In un contesto di minacce crescenti e norme europee sempre più stringenti, lo schema EUCC si candida a diventare un tassello centrale delle strategie di cybersicurezza di imprese e pubbliche amministrazioni.
Indice degli argomenti
Schema EUCC e nuove sfide della cybersicurezza per le imprese italiane
La trasformazione digitale offre alle imprese nuove opportunità di crescita e innovazione, amplificando al contempo i rischi derivanti dai cyberattacchi. In un contesto geopolitico complesso, dove le tensioni internazionali influenzano inevitabilmente la natura e la frequenza delle minacce cibernetiche, diventa essenziale adottare politiche di sicurezza solide ed efficaci.
Le certificazioni di cybersicurezza rappresentano uno strumento fondamentale per garantire affidabilità e qualità, ma la loro diffusione è ancora limitata: pesano i costi elevati, i tempi lunghi per ottenerle e un riconoscimento non ancora pienamente consolidato del valore aggiunto che prodotti e servizi certificati possono offrire. In questo scenario, dal 26 febbraio 2026 lo schema europeo EUCC potrebbe segnare un punto di svolta, favorendo l’adozione di standard comuni e contribuendo a una gestione della sicurezza più matura e condivisa. Perché ciò avvenga, però, è necessario colmare il gap di conoscenza che ancora persiste in ambito nazionale e rendere più familiare questo nuovo strumento alle imprese e agli operatori del settore.
Sono questi alcuni dei temi approfonditi dall’Istituto per la Competitività (I-Com) nell’ultima edizione del Rapporto annuale sulla Cibersicurezza, presentato lo scorso 2 dicembre presso la Camera dei Deputati.
Come le imprese italiane percepiscono il quadro di cybersicurezza
Per verificare la percezione delle imprese operanti in Italia rispetto al quadro regolatorio europeo e nazionale in materia di cybersicurezza, I-Com ha riproposto e aggiornato un’indagine campionaria, avvalendosi anche del sostegno di alcune delle principali associazioni di categoria, che in questa edizione ha coinvolto 86 imprese appartenenti a vari settori: utilities (acqua, rifiuti ed energia), trasporti, TLC/digitale, ecc.
Considerando gli argomenti trattati, l’analisi delle rispettive risposte è stato suddivisa in tre macro sezioni: (a) compliance, risorse e investimenti; (b) il ruolo della certificazione; (c) il quadro regolatorio a livello nazionale
Compliance cyber, costi e competenze verso lo schema EUCC
L’analisi condotta da I-Com ha cercato innanzitutto di comprendere gli effetti delle prescrizioni normative in ambito cyber sulla competitività delle aziende italiane. Le principali criticità cambiano notevolmente a seconda della dimensione: per le grandi imprese sono legate maggiormente agli investimenti tecnico-organizzativi necessari alla compliance, mentre l’opzione selezionata maggiormente da quelle di medie e piccole dimensioni riguarda la numerosità degli oneri burocratici e amministrativi richiesti. Altri due motivi ricorrenti tra i rispondenti si rivedono nella preoccupazione circa l’innalzamento delle barriere all’ingresso, soprattutto per le PMI e l’impatto sui rapporti con la supply chain.
Successivamente, è stato chiesto alle imprese di indicare nello specifico i fattori che rendono più difficoltosa la compliance rispetto alle norme in materia di cybersecurity ed è emerso che ciò sarebbe dovuto alla moltiplicazione – a volte disorganica – di prescrizioni che impongono adempimenti diversi, ma che sono tese al raggiungimento del medesimo obiettivo, seguita dalla mancanza di competenze idonee sia internamente, sia sul mercato del lavoro e dall’incertezza interpretativa della normativa. Non sorprende che l’opzione più selezionata dalle piccole imprese riguardi proprio la mancanza di competenze. Nella voce “Altro” è interessante osservare come venga annoverata più volte la carenza di risorse per indirizzare efficacemente l’effort dei livelli apicali dell’organizzazione.
Considerando l’aggravarsi dello scenario, sia in termini numerici che di impatto, circa le attività malevole a danno delle infrastrutture critiche anche in Italia, nonché dei maggiori adempimenti previsti – tra le altre – da NIS2 e CER, è stato chiesto alle aziende partecipanti di fornire indicazioni su un eventuale incremento delle risorse destinate alla cybersecurity. Se da un lato si osserva che il 51% dei rispondenti ha deciso di procedere a un aumento delle risorse destinate alla cybersicurezza, anche in virtù degli sviluppi inerenti alla regolamentazione di settore, dall’altro è pur vero che un corposo 37% – che comprende ben 18 grandi imprese e 9 PMI – sta ancora valutando questa eventualità. Peraltro, un ulteriore 12% ha già deciso di non procedere ad alcun incremento.
Il ruolo della certificazione e l’arrivo dello schema EUCC
La certificazione in materia di cybersicurezza continua a essere una componente essenziale per garantire un livello di protezione adeguato e coerente rispetto alle sfide del cyberspazio. Peraltro, come anticipato, i primi mesi del prossimo anno costituiranno certamente un momento fondamentale sia sul piano europeo che nazionale per una serie di motivi connessi agli sviluppi della regolamentazione applicabile, tra cui la revisione del Cybersecurity Act (CSA) e la sostituzione degli schemi nazionali con gli EUCC. Pertanto, una parte consistente dell’indagine I-Com è stata dedicata ad approfondire vari aspetti in quest’ambito.
In merito alla conoscenza delle principali certificazioni di cybersecurity è risultato come la quasi totalità dei rispondenti abbia contezza della ISO 27001 (98%), a cui seguono tutte le altre con un importante distacco: IEC 62443 (46%), PCI DSS (38%) e CSA STAR (35%). Viceversa, in coda si trovano i Common Criteria (28%) e gli EUCC (23%). È interessante notare come solo il 18% delle grandi imprese abbia conoscenza dello schema EUCC, nonostante sia pressoché imminente la sostituzione dei sistemi nazionali di certificazione della cybersicurezza con il nuovo sistema EUCC (entro il 26 febbraio 2026). Il valore è ancora più basso tra le medie (15%), mentre è leggermente più alto tra le piccole (19%).
Allo stesso tempo è emerso che, indipendentemente dal fatto che l’impresa abbia adottato o intenda adottare una certificazione di cybersicurezza, il 74% dei rispondenti è parzialmente o totalmente d’accordo in merito al fatto che standard comunitari – come gli EUCC – possono incentivare il ricorso a tali strumenti. Appare interessante segnalare che le imprese silenti sul tema corrispondono al 17% dei rispondenti. Ciò sembra avvalorare quanto si è detto anche in apertura: c’è bisogno di maggiore consapevolezza sulle caratteristiche e i benefici dello schema EUCC.
In seguito, è stato richiesto di dichiarare il peso della certificazione di cybersecurity nei documenti di gara ed è apparso che oltre i due terzi dei rispondenti la contemplano in diverse forme: il 26% la considera un requisito importante, seppur non obbligatorio, il 23% la richiede e la valuta allo stesso livello degli altri elementi di cybersicurezza e un ulteriore 21% la prevede come requisito obbligatorio per la partecipazione alla gara.
Di contro, il 21% non la utilizza ancora nei propri documenti ma lo sta valutando, mentre solo una quota residuale dichiara che non si tratta di un elemento che si intende prendere in considerazione (4%).
Legge 90/2024, DPCM 30 aprile 2025 e test CVCN: cosa cambia
In relazione alla disciplina attuativa della legge n. 90/2024, con particolare riferimento agli aspetti di compliance o di adattamento strategico su cui le aziende stanno lavorando, dall’ultima edizione dell’indagine I-Com è risultato che l’attenzione si sta concentrando sulla verifica e l’implementazione degli “elementi essenziali di cybersicurezza” nelle categorie tecnologiche indicate dal DPCM 30 aprile 2025 e successive modificazioni (45% dei rispondenti). Seguono la revisione e valutazione della supply chain nei casi in cui si applicano i criteri premiali (36%) e la ridefinizione di ruoli, processi e responsabilità per far fronte ai nuovi obblighi (33%).
Una quota comunque rilevante, pari al 30%, dichiara inoltre di star richiedendo supporto a consulenti legali esterni. In quest’ultimo caso è opportuno sottolineare che la quota è decisamente più bassa per le grandi imprese rispondenti (19% delle stesse), mentre aumenta al 25% tra le piccole e addirittura al 38% per quelle di medie dimensioni, costituendo l’opzione maggiormente selezionata da questa classe di imprese.
Inoltre, è stato chiesto alle imprese di esprimere la proprio opinione rispetto ai test prescritti dal CVCN sui beni, sistemi e servizi ICT di rispettiva pertinenza. Ebbene, secondo il 21% dei rispondenti non si rilevano particolari criticità in tal senso, mentre il 26% non ha espresso un’opinione in merito.
La restante quota di feedback pervenuti evidenzia, invece, alcune problematiche: il 30% ritiene che l’esecuzione di frequenti test, che allungano i tempi e incrementano i costi, possa disincentivare l’acquisto di “beni ICT” di ultima generazione; il 27% conviene che la necessità di esaminare tali beni ICT nel relativo ambiente operativo determini la ripetizione di test sui medesimi oggetti; il 24% si preoccupa che la parziale incertezza sulle attività di valutazione possa rappresentare un disincentivo dato il rischio reputazionale conseguente a un eventuale ko.
Alla voce “Altro” è stato segnalato che simili test dilazionano i tempi di approvvigionamento, con ripercussioni importanti sul business e sulla sicurezza dei prodotti, i quali si evolvono molto più rapidamente. Inoltre, è stato richiamata la necessità di procedere a un mutuo riconoscimento con procedure di test adottate in altri Stati Membri.
Schema EUCC, incentivi e formazione per rafforzare la cybersicurezza in Italia
Lo scenario che scaturisce dall’indagine I-Com impone una riflessione su come intervenire per risolvere le criticità riscontrate e su come migliorare lo stato della cybersicurezza in Italia. Procedendo dal particolare al generale, rispetto agli elementi per migliorare il quadro di certificazione della cybersecurity in Italia sono state evidenziate due priorità nette: la garanzia che il valore aggiunto dei prodotti o servizi certificati sia sostanzialmente riconosciuto – anche attraverso eventuali misure normative – indicata dal 66% dei rispondenti, nonché l’introduzione di agevolazioni fiscali o incentivi a supporto dell’assistenza esterna, segnalata dal 60%.
Seguono la riduzione dei costi associati al processo di certificazione, indicata dal 43%, e la riduzione dei tempi necessari per ottenere la certificazione, che raccoglie il 24% delle preferenze. Si segnala anche una maggiore chiarezza rispetto alla corrispondenza tra le certificazioni e gli standard europei e nazionali.
Incentivi, riconoscimento del valore e processi di certificazione
In particolare, tutte le classi convergono sulle prime due opzioni, ossia valorizzazione del prodotto certificato e incentivi/agevolazioni per assistenza esterna qualificata. Inoltre, le grandi imprese mostrano particolare attenzione per la prima opzione (56%), parimenti a quelle di medie dimensioni (62%), mentre le piccole aziende prediligono maggiormente la seconda (56%).
Pertanto, è auspicabile che la sostituzione – entro il 26 febbraio 2026 – degli schemi nazionali di certificazione in favore del sistema EUCC possa stimolare e incentivare in maniera decisa e sostanziale le organizzazioni e i laboratori nazionali a certificare un numero maggiore di prodotti e sistemi ICT, dato che tali standard puntano a garantire livelli di sicurezza elevati e un’adeguata snellezza dei processi di certificazione in termini di tempi di conseguimento dei certificati e di mantenimento degli stessi anche in seguito agli aggiornamenti software, consentendo di affrontare in maniera più efficace la dinamicità tipica della minaccia cibernetica.
Oltre al discorso certificazioni, l’80% dei rispondenti ritiene che si debba puntare sulla consapevolezza e sulla formazione del personale in maniera diversificata per ruolo e competenze. Tale opzione si è rivelata la più selezionata dalle medie e grandi imprese, a conferma del fatto che si tratta di un aspetto particolarmente sentito a livello aziendale.
Tra le piccole, invece, prevale leggermente la necessità di riservare più aiuti finanziari per stimolare gli investimenti in cybersecurity, che in ogni caso è la seconda opzione guardando anche alle altre due classi dimensionali (62% del campione considerato). Una quota piuttosto rilevante, pari al 50%, ritiene che ci si debba focalizzare sugli obblighi imposti alle imprese dalle normative di riferimento, privilegiando quelli muniti di maggior efficacia, come pure sul rafforzamento della collaborazione pubblico-privata sin dalle prime fasi del processo normativo (32%).
Formazione, competenze digitali e fattore umano nella cybersicurezza
In definitiva, il fattore umano rimane un elemento centrale nel panorama della cybersicurezza. In particolare, la diffusione delle competenze digitali e della cultura della cybersecurity rappresenta oggi un nodo cruciale per la competitività del Paese e per la sicurezza dei cittadini. L’Italia, ancora in ritardo rispetto alla media europea, mostra livelli insufficienti di alfabetizzazione digitale, una condizione che accresce la vulnerabilità alle minacce informatiche proprio in un contesto in cui il cybercrime e le attività state-sponsored evolvono rapidamente anche grazie all’impiego dei sistemi di intelligenza artificiale
