informatiche, segno di una vulnerabilità sistemica che richiede risposte urgenti. Il 75% dei professionisti IT del settore sanitario, a livello globale, considera l’intelligenza artificiale una minaccia significativa per la sicurezza delle infrastrutture critiche. In Italia, questa percezione è condivisa da quasi 7 strutture sanitarie su 10, mentre l’81% dei decisori IT teme l’impatto di un eventuale conflitto informatico sulla propria organizzazione. Più di un terzo di essi (38%) si dice fortemente preoccupato. Nel luglio 2024, un attacco alla supply chain ha colpito un fornitore di servizi IT, causando danni a più enti sanitari interconnessi, mettendo in evidenza la vulnerabilità sistemica del settore e la necessità di una gestione più efficace delle esposizioni e delle dipendenze tecnologiche.

Cosa serve: il CTEM come risposta operativa

Ciò di cui hanno bisogno le amministrazioni: un approccio basato sul CTEM (Gestione continua dell’esposizione alle minacce) che consideri l’intero ecosistema dei servizi come un’unica superficie di attacco continua. Ciò implica la scoperta costante delle dipendenze a monte, una piena consapevolezza situazionale di una superficie di attacco dinamica, l’acquisizione automatizzata di telemetria dai partner della supply chain e un sistema di valutazione del rischio in grado di tradurre le esposizioni in termini di impatto sulla missione (cosa smette di funzionare, chi perde il servizio, in quanto tempo è possibile ripristinarlo). Le agenzie richiedono sempre più valutazioni dell’esposizione continua e a velocità macchina, che combinino contesto degli asset, threat intelligence e orchestrazione della remediation: esattamente le capacità che il CTEM deve offrire.

Dal rilevamento opportunistico al “fast-follow”: i nuovi tempi dello sfruttamento

Lo sfruttamento delle vulnerabilità è passato da “opportunistico” a “fast-follow”. Negli ultimi anni, analisi indipendenti della CISA mostrano un aumento significativo delle CVE (Common Exploited Vulnerabilities — vulnerabilità informatiche già sfruttate attivamente negli attacchi reali e quindi considerate prioritarie da mitigare) effettivamente sfruttate in ambienti reali. In sintesi: il tempo disponibile per intervenire si sta drasticamente riducendo. Analogamente a quanto evidenziato da CISA negli Stati Uniti, anche in Europa ENISA e le autorità nazionali di cybersicurezza sottolineano l’urgenza di una gestione continua delle vulnerabilità.

Cosa serve: la UVM come strumento di prioritizzazione continua

Ciò di cui hanno bisogno le amministrazioni: una UVM (Gestione unificata delle vulnerabilità) che non sia un foglio di calcolo o un audit annuale. Serve una scoperta automatizzata in grado di intercettare gli attacchi quando sono ancora in fase di pianificazione, integrata con intelligence basata su tecnologie di deception, telemetria sugli exploit e un flusso operativo prioritizzato e orientato all’azione: rilevare → normalizzare e contestualizzare → prioritizzare → mitigare → verificare. Questo richiede l’integrazione di software bill of materials (SBOM), postura di configurazione e telemetria runtime, così che, al primo segnale di allerta, l’organizzazione possa generare un piano di remediation eseguibile in pochi minuti, non in settimane. La sola conformità al patching non sarà più sufficiente: saranno necessari prevenzione, controlli compensativi, isolamenti temporanei e cicli di verifica continui.

La consapevolezza situazionale e l’orchestrazione diventeranno moltiplicatori di forza

Al di fuori dei confini delle singole amministrazioni, la prossima frontiera della cybersecurity nel settore pubblico è la coordinazione basata su una visibilità condivisa. Gli organismi di controllo continuano a evidenziare la frammentazione nella supervisione e nella risposta agli attacchi informatici tra i diversi settori critici, mentre i team di difesa centralizzati devono affrontare vincoli concreti quali risorse limitate, aumento del numero di incidenti e mandati in continua espansione.

Cosa serve: visibilità in tempo reale e playbook automation-first

Ciò di cui hanno bisogno le amministrazioni: è necessaria una visibilità completa e in tempo reale sull’intero ecosistema, che includa ogni asset, percorso e connessione di terze parti a supporto dei sistemi mission-critical. Questo significa considerare non solo hardware ed endpoint, ma anche applicazioni, workload e API (Interfaccia di programmazione delle applicazioni), che spesso rappresentano vettori di accesso silenziosi verso sistemi critici. Parallelamente, e su questa base, le pubbliche amministrazioni devono sviluppare playbook automation-first, predefiniti e regolarmente testati, in grado di tradurre le informazioni sull’esposizione in azioni di risposta immediatamente eseguibili. Tali procedure dovrebbero essere poi integrate nei framework di coordinamento centralizzati, consentendo sia interventi locali autonomi sia una rapida sincronizzazione a livello nazionale.

Il profilo di rischio dei sistemi CPS/OT nelle infrastrutture critiche

Gli aggressori prediligono ambienti in cui la visibilità è incompleta e la remediation è manuale. I contesti CPS/OT (Sistemi cyber-fisici / tecnologia operativa) rispondono perfettamente a questo profilo: forte eterogeneità, punti di convergenza debolmente protetti o sconosciuti, cicli di patching molto lunghi e sistemi mission-critical che non possono essere semplicemente riavviati. Le valutazioni e le analisi sugli incidenti di settore continuano a dimostrare che i comparti delle infrastrutture critiche ricchi di asset CPS sono colpiti in modo sproporzionato da incidenti cyber ad alto impatto e da interruzioni operative significative.

Cosa serve: scoperta continua e remediation sicura nei contesti CPS

Ciò di cui le amministrazioni necessitano: serve una scoperta continua degli ambienti CPS (Sistemi cyber-fisici) e una valutazione del rischio consapevole della funzione operativa. Questo significa disporre della capacità di identificare controller, dispositivi medicali, sistemi di controllo industriale e dispositivi edge, comprendendo non solo l’esistenza di un asset, ma il suo ruolo operativo, le interconnessioni a cui è collegato e quali modalità di remediation siano sicure e applicabili. In molti contesti governativi, la “remediation sicura” non coinciderà con l’applicazione automatica di una patch; più spesso consisterà in regole di micro-segmentazione compensative, controlli compensativi o virtual patch applicate a livello di rete. I programmi CPS devono quindi supportare queste opzioni attraverso procedure chiare, operative e immediatamente attuabili.

Priorità operative: cosa dovrebbero finanziare gli enti pubblici nel 2026

  1. Piattaforma CTEM continua in grado di mappare asset → dipendenze della supply chain → esposizione alle minacce in un’unica vista, con valutazione dell’impatto sulla missione. (È necessario smettere di trattare i cataloghi degli asset come statici).
  2. UVM con prioritizzazione in tempo reale: rilevamento precoce delle minacce, telemetria di asset intelligence e orchestrazione automatizzata della remediation (contestualizzazione, prioritizzazione, mitigazione e micro-segmentazione).
  3. Scoperta CPS/OT e modellazione del rischio: baseline del comportamento degli asset, playbook di remediation sicura e integrazione con i responsabili dei processi di controllo industriale.
  4. Automazione dell’OODA (Osservare, Orientare, Decidere, Agire) Loop + verifica: mitigazioni automatizzate che includano cicli di verifica, per consentire alle amministrazioni di dimostrare concretamente la riduzione dell’esposizione.
  5. Collaborazione: condivisione delle informazioni collaborativa e basata su standard, sia all’interno delle organizzazioni sia tra organizzazioni diverse, per garantire massima copertura e controllo.

La sfida pratica: velocità, esposizione e capacità operativa continua

Le amministrazioni dispongono già di un quadro normativo e di policy e di meccanismi di supervisione sempre più stringenti che impongono l’azione. Ciò che oggi manca è la velocità: velocità nel rilevare, contestualizzare e intervenire. Nel 2026 avranno successo le organizzazioni che tratteranno la gestione dell’esposizione come una capacità operativa continua, e non come un semplice adempimento di compliance.

Per chi gestisce un programma istituzionale, il primo passo è mappare due elementi chiave: le prime 20 dipendenze mission-critical (incluse le terze parti) e l’insieme degli asset che, se indisponibili per 24 ore, comprometterebbero in modo significativo l’operatività della missione. Queste due liste indicano con chiarezza dove concentrare per primi CTEM e UVM.

Per le amministrazioni pubbliche italiane, il successo nel 2026 dipenderà dalla capacità di trasformare la gestione dell’esposizione cyber da obbligo di conformità a funzione operativa continua, integrata nei processi e nelle decisioni strategiche.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

A
Nicola Altavilla
Director of the Mediterranean Region at Armis
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

InnovAttori

Vedi tutti gli approfondimenti >

Articoli correlati

  • Trasparenza nella pubblica amministrazione Send formazione e performance nella PA privacy dei dipendenti pubblici In-house IT nella PA AI nella pubblica amministrazione pa life-centric pa post pnrr

  • sicurezza

    Guerra ibrida e cyber minacce: perché la PA italiana è più esposta

    12 Mar 2026

    di Marco Armoni

    Condividi
  • cybersecurity e competitività europea; DPIA

  • vademecum

    DPIA in azienda, come si fa: la guida completa per le imprese

    10 Lug 2025

    di Lorenzo Giannini

    Condividi
  • droni (1) droni e AI droni navali; sistema anti-droni europeo Graph Neural Networks

  • sicurezza

    Graph Neural Networks: la nuova difesa europea contro i droni

    18 Dic 2025

    di Ernesto Damiani

    Condividi
0
Lascia un commento, la tua opinione conta.x