Cittadinanza digitale Sicurezza Informatica Industry 4.0/Innovazione in azienda Intelligenza Artificiale Sanità digitale Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Guide alla scelta tech Libri Scuola digitale Cultura e società digitali Mercati digitali Startup Sostenibilità e smart city

il modello

CSIRT-Umbria, il modello regionale di cybersicurezza pubblica

Home Sicurezza digitale
Partecipa al dibattito
Indirizzo copiato

La NIS2 impone una nuova idea di cybersicurezza, che non riguarda solo la tecnica ma l’intera organizzazione pubblica. In questo quadro lo CSIRT-Umbria prova a costruire un modello regionale fondato su governance, competenze e cooperazione tra enti, università e istituzioni

Pubblicato il 14 apr 2026
Daniele Chiappini

Assessorato alla programmazione fondi europei, al bilancio, al patrimonio, al personale, alla cultura, all’agenda digitale

Giacomo Chiodini

Capo segreteria Assessorato alla programmazione fondi europei, al bilancio, al patrimonio, al personale, alla cultura, all’agenda digitale

Mirco Marcagnani

Responsabile Sezione Cybersecurity

Marco Mencacci

Dirigente Infrastrutture digitali e cybersicurezza

incidenti nis2
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

La Direttiva europea NIS2 (recepita in Italia con il D.Lgs. 138/2024) segna uno spartiacque nella gestione della cybersicurezza delle infrastrutture critiche e dei servizi essenziali. Il legislatore ha stabilito un principio che è anche un cambiamento culturale: la cybersicurezza non è una questione tecnica, relegata al comparto IT, ma una tematica organizzativa, politica ed etica. Il quadro normativo presenta, non a caso, molte analogie con quello del D.Lgs. 81/2008, che ha portato un cambio di prospettiva nella gestione della sicurezza sui luoghi di lavoro.

Adottare la Nis2: 2026 anno della verità. Ecco tutte le info chiave

La governance della sicurezza fisica e di quella cibernetica diventa molto simile, con responsabilità di vertice non delegabili, formazione obbligatoria e continua, piani, procedure ed esercitazioni. Poiché la vita sociale, economica e democratica si è spostata sul digitale, questo spazio diventa un “bene pubblico” da proteggere e tutelare.

Anche dal punto di vista tecnico, il Framework nazionale per la Cybersicurezza e la Protezione Dati include una nuova dimensione, la governance, che va a integrarsi alle precedenti (Govern, Identify, Protect, Detect, Respond, Recover).

La rete nazionale e il ruolo degli CSIRT

In questo scenario, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha previsto una rete a livello nazionale per la governance della resilienza e per il coordinamento delle informazioni di intelligence. Al vertice opera il CSIRT-Italia (Computer Security Incident Response Team), incardinato nell’Agenzia stessa e inserito nella rete degli CSIRT europei, con i compiti di:

  • monitorare lo scenario globale,
  • coordinare la risposta alle minacce sistemiche,
  • diffondere allarmi, allerte, annunci e divulgazione di informazioni alle parti interessate
  • intervenire in caso di incidente

Lo CSIRT-Italia dialoga con le articolazioni sul territorio, gli CSIRT Regionali, che si occupano di diffondere le informazioni e le allerte ai soggetti sul territorio e di coordinare, a livello locale, la risposta a incidenti e crisi informatiche. Gli CSIRT regionali fungono da centro servizi per gli Enti del territorio e da hub per l’interscambio di informazioni tra i soggetti della Constituency e verso gli interlocutori nazionali.

Per fare un’analogia con il mondo fisico, la rete degli CSIRT può essere paragonata a quella della Protezione Civile: una struttura capace di fare prevenzione in tempo di pace (Threat Intelligence), coordinare i soccorsi durante l’emergenza (Incident Response) e supportare la ricostruzione dei servizi (Recovery).

Come nasce CSIRT-Umbria

Lo CSIRT-Umbria, evoluzione del precedente CERT-PA, nasce a ottobre 2025 con la DGR 1098, finanziato dai bandi ACN nell’ambito PNRR (Missione 1.5) e i fondi strutturali della misura #55.

Il modello organizzativo si articola su due livelli:

  1. Governance strategica: in capo alla Regione (Servizio Infrastrutture digitali e cybersicurezza), che definisce le policy, gli standard e mantiene le relazioni con le autorità nazionali, con gli altri CSIRT, con l’Università e i vari stakeholders. Nel comitato strategico sono presenti anche il DPO della Regione, il Responsabile per la Trasformazione Digitale, il dirigente della Sanità digitale e il dirigente della Protezione Civile.
  2. Operatività tecnica: affidata alla società in-house Puntozero, gestore del Data Center Regionale, che agisce come braccio operativo.

La constituency di CSIRT-Umbria e il coordinamento regionale

La Constituency di partenza dello CSIRT-Umbria comprende la Giunta Regionale, l’Assemblea Legislativa (ente autonomo), la stessa società in-house e le quattro Aziende Sanitarie del territorio, due Aziende Ospedaliere e due territoriali. Ognuno di questi attori è un soggetto autonomo ai fini NIS2, spesso dotato di propri SOC (Security Operations Center) con proprie specificità organizzative. Una volta rodato il modello organizzativo e il catalogo dei servizi su questi Enti, l’obiettivo è quello di allargare la Constituency alle Agenzie Regionali e agli Enti Locali.

L’idea dello CSIRT-Umbria è quella di sfruttare l’opportunità di un coordinamento a livello regionale, non solo per offrire servizi e per far circolare informazioni sugli attacchi e le minacce, ma per trasformarlo in un centro di competenza regionale sulla cybersicurezza e sulla gestione del rischio informatico. Uno spazio all’interno del quale confrontarsi, tra Enti con peculiarità differenti, ma anche con realtà di livello nazionale, con il mondo della ricerca e con le autorità regolatorie, mettendo a fattor comune esperienze e competenze.

Il capitale umano come infrastruttura critica

La più grande criticità della Pubblica Amministrazione nell’era digitale, è il capitale umano e uno dei settori in cui è più difficile reclutare specialisti è la cybersicurezza. Il mercato del settore è caratterizzato da una domanda di professionisti superiore all’offerta, rendendo il settore pubblico svantaggiato nell’attrarre talenti in quest’ambito.

Il progetto di rendere lo CSIRT-Umbria un Centro di Competenza, anche grazie a collaborazioni istituzionali, sinergia con l’Università e accordi quadro con operatori di mercato specializzati nel settore, ha come obiettivo il superamento di questo collo di bottiglia, stimolando l’investimento in risorse umane e offrendo servizi in sussidiarietà verso gli Enti più piccoli, altrimenti tagliati fuori dall’evoluzione tecnologica.

Sostenibilità economica e sovranità digitale

Investire sulle competenze interne assume una duplice valenza strategica:

  • Sostenibilità Economica e contrasto al lock-in: solo grazie a competenze interne la Pubblica Amministrazione può sfuggire alla dipendenza acritica dai fornitori (vendor lock-in). In un mercato in cui le soluzioni di sicurezza sono spesso vendute come “scatole nere”, avere personale interno capace di valutare, configurare e gestire i sistemi significa evitare l’acquisto di piattaforme sovradimensionate o, peggio, sottoutilizzate. La competenza interna e la governance centralizzata sono gli unici strumenti in grado di assicurare un controllo efficace sulla supply chain e una sostenibilità economica a lungo termine delle infrastrutture tecnologiche.
  • Sovranità Digitale: Delegare completamente la sicurezza a terzi significa delegare la comprensione del proprio livello di rischio. Puntare sulla differenziazione tecnologica e sull’Open Source, invece di essere meri utilizzatori di prodotti in cloud di vendor stranieri, è la chiave per non farsi trovare impreparati in caso di tensioni geopolitiche o strategie di mercato aggressive (caso Broadcom/VMWare).

Le collaborazioni che rafforzano CSIRT-Umbria

Per stimolare la crescita delle competenze e il confronto, lo CSIRT-Umbria sta creando una rete di collaborazioni, sia con soggetti istituzionali che privati:

Il rapporto con l’Università degli Studi di Perugia

è stata inserita nel comitato strategico l’Università degli Studi di Perugia. La sinergia tra il Centro di Competenza regionale e il mondo della ricerca genera valore pubblico. Aprire le porte dello CSIRT a studenti e tesisti permette loro di confrontarsi con strumenti, professionisti e minacce reali, così da vedere sul campo il valore sociale della difesa delle infrastrutture pubbliche. Il rischio per i giovani è quello di vedere la Pubblica Amministrazione come un reparto geriatrico dove si fanno cose noiose. Creare questo ponte tra studenti, istituzioni, società in-house e società che ruotano attorno allo CSIRT può contribuire a sfatare questo cliché.

Parallelamente, la collaborazione con il mondo della ricerca facilita l’adozione di soluzioni Open Source. Questa scelta non è dettata solo da ragioni di risparmio economico, ma dalla volontà di diversificare le tecnologie di difesa, garantire trasparenza, sostenibilità e una maggiore sovranità tecnologica.

La convenzione con la Polizia Postale

Oltre all’Università, lo CSIRT-Umbria ha formalizzato una convenzione innovativa con la Polizia Postale dedicata al capitale umano per la prevenzione dei crimini informatici e la protezione delle infrastrutture critiche:

  1. Sviluppo di competenze forensi: la formazione congiunta mira a insegnare ai tecnici come gestire un incidente senza inquinare le prove. Sapere come congelare una macchina virtuale o come estrarre i log correttamente è fondamentale per consentire successive azioni di repressione del crimine.
  2. Gestione della crisi (Table-top Exercise): la sicurezza informatica è, prima di tutto, una questione organizzativa. Le esercitazioni congiunte non coinvolgono solo gli informatici, ma anche le direzioni Legali, Privacy, Risorse Umane e Comunicazione. Quando i servizi essenziali si interrompono, la capacità di comunicare con i cittadini e di gestire i profili di responsabilità legale riveste un ruolo cruciale nella gestione della crisi.
  3. Prevenzione e awareness: attraverso i punti di facilitazione digitale (DigiPass), lo CSIRT e la Polizia Postale portano la consapevolezza della sicurezza informatica alla cittadinanza, con eventi di formazione mirati alla prevenzione delle truffe informatiche. Se la maggior parte degli attacchi sfrutta il fattore umano (phishing, social engineering), educare l’utente finale significa ridurre drasticamente la superficie di attacco.

Come ha dichiarato il Vicepresidente della Regione Umbria con delega al digitale, Tommaso Bori, in occasione della firma del protocollo d’intesa il 25/02/2025: “Con questo protocollo la Regione Umbria investe nel capitale umano per migliorare le proprie difese informatiche, rendendo lo CSIRT-Umbria un centro di competenza al servizio degli Enti e dei territori. Grazie alla collaborazione con la Polizia Postale intendiamo mettere a fattor comune competenze ed esperienze per trasformare gli utenti da anello debole a prima linea di difesa. La cooperazione prevede sia attività specialistiche rivolte ai tecnici dello CSIRT-Umbria, per condividere strumenti e buone pratiche, sia iniziative rivolte alla cittadinanza, come la prevenzione delle truffe informatiche. Le attività nei territori si svolgeranno nei Digipass, i punti di facilitazione digitale, perché oggi il vero digital divide non è l’accesso alle tecnologie ma le competenze per utilizzarle al meglio, evitando i rischi. Un utente consapevole è un utente più sicuro”.

Questo rappresenta però solo lo status attuale dei soggetti partecipanti. L’obiettivo è infatti quello di allargare ulteriormente ad altri soggetti istituzionali regionali in modo da poter rendere lo CSIRT-Umbria ancora più utile, anche grazie allo scambio di buone pratiche tra i vari aderenti.

CSIRT-Umbria e la cooperazione nazionale e interregionale

È in corso il processo di convenzionamento dello CSIRT-Umbria con l’Agenzia per la Cybersicurezza Nazionale (ACN). Il protocollo prevede la cooperazione sia sulle informazioni di intelligence, che sulle buone pratiche e su eventi di formazione specifica. L’Agenzia mette inoltre a disposizione delle piattaforme tecnologiche comuni a livello nazionale, come il MISP, l’HyperSOC e Cyber Risk Management.

Il confronto nella community delle Regioni

Nell’ambito della Commissione Innovazione tecnologica e Digitalizzazione della Conferenza delle Regioni e delle Province Autonome, di cui l’Umbria è coordinatore, sono attive diverse community di confronto tra tecnici, di cui una dedicata alla Cybersicurezza, in cui vengono trattati diversi argomenti di carattere tecnico. Dal confronto tra le diverse realtà emergono proposte o istanze comuni da portare a livello di ACN o come proposte di legge.

Dal SOC federato al SOC “as-a-service”

L’evoluzione naturale dello CSIRT è il passaggio dalla federazione dei SOC esistenti alla creazione di un SOC Regionale Unitario, concepito come un servizio erogabile a listino per gli Enti della Constituency.

L’idea di base è la centralizzazione della difesa. Attualmente, ogni ente pubblico, anche di piccole dimensioni, si trova a dover fronteggiare minacce globali con risorse locali. Il modello di un unico SOC a livello regionale che eroghi servizi di monitoraggio e risposta (Detection & Response) a fronte di un corrispettivo “pro-quota”, calcolato in base al perimetro da difendere (numero di server, endpoint, utenti), permette da un lato un’economia di scala, con risparmio sia economico che di carico amministrativo sui singoli enti, dall’altro la creazione di un hub di elevata specializzazione, in grado di identificare e bloccare una minaccia per tutti gli Enti per cui lavora, rendendo immediatamente circolari le informazioni e le attività di remediation.

Questo approccio permette anche agli enti minori di accedere a tecnologie di livello enterprise (SIEM, SOAR, Threat Intelligence feed) che singolarmente non potrebbero permettersi. Inoltre, centralizzare i log di sicurezza permette una visibilità trasversale: un attacco rilevato su una piccola ASL diventa immediatamente un indicatore di compromissione (IoC) utile a proteggere la Regione e gli altri enti collegati.

I servizi a valore aggiunto: consulenza e audit

Oltre al monitoraggio, lo CSIRT si configura come un Advisor Tecnico per la Pubblica Amministrazione locale. La complessità normativa introdotta dalla NIS2 richiede un supporto costante che vada oltre l’installazione di antivirus.

Il catalogo dei servizi regionali si espande quindi verso:

  • Consulenza agli acquisti e aggregazione della domanda: grazie alla presenza della società in-house nello CSIRT, è possibile aggregare i fabbisogni di più Enti, garantendo economie di scala e un’omogeneità tecnologica che ne facilita enormemente la gestione. Con la sua natura di Centro di Competenza, lo CSIRT-Umbria può supportare le amministrazioni non solo nelle scelte tecnologiche, ma anche nella definizione di clausole contrattuali in ottica security by design, rinforzando il controllo sui fornitori e sull’intera catena di approvvigionamento (supply chain).
  • Formazione e Ethical Phishing: per testare la resilienza del fattore umano e tecnico, vengono erogati servizi di simulazione di attacco. Campagne periodiche di phishing simulato educano i dipendenti su piattaforme comuni, uniformando competenze e buone pratiche.
  • Supporto alla compliance: audit periodici e vulnerability assessment aiutano gli enti a mantenere la conformità normativa, trasformando la compliance da adempimento burocratico a processo di miglioramento continuo. Avere la possibilità di un unico accordo quadro a livello regionale con una società di consulenza, permette di erogare servizi di elevato valore per tutti e di standardizzare i documenti e le procedure operative degli Enti del territorio.

La sfida dell’Intelligenza Artificiale: uniti o perdenti

Un elemento cruciale per il futuro della cybersicurezza riguarda l’impatto dell’Intelligenza Artificiale. L’IA possiede infatti una doppia faccia: è uno strumento potentissimo nelle mani degli attaccanti, capace di automatizzare le intrusioni e creare malware polimorfici, ma è anche un alleato indispensabile per la difesa.

Tuttavia, l’efficacia dei sistemi di difesa basati su IA dipende interamente dal volume di dati di qualità disponibili per l’addestramento e l’analisi.

Nell’era dei Big Data, la frammentazione è sinonimo di sconfitta. Un piccolo comune che acquista autonomamente una soluzione di IA per la sicurezza disporrà di uno strumento “miope”, limitato ai pochi dati del proprio perimetro. Al contrario, un CSIRT e un SOC regionale in grado di aggregare i flussi di dati di un’intera regione fornisce all’IA la profondità necessaria per individuare correlazioni complesse e pattern di attacco predittivi.

Centralizzare gli investimenti in IA significa evitare la dispersione di fondi pubblici in mille rivoli inefficaci e concentrare le risorse su sistemi robusti, capaci di evolvere alla stessa velocità delle minacce. Questo impegno nella ricerca e nell’innovazione non può essere fatto a livello di singolo Ente ma una struttura come uno CSIRT regionale, un Centro di Competenza, può invece assicurare.

Sussidiarietà e valore pubblico

L’obiettivo di trasformare lo CSIRT da centro servizi a centro di competenza maggior valore pubblico per il territorio, permette di estendere la protezione anche agli enti non soggetti alla normativa NIS2, come i piccoli comuni o le agenzie regionali minori e in un futuro anche alle imprese, in una logica di sussidiarietà e di cooperazione.

Il ruolo di coordinamento e indirizzo tecnologico per più Enti, il rapporto con l’Università per attrarre talenti, gli investimenti in Open Source per la sovranità digitale, la creazione di un hub che dialoga con istituzioni nazionali e autorità regolatorie, la formazione estesa alla cittadinanza per la prevenzione dei crimini informatici, sono tasselli di un’unica visione. La cybersicurezza non deve essere vista come un costo o come semplice compliance normativa, ma come un fattore abilitante. Non c’è trasformazione digitale senza cybersicurezza.

Lo CSIRT-Umbria vuole diventare uno spazio in cui mettere a fattor comune esperienze e competenze, per crescere insieme e non lasciare indietro nessuno.

Bibliografia

https://www.acn.gov.it/portale/csirt-italia
https://digital-strategy.ec.europa.eu/en/news/commission-opens-call-evidence-open-source-digital-ecosystems
https://csirtsnetwork.eu/
https://csirt.regione.umbria.it/
https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32022L2555
DGR Regione Umbria 1098 del 29/10/2025 – “Istituzione del Computer Security Incident Response Team (CSIRT) regionale”
https://www.commissariatodips.it/notizie/articolo/sottoscritto-a-perugia-il-protocollo-dintesa-tra-il-cosc-polizia-postale-umbria-e-csirt-regione-umb/index.html
https://www.regione.umbria.it/notizie/-/asset_publisher/54m7RxsCDsHr/content/sottoscritto-il-protocollo-d-intesa-tra-il-cosc-polizia-postale-umbria-e-csirt-regione-umbria-per-la-prevenzione-e-il-contrasto-dei-crimini-informatic?read_more=true
https://www.regioni.it/materie/innovazione-tecnologica/

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

C
Daniele Chiappini
Assessorato alla programmazione fondi europei, al bilancio, al patrimonio, al personale, alla cultura, all’agenda digitale
C
Giacomo Chiodini
Capo segreteria Assessorato alla programmazione fondi europei, al bilancio, al patrimonio, al personale, alla cultura, all’agenda digitale
M
Mirco Marcagnani
Responsabile Sezione Cybersecurity
Seguimi su
M
Marco Mencacci

Dirigente infrastrutture digitali e cybersicurezza presso Regione Umbria

Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

InnovAttori

Vedi tutti gli approfondimenti >

Articoli correlati

  • difesa cybersecurity

  • guerra intelligentizzata

    Guerra con l'IA: la strategia cinese per vincere senza combattere

    11 Set 2025

    di Antonio Teti

    Condividi
  • data act (1)

  • trattamento dati

    Data Act: la guida pratica per capirlo e applicarlo

    22 Set 2025

    di Diego Fulco

    Condividi
  • cavi sottomarini Giappone

  • infrastrutture critiche

    Cavi sottomarini e porti strategici, la deterrenza passa dalle reti

    30 Mar 2026

    di Vincenzo E. M. Giardino

    Condividi
0
Lascia un commento, la tua opinione conta.x