- Presentato oggi alla Camera il Rapporto dell’Istituto per la Competitività (I-Com) nell’ambito dell’Osservatorio sulla Cibersicurezza.
- In Italia l’aumento degli adempimenti previsti dalle normative in materia di cybersicurezza può impattare in maniera significativa sulla competitività aziendale: a incidere sono principalmente gli investimenti tecnico-organizzativi necessari alla compliance nonché la molteplicità degli oneri burocratici e amministrativi richiesti.
- Dall’indagine condotta da I-Com emerge che la maggior parte delle imprese assegna tra il 3-5% del budget IT alla cybersecurity, solo una minima parte ne alloca più del 15%, mentre il 51% ha deciso di aumentare le risorse destinate alla sicurezza informatica e un corposo 37% sta ancora valutando un eventuale incremento.
- L’80% delle aziende ritiene che si debba puntare sulla consapevolezza e sulla formazione del personale in maniera diversificata per ruolo e competenze al fine di migliorare la cybersicurezza in Italia.
- I-Com ha svolto un’analisi sui contributi della consultazione pubblica avviata nel 2024 per valutare i possibili sviluppi della revisione del Cybersecurity Act con la prospettiva di introdurre modifiche il 20 gennaio 2026, dalla quale risulta un forte interesse, mostrato dal 48,9% del campione, per l’introduzione di misure di semplificazione, così come il rifiuto, espresso dal 65,5%, di fattori non tecnici e, al contrario, un maggiore focus su elementi tecnici verificabili e certificazioni.
- Cresce l’interesse per le tematiche di cybersicurezza da parte degli atenei con 807 tra corsi e insegnamenti specifici nell’anno accademico 2025/2026, in aumento rispetto ai 774 dell’anno precedente (+4%), concentrati soprattutto nel Lazio (208 tra corsi e singoli insegnamenti), Lombardia (120) e Campania (65).
Roma, 2 dicembre 2025 – In Italia gli adempimenti previsti dalle normative in materia di cybersicurezza possono impattare in maniera significativa sulla competitività aziendale: a incidere sono principalmente gli investimenti tecnico-organizzativi necessari alla compliance nonché la molteplicità degli oneri burocratici e amministrativi richiesti, oltre che l’innalzamento delle barriere all’ingresso. La maggior parte delle imprese assegna tra il 3-5% del budget IT alla cybersecurity, solo una minima parte ne alloca più del 15%, mentre il 51% ha deciso di aumentare le risorse destinate alla sicurezza informatica e un 37% sta ancora valutando un eventuale incremento. Ad ostacolare il processo di compliance sono la mancanza di competenze idonee, sia interne che sul mercato del lavoro, seguita dalla moltiplicazione di prescrizioni che impongono adempimenti diversi, tanto che l’80% delle aziende ritiene che si debba puntare sulla consapevolezza e sulla formazione del personale in maniera diversificata per ruolo e competenze. Proprio sul piano dell’offerta formativa si osserva nel territorio nazionale un crescente interesse per queste tematiche da parte degli atenei, con 807 tra corsi e insegnamenti relativi alla cybersicurezza nell’anno accademico 2025/2026, in aumento del 4% rispetto ai 774 dell’anno precedente.
Sono questi alcuni dei principali elementi che emergono dal Rapporto “Verso una cybersicurezza a portata di competitività. Le sfide della sicurezza informatica tra innovazione, semplificazione e nuove regole” realizzato dall’Istituto per la Competitività (I-Com) e presentato in occasione del convegno pubblico annuale che si è tenuto oggi alla Camera dei Deputati presso la Sala del Refettorio nell’ambito delle attività dell’Osservatorio I-Com sulla Cibersicurezza e al quale hanno partecipato numerosi tra esperti della materia, rappresentanti delle associazioni e delle istituzioni. Lo studio, curato dal presidente I-Com Stefano da Empoli insieme alla vicepresidente I-Com Silvia Compagnucci e al direttore Area Digitale I-Com Alessandro D’Amato, fornisce una panoramica sullo stato dell’arte della cybersicurezza in Italia e in Europa sotto molteplici punti di vista, tra i quali figurano le strategie normative a livello italiano ed europeo, il grado di sicurezza e gli attacchi subiti da aziende e istituzioni pubbliche, i sistemi di certificazione e la consapevolezza di aziende e cittadini.
I-Com ha riproposto e aggiornato un’indagine già effettuata lo scorso anno con l’obiettivo di verificare la rispondenza applicativa del quadro regolatorio europeo e nazionale in materia di cybersecurity, coinvolgendo imprese appartenenti a vari settori e avvalendosi anche del sostegno di alcune delle principali associazioni di categoria.
In particolare, tra gli adempimenti prescritti dalle normative in materia di cybersicurezza che possono impattare sulla competitività aziendale, per la maggior parte delle grandi imprese la principale criticità è legata agli investimenti tecnico-organizzativi necessari alla compliance, mentre l’opzione selezionata maggiormente da quelle di medie e piccole dimensioni riguarda la numerosità degli oneri burocratici e amministrativi richiesti. Altri aspetti ricorrenti sono la preoccupazione per l’innalzamento delle barriere all’ingresso, in particolare per le PMI, nonché la molteplicità degli oneri burocratici e l’impatto sui rapporti con la supply chain.
Tra i fattori che rendono più difficoltosa la compliance rispetto alle norme in materia di cybersecurity si segnalano principalmente la moltiplicazione, a volte disorganica, di prescrizioni che impongono adempimenti diversi, seguita dalla mancanza di competenze idonee internamente e sul mercato del lavoro.
Altro dato fondamentale riguarda gli investimenti dedicati alla cybersicurezza per i quali la maggior parte delle imprese assegna tra il 3-5% del budget IT alla cybersecurity, mentre solo una minima parte ne alloca più del 15%. Rispetto a un eventuale incremento delle risorse destinate alla cybersecurity il 51% delle aziende ha deciso di aumentare gli investimenti cybersicurezza, ma un corposo 37% sta ancora valutando tale possibilità. Con riferimento alle modalità con cui poter migliorare i livelli di sicurezza informatica, l’80% delle imprese ritiene che si debba puntare sulla consapevolezza e sulla formazione del personale in maniera diversificata per ruolo e competenze.
Indipendentemente dal fatto che l’impresa abbia adottato o intenda adottare una certificazione di cybersicurezza, il 74% delle aziende è d’accordo in merito al fatto che standard comunitari – come gli European Common Criteria-based cybersecurity certification scheme (EUCC) – possono incentivare le imprese a certificarsi. Rispetto al dibattito su mandatorietà o volontarietà di questi strumenti, il 37% delle imprese non ha ancora definito una posizione sul tema e un ulteriore 28% non si è ancora confrontato internamente, mentre tra quelle che hanno maturato un orientamento prevale l’approccio volontario indicato dal 25% rispetto a quello mandatorio scelto dal 10% delle aziende.
Quanto al miglioramento del quadro della certificazione di cybersecurity in Italia sono state evidenziate due priorità nette: la garanzia che il valore aggiunto dei prodotti o servizi certificati sia sostanzialmente riconosciuto – anche attraverso eventuali misure normative – indicata dal 66% delle imprese, nonché l’introduzione di agevolazioni fiscali o incentivi a supporto dell’assistenza esterna segnalata dal 60%.
Sul versante normativo, il regolamento n. 881/2019, noto come Cybersecurity Act (CSA), rappresenta uno dei primi interventi organici dell’Unione europea in tema di cybersicurezza dopo la direttiva NIS del 2016, con l’obiettivo di garantire un buon funzionamento del mercato interno assicurando elevati livelli di cybersicurezza, resilienza e fiducia. Nel 2024 è stata avviata una consultazione pubblica sulla revisione del regolamento con la prospettiva di introdurre modifiche entro il 20 gennaio 2026. Per valutare i possibili sviluppi della revisione del CSA, l’Istituto per la Competitività ha svolto un’analisi sui contributi legati alla consultazione pubblica (su 99 ritenuti validi e coerenti), dalla quale risulta che il 76,1% dei partecipanti preferisce un intervento normativo mirato, cioè una modifica del CSA tramite strumenti legislativi, mentre una eventuale abrogazione e sostituzione del CSA con un quadro normativo di più ampio respiro è l’opzione meno selezionata con un 4,2% di preferenze. Molto interessante il forte interesse, mostrato da ben il 48,9% del campione, per l’introduzione di misure di semplificazione (positivamente soddisfatte, a posteriori, dal Digital Omnibus, con riguardo ad aspetti procedurali attraverso la previsione di un unico Entry Point per le notifiche) così come il rifiuto, espresso dal 65,5% del campione analizzato, di fattori non tecnici e, al contrario, la focalizzazione su elementi di natura tecnica verificabili (con importante ruolo delle certificazioni).
Dal monitoraggio realizzato da I-Com per comprendere l’evoluzione dell’offerta formativa italiana in ambito cybersecurity, appaiono segnali incoraggianti sul versante universitario. È stato rilevato infatti un crescente interesse per queste tematiche da parte del mondo accademico, con 807 tra corsi e insegnamenti relativi alla cybersicurezza offerti nell’anno accademico 2025/2026, in aumento del 4% rispetto ai 774 dell’anno precedente.
Tuttavia, la distribuzione regionale dell’offerta formativa complessiva si presenta piuttosto disomogenea. Il Lazio concentra il numero più elevato tra corsi e singoli insegnamenti (208), seguito dalla Lombardia (120) e dalla Campania (65). Anche considerando esclusivamente l’offerta formativa specializzata il Lazio si conferma la regione più interessata con 30 percorsi, catalizzando buona parte dell’offerta formativa sia in termini di lauree dedicate (7 corsi di laurea), sia per quanto riguarda le specializzazioni post-laurea (7 progetti di ricerca in dottorato e 16 master). Nel complesso, l’elevato numero di master specifici sui temi della cybersicurezza (34 su tutto il territorio nazionale) indica una crescente domanda di percorsi post-laurea orientati all’approfondimento delle competenze in cybersicurezza.
Quanto alla formazione superiore, un ruolo di rilievo è rivestito dagli ITS che hanno lo scopo di formare personale tecnico in aree strategiche per lo sviluppo economico del Paese. Dal monitoraggio dell’Istituto Nazionale Documentazione Innovazione Ricerca Educativa (INDIRE) e da un’analisi condotta da I-Com emerge infatti che su 147 ITS attivi in Italia il 33% offre percorsi legati alla cybersicurezza, con la Lombardia in testa (11 istituti su 25 totali) seguita dal Lazio (4 su 16) e dalle Marche (4 su 4).
