Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

sicurezza informatica

Laboratori Accreditati di Prova: così l’Italia costruisce il suo scudo cyber con il PNRR

Home Sicurezza digitale
Partecipa al dibattito
Indirizzo copiato

I Laboratori Accreditati di Prova (LAP) supportano ACN e CVCN nei test di sicurezza su software, apparati e reti per infrastrutture critiche. Con ISO/IEC 17025 e fondi PNRR, aiutano le aziende NIS2 a dimostrare conformità e conquistare fiducia e mercati

Aggiornato il 3 mar 2026
Giancarlo Di Lieto

Director of Cyber Security presso NeverHack IT

incidenti nis2
AI Questions Icon
Chiedi allʼAI Nextwork360
Riassumi questo articolo
Approfondisci con altre fonti

Con l’entrata in piena operatività della direttiva direttiva NIS2 e le scadenze del 2026 alle porte, i Laboratori Accreditati di Prova (LAP) si affermano come infrastruttura strategica per la sicurezza digitale italiana. Accreditati da ACN e operativi a supporto del loro CVCN, i LAP testano tecnologie e sistemi destinati alle infrastrutture critiche nazionali, garantendo riservatezza, imparzialità e competenza certificata ISO/IEC 17025.

Analizziamo il quadro normativo — dalla Legge 133/2019 al recepimento della NIS2 con il D.Lgs. 138/2024 — e il ruolo dei fondi PNRR nella creazione della rete nazionale dei laboratori.

I LAP: perché oggi fanno davvero la differenza nella cybersicurezza

La cybersicurezza non è più un tema confinato ai reparti IT. È diventata una questione di tenuta sistemica che riguarda servizi essenziali — dall’energia alla sanità, dalle telecomunicazioni alla finanza — e che interessa direttamente aziende, enti pubblici e cittadini. Con la Legge 133/2019, l’Italia ha istituito il Perimetro di Sicurezza Nazionale Cibernetica (PSNC), introducendo un quadro di regole stringenti per tutti i soggetti che erogano servizi critici. All’interno di questa architettura, un ruolo centrale è oggi svolto dai Laboratori Accreditati di Prova (LAP), strutture riconosciute dall’Agenzia per la Cybersicurezza Nazionale (ACN) come pilastri operativi dello scrutinio tecnologico nazionale.

Cosa sono i LAP e perché esistono

I LAP sono laboratori accreditati dal Centro di Valutazione e Certificazione Nazionale (CVCN) — Organismo di Certificazione in seno ad ACN — con la missione di testare la sicurezza di apparati elettronici, software e componenti di rete utilizzati per l’erogazione di servizi critici dai soggetti inclusi nel PSNC . In pratica, funzionano come “banchi di collaudo” della sicurezza digitale: mettono sistemi e tecnologie sotto stress, simulando scenari di attacco reali — dai DDoS alle verifiche di robustezza crittografica — per individuare vulnerabilità prima che possano essere sfruttate.

La loro creazione non è casuale, ma risponde a un disegno strategico nazionale. Come dichiarato dall’Ammiraglio Andrea Billet, Direttore del CVCN, “la creazione di una rete di laboratori a supporto delle attività del CVCN è un’iniziativa strategica, supportata da fondi appositi del PNRR e da specifici obiettivi di attuazione. I LAP fanno parte del più ampio meccanismo di scrutinio tecnologico attuato dall’Agenzia”. Il processo di accreditamento è particolarmente rigoroso e coinvolge anche referenti del Ministero della Difesa e dell’Interno.

Il LAP di Neverhack Italia: un caso concreto finanziato dal PNRR

Tra i laboratori accreditati figura il LAP di Neverhack Italy (già Innovery SpA), un progetto nato nell’ambito del PNRR M1C1 – Investimento 1.5 “Cybersecurity”, finanziato con fondi europei Next Generation EU per un importo complessivo di 225.000 euro . Il laboratorio svolge attività di continuous technological assessment and testing della sicurezza di apparati e applicazioni utilizzati dai soggetti inclusi nel Perimetro Nazionale, affiancando il CVCN nei casi che quest’ultimo ritiene delegabili.

Neverhack, gruppo internazionale di cybersecurity con oltre 1.100 esperti distribuiti in 12 Paesi e un Global SOC operativo su 3 continenti, porta all’interno del sistema dei LAP un’esperienza maturata sia nel mondo della consulenza che in quello della ricerca applicata, offrendo un esempio concreto di raccordo tra settore privato e interesse pubblico.

L’accreditamento come LAP implica aver superato audit rigorosi, dimostrando una maturità organizzativa e operativa superiore alla media di mercato, che abilita formalmente a validare la sicurezza degli asset ICT destinati al PSNC. Neverhack dispone anche di un CERT accreditato dal FIRST e dal Trusted Introducer, le principali organizzazioni internazionali dei CERT, il che le permette di unire la capacità di reazione e cooperazione internazionale sugli incidenti, con quella di prevenzione e certificazione, coprendo l’intero ciclo di vita della sicurezza.

NIS2: il 2026 è l’anno della svolta operativa

Il contesto in cui operano i LAP è reso ancora più rilevante dall’entrata in piena operatività della direttiva europea NIS2, recepita in Italia con il D.Lgs. 138/2024. Il 2026 segna il passaggio dalla fase di inquadramento normativo all’implementazione concreta degli obblighi. Le tappe principali sono:

  • Gennaio 2026: avvio della fase operativa con obbligo di notifica degli incidenti significativi — preallerta entro 24 ore, notifica completa entro 72 ore, relazione finale entro un mese.
  • Febbraio-settembre 2026: pubblicazione progressiva delle linee guida settoriali da parte dell’ACN.
  • Entro il 31 ottobre 2026: le misure di sicurezza di base devono essere implementate e operative — 37 misure per i soggetti importanti, 43 per quelli essenziali.

La NIS2 estende significativamente il perimetro dei soggetti coinvolti: non solo grandi infrastrutture, ma anche medie imprese che operano in energia, trasporti, sanità, farmaceutica, finanza, telecomunicazioni e gestione di servizi pubblici come acqua e rifiuti. Quando uno di questi soggetti adotta sistemi ICT considerati critici, entra in gioco il meccanismo di valutazione del CVCN — e con esso il ruolo dei LAP.

Tre principi fondamentali: riservatezza, imparzialità, competenza

Il valore dei LAP non si esaurisce nella capacità tecnica. Il loro funzionamento poggia su tre pilastri:[1]

  1. Riservatezza: i dati trattati — codici sorgente, architetture di rete, piani infrastrutturali — sono estremamente sensibili e vengono gestiti con standard di protezione comparabili a quelli del segreto militare.
  2. Imparzialità: i LAP devono poter dichiarare un sistema non conforme indipendentemente da pressioni politiche o commerciali. È una garanzia di credibilità dell’intero sistema.
  3. Rigore scientifico: lo standard ISO/IEC 17025 definisce i requisiti per la conduzione delle prove, il trattamento dei risultati e la manutenzione degli strumenti, assicurando che ogni valutazione sia riproducibile e scientificamente fondata.

Oltre la compliance: un vantaggio competitivo per le imprese

Sottoporre i propri prodotti e sistemi al vaglio di un LAP può apparire inizialmente come un onere. In realtà, il superamento di test di penetrazione, prove di resistenza crittografica e simulazioni di attacco rappresenta un differenziale competitivo misurabile. Un prodotto certificato attraverso il CVCN non solo garantisce la conformità normativa, ma apre l’accesso a mercati regolamentati e appalti pubblici in cui la fiducia verificata è un prerequisito.

In un contesto in cui l’ACN ha approvato nel 2025 il Piano per l’industria cyber nazionale (Misura #51 della Strategia Nazionale di Cybersicurezza 2022-2026), definendo azioni e fonti di finanziamento per la crescita delle imprese nel settore, collaborare con un LAP significa anche inserirsi in un ecosistema strategico riconosciuto a livello istituzionale.

Un contributo alla resilienza del sistema Paese

I Laboratori Accreditati di Prova non sono centri tecnici isolati: sono nodi di un’infrastruttura nazionale che connette innovazione tecnologica, responsabilità istituzionale e fiducia digitale. La loro funzione è rendere concreta e verificabile la protezione dei servizi da cui dipende la vita quotidiana di milioni di persone.

Investire in queste strutture — come ha fatto Neverhack Italia — significa contribuire a un obiettivo che supera i confini aziendali: rendere l’Italia e l’Europa meno vulnerabili alle minacce cibernetiche, in un momento storico in cui la sicurezza digitale non è più un’opzione, ma una condizione necessaria per la competitività e la sovranità tecnologica del Paese.

Originariamente pubblicato il 2 mar 2026
@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

D
Giancarlo Di Lieto
Director of Cyber Security presso NeverHack IT

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

InnovAttori

Vedi tutti gli approfondimenti >

Articoli correlati

  • difesa comune europea difesa sostenibile europea democaryic use War game e GenAI competenze difesa europea

  • scenari

    Difesa comune europea: ostacoli politici e nuovi approcci finanziari

    08 Apr 2025

    di Antonio Picasso

    Condividi
  • graphite giornalisti spiati; Intelligence bando

  • spyware

    Giornalisti spiati con Graphite: ecco la prova definitiva. Urgente pensare a soluzioni

    13 Giu 2025

    di Tommaso Diddi, Luisa Franchina e Alessandro Longo

    Condividi
  • great firewall china (1)

  • privacy e libertà

    Cina, la sorveglianza su internet è completa: l'ID digitale universale è schiaffo all'Occidente

    09 Lug 2025

    di Gabriele Iuvinale e Nicola Iuvinale

    Condividi
0
Lascia un commento, la tua opinione conta.x