La gestione degli incidenti di sicurezza informatica è una priorità imprescindibile per le pubbliche amministrazioni italiane. Con la pubblicazione delle Linee Guida CAD, l’Agenzia per la Cybersicurezza Nazionale fornisce finalmente un quadro strutturato che interessa l’intera platea degli enti pubblici, ben oltre il perimetro ristretto della NIS2.
Indice degli argomenti
Un quadro normativo che colma il vuoto operativo
Il 30 ottobre 2025, con il Decreto del Direttore Generale n. 344695, l’ACN ha emanato le “Linee Guida CAD – Definizione dei processi e delle procedure per la gestione degli incidenti di sicurezza informatica“.
Il documento dà attuazione a quanto previsto dal Piano Triennale per l’informatica nella PA 2024-2026, che nell’ambito dell’Obiettivo 7.1 stabiliva come target per il 2025 l’approvazione e la diffusione dei processi e delle procedure inerenti alla gestione interna della cybersicurezza.
La base giuridica è l’articolo 14-bis, comma 2, lettera b) del CAD, che attribuisce all’Agenzia il compito di fornire linee guida in materia di sicurezza informatica per i soggetti pubblici. È un passaggio significativo perché colma un vuoto: fino ad oggi le indicazioni operative sulla gestione degli incidenti erano disperse tra circolari AgID datate, standard internazionali e prassi variamente interpretate.
Una platea ampia: tutti i soggetti CAD coinvolti
Il documento si rivolge ai soggetti di cui all’articolo 2, comma 2 del CAD, una platea ampia che comprende le pubbliche amministrazioni di cui al decreto legislativo 165/2001, i gestori di servizi pubblici (comprese le società quotate, limitatamente ai servizi di pubblico interesse) e le società a controllo pubblico ai sensi del decreto legislativo 175/2016.
Parliamo quindi di migliaia di enti che fino ad oggi non rientravano nei perimetri più stringenti della NIS2 o della Legge 90/2024: comuni sotto i centomila abitanti, ordini professionali, enti pubblici minori, aziende sanitarie locali, fondazioni. Soggetti che spesso dispongono di risorse limitate e competenze tecniche non specializzate, ma che trattano quotidianamente dati dei cittadini e devono garantire la continuità dei servizi.
Il modello in cinque fasi: dalla preparazione al miglioramento
Le Linee Guida adottano un modello di processo per la gestione degli incidenti allineato al NIST SP 800-61r3 e al Framework Nazionale per la Cybersecurity e la Data Protection. La struttura si articola in cinque fasi principali.
Preparazione e rilevamento: le fondamenta del processo
La preparazione comprende le attività propedeutiche: definizione di politiche, assegnazione di ruoli e responsabilità, censimento dei sistemi informativi, predisposizione delle misure di protezione. È la fase che richiede il maggior investimento iniziale in termini organizzativi, perché implica scelte di governance che devono essere formalizzate e approvate dagli organi direttivi.
Il rilevamento riguarda l’identificazione tempestiva degli eventi anomali attraverso strumenti di monitoraggio, la correlazione degli alert e la discriminazione tra falsi positivi e incidenti reali. È una capacità che molti enti delegano a fornitori esterni, ma che richiede comunque una supervisione interna consapevole.
Risposta, ripristino e miglioramento continuo
La risposta include le attività di investigazione per comprendere natura ed estensione dell’incidente, le eventuali notifiche alle autorità competenti, il contenimento per limitare i danni e l’eradicazione della minaccia dai sistemi.
Il ripristino riguarda il ritorno alla normalità operativa: riattivazione dei servizi, verifica dell’integrità dei sistemi, validazione del corretto funzionamento.
Il miglioramento chiude il ciclo con l’analisi post-incidente, l’identificazione delle lezioni apprese e l’aggiornamento di politiche e procedure.
Strumenti operativi: playbook e mappature con il Framework Nazionale
Il documento non si limita a descrivere il modello teorico. Nelle appendici fornisce un elenco delle attività e delle procedure associate a ciascuna fase, che le organizzazioni possono utilizzare come riferimento per costruire il proprio piano di gestione degli incidenti. Sono inclusi anche esempi di playbook, documenti operativi che guidano la risposta a specifiche tipologie di attacco come il password spray o il ransomware.
Un aspetto rilevante è l’allineamento esplicito con il Framework Nazionale per la Cybersecurity: le attività delle varie fasi sono mappate sulle categorie e sottocategorie del Framework, facilitando l’integrazione con eventuali assessment già condotti secondo quello schema.
Il coordinamento con NIS2, GDPR e normativa cyber
Le Linee Guida CAD si collocano in un quadro normativo articolato che è opportuno richiamare per comprenderne la portata.
Per i soggetti che rientrano nel perimetro della NIS2 (D.Lgs. 138/2024) esistono già obblighi specifici e stringenti in materia di gestione degli incidenti, con tempistiche di notifica definite e requisiti dettagliati. Per questi soggetti le Linee Guida CAD rappresentano un documento complementare, utile ma non sostitutivo della disciplina di settore.
Per tutti gli altri soggetti CAD che non rientrano nei perimetri NIS2 o Legge 90/2024 – la maggior parte delle PA italiane – le Linee Guida costituiscono il riferimento principale per strutturare la propria capacità di gestione degli incidenti.
Va inoltre considerato che sul piano della protezione dei dati personali resta sempre applicabile il GDPR: in caso di violazione che coinvolga dati personali, gli obblighi di notifica al Garante Privacy e agli interessati si aggiungono a qualsiasi altro adempimento previsto dalla normativa cyber.
Il DDL Ransomware e gli sviluppi futuri
Il quadro potrebbe arricchirsi ulteriormente con l’approvazione del Disegno di Legge S. 1441, noto come “DDL Ransomware“, attualmente assegnato alla 1ª Commissione del Senato (Affari Costituzionali) dal 23 aprile 2025 ma il cui esame non è ancora iniziato.
Il DDL, d’iniziativa del Senatore Basso, prevede tra le altre cose un obbligo di notifica al CSIRT Italia entro sei ore dalla conoscenza di un attacco ransomware per tutti i soggetti pubblici e privati, requisiti minimi di cybersicurezza (autenticazione multifattore, backup regolari, antivirus aggiornati) e audit post-incidente obbligatori. Se approvato nella forma attuale, estenderebbe significativamente la platea dei soggetti con obblighi cogenti in materia di gestione degli incidenti.
Indipendentemente dall’esito dell’iter parlamentare, le Linee Guida CAD offrono fin da ora alle organizzazioni un framework per strutturare processi e procedure che sarebbero comunque necessari per rispondere efficacemente a un incidente, con o senza obblighi di notifica formali.
Dall’organizzazione alla pratica: il percorso di adeguamento
Cosa significa concretamente per un ente che deve adeguarsi? Il documento suggerisce un percorso che parte dalla definizione di politiche approvate dagli organi direttivi, passa per l’assegnazione formale di ruoli e responsabilità, prosegue con il censimento dei sistemi e l’implementazione di strumenti di monitoraggio adeguati al contesto, e si completa con la redazione di un piano di gestione degli incidenti che documenti il chi-fa-cosa nelle diverse fasi.
Non si tratta di investimenti tecnologici imponenti: le Linee Guida enfatizzano l’importanza della componente organizzativa e documentale. Un ente può avere strumenti di sicurezza adeguati ma trovarsi impreparato di fronte a un incidente se non ha definito in anticipo le responsabilità, le procedure di escalation, i canali di comunicazione interni ed esterni.
Il messaggio implicito è che la gestione degli incidenti non è solo una questione tecnica da delegare al fornitore IT, ma una capacità organizzativa che richiede governance, formazione e procedure condivise.
Un riferimento strutturato per tutte le PA italiane
Le Linee Guida CAD sulla gestione degli incidenti rappresentano il completamento di un percorso avviato con il Piano Triennale 2024-2026. Forniscono alle pubbliche amministrazioni italiane un riferimento strutturato per costruire o migliorare la propria capacità di risposta agli incidenti di sicurezza informatica.
L’approccio del documento è pragmatico: non impone soluzioni tecnologiche specifiche, ma indica un modello di processo che ogni organizzazione può declinare in base alle proprie dimensioni, risorse e profilo di rischio. L’allineamento con standard internazionali consolidati come il NIST e il Framework Nazionale garantisce coerenza con le best practice di settore.
Per le organizzazioni che non hanno ancora formalizzato processi e procedure in questo ambito, le Linee Guida offrono una roadmap operativa. Per quelle che hanno già intrapreso un percorso, rappresentano un’occasione per verificare l’allineamento del proprio modello con le indicazioni dell’Agenzia.
