16 April 2026
Linda Pasini
Compliance Consultant SpecialistApprofondimento
' di lettura
Il Rapporto Clusit presentato a marzo 2026 ha evidenziato un aumento significativo del numero di incident cyber. Nelle organizzazioni italiane il numero di incidenti noti gravi è passato da 70 casi del 2021 a 507 del 2025. La tendenza è confermata anche a livello globale, dove gli incidenti sono cresciuti da 2.049 nel 2021 a 5.265 nel 2025.
La crescita non riguarda solo la quantità, ma anche la qualità degli attacchi: la gravità media degli incidenti è infatti aumentata, rendendo gli impatti sempre più rilevanti in termini di continuità operativa, perdite economiche e tutela dei dati.
Questo scenario fa emergere due spunti di riflessione.
Il primo è che l’Incident Management è a tutti gli effetti un processo critico per le organizzazioni, che richiede un modello strutturato e capace di guidare l’azienda anche nelle situazioni di maggiore pressione e stress.
Il secondo riguarda la capacità di stabilire le priorità. In un contesto di crisi, saper distinguere ciò che è davvero prioritario è fondamentale: quando tutto sembra urgente, si rischia di perdere il focus. Per questo è fondamentale avere chiaro quali siano i “crown jewels”, ovvero gli asset più critici da proteggere, e definire in anticipo l’ordine delle azioni da intraprendere.
Se è vero che l’imprevedibilità è parte integrante della natura stessa degli incidenti, è altrettanto vero che è possibile prepararsi, strutturandosi in modo da non farsi trovare impreparati.
Questo significa dotarsi di un piano di Incident Management solido, accurato e in grado di supportare una reazione tempestiva ed efficace e che alimenti un ciclo di miglioramento continuo, contribuendo a rendere l’organizzazione più resiliente nel tempo.
Un buon piano di Incident Management dovrebbe fondarsi su principi chiari e concreti: responsabilità chiaramente definite e processi semplici ma ben strutturati, pensati per funzionare anche nei momenti più critici, quando il tempo è poco e le decisioni devono essere rapide e guidate dalle priorità.
In Deda, anche in risposta alle nuove sfide introdotte dalla Direttiva NIS2, abbiamo avviato un percorso strutturato per la definizione di un modello di Incident Management a livello di Gruppo. Un’iniziativa che, nel tempo, riteniamo possa contribuire in modo significativo al rafforzamento della nostra postura di cybersecurity e alla protezione del business.
Il nostro modello si fonda sulla comunicazione costante e la collaborazione strutturata tra i diversi reparti e le società del Gruppo, con l’obiettivo di garantire una gestione degli incident integrata e coordinata. Questo approccio ci permetterà di rendere l’esperienza un patrimonio condiviso, favorendo un reale processo di lesson learned e un miglioramento continuo delle capacità di risposta e resilienza del Gruppo.
Un processo strutturato permette di rispondere in modo rapido ed efficace agli attacchi informatici, riducendo l’impatto su sistemi e business. Inoltre aiuta a classificare correttamente l’incidente, attivare le contromisure adeguate e coordinare meglio le attività tra i team coinvolti.
La fase di contenimento, in un incidente cyber, serve a limitare la diffusione dell’attacco e a ridurne l’impatto. In questa fase si isolano i sistemi compromessi o si applicano misure temporanee per evitare che la minaccia si propaghi ad altre parti dell’infrastruttura.
La gestione di un incidente dovrebbe essere un processo strutturato sulla base delle seguenti fasi: .
1. Analisi della minaccia e triage
Per comprendere rapidamente cosa sta accadendo e ricostruire la cyber kill chain, classificare correttamente l’incidente e attivare le azioni appropriate, inclusa l’eventuale prenotifica alle Autorità competenti.
2.Contenimento
Per limitare la diffusione dell’incidente e ridurne l’impatto sui sistemi e sul business..
3.Eradicazione
Per eliminare la minaccia alla radice e ripristinare condizioni di sicurezza adeguate.
.
4.Ripristino e recovery
Per riportare i sistemi alla piena operatività in modo controllato e sicuro.
5.Miglioramento
Per trasformare l’incidente in lezione per migliorare processi, competenze e difese future.
Sezione commenti: