Negli ultimi anni gli attacchi informatici sono passati da rischio “tecnico” a variabile strategica che impatta continuità operativa, reputazione e supply chain. Tra luglio 2022 e giugno 2023 ENISA ha censito circa 2.580 incidenti, di cui 220 transfrontalieri. Nel 2024 il totale globale ha toccato un nuovo record con 3.541 attacchi (+27% sul 2023). In Europa si contano 1.075 attacchi gravi, quasi in linea con gli USA (1.031): circa il 30% del totale mondiale ha colpito il continente, segno di un divario con il Nord America ormai ridotto. Anche il ritmo cresce: dalla media di circa 232/mese nel 2023 a ~273/mese nei primi mesi del 2024. Oltre metà degli incidenti mappati dal 2011 si concentra negli ultimi cinque anni.

In questo scenario, l’Unione Europea ha costruito un’architettura di risposta che parla la stessa lingua durante una crisi: i CSIRTs per la dimensione tecnico-operativa, EU-CyCLONe per il coordinamento delle crisi su larga scala, il NIS Cooperation Group e ENISA per strategia, linee guida ed esercitazioni. In questo complesso quadro organizzativo e regolamentare, la Direttiva NIS2 (UE 2022/2555) ha come obiettivo quello di rendere questo impianto più robusto: amplia i soggetti coinvolti, impone misure minime di sicurezza, procedure di gestione degli incidenti, audit e sanzioni, e formalizza EU-CyCLONe (art. 16) come rete operativa di coordinamento tra Stati membri.

L’UE ha definito un’architettura “a livelli” per parlare la stessa lingua durante una crisi:

• CSIRTs Network per il coordinamento tecnico-operativo;
• EU-CyCLONe per il coordinamento operativo-strategico delle crisi su larga scala;
• NIS Cooperation Group (con ENISA e Stati membri) per l’indirizzo strategico/policy;
• ENISA come segretariato e abilitatore (piattaforme, esercitazioni, supporto).

La Direttiva NIS2 (UE 2022/2555) rafforza questo impianto, amplia i soggetti, introduce misure minime e sanzioni, e formalizza EU-CyCLONe (art. 16). Questo articolo spiega in modo pratico cos’è EU-CyCLONe, come funziona e come si interseca con la NIS2. Allo stesso tempo andremo ad analizzare come tutto si integra con il ruolo di ENISA e della Commissione.

– Cos’è l’EU-CyCLONe

– Qual è lo scopo e come funziona la rete EU-CyCLONe?

– Rapporto tra l’italiana ACN e EU-CyCLONe

– EU-CyCLONe e NIS2: che collegamento c’è?

– Adeguarsi alla NIS2 con BSD Legal

EU-CyCLONe è la rete europea delle organizzazioni di collegamento per le crisi informatiche (per esteso la “EU Cyber Crises Liaison Organisation Network”). Questa entità è una rete di cooperazione per le autorità nazionali degli Stati membri responsabili della gestione delle crisi informatiche. Questa rete ha come obiettivo quello di supportare la gestione coordinata degli incidenti e delle crisi di sicurezza informatica che possono avvenire su larga scala. Nello specifico la gestione a livello europeo è stata istituita proprio per garantire lo scambio regolare delle informazioni pertinenti in materia di sicurezza informatica e cybersicurezza tra gli stati membri, ma anche tra istituzioni, organi e agenzie dell’Unione. In sostanza, EU-CyCLONe offre un collegamento operativo tra gli esperti tecnici e le decisioni politiche in caso di incidenti cyber su larga scala, fungendo da “ponte” che coordina la risposta a livello UE durante crisi informatiche gravi.

La rete EU-CyCLONe è stata istituita nel 2020 su base volontaria ed è stata formalizzata con l’entrata in vigore della NIS2 il 16 gennaio 2023. La Direttiva NIS2 (UE 2022/2555) segna un punto di svolta nella strategia europea per la sicurezza informatica. Le grandi imprese e le PMI inserite in filiere strategiche sono ora chiamate a adottare misure più rigorose per proteggere infrastrutture digitali e dati sensibili. In Italia, il recepimento della direttiva è stato formalizzato con il Decreto Legislativo n. 138, pubblicato in Gazzetta Ufficiale il 1° ottobre 2024 ed entrato in vigore il 16 ottobre dello stesso anno. Dal 1° gennaio 2026, migliaia di aziende italiane saranno soggette a nuovi obblighi in materia di cybersicurezza. Il Decreto n. 138/2024, che recepisce la NIS2, non introduce semplicemente un aggiornamento normativo: rappresenta un cambio di paradigma nella governance della sicurezza digitale, imponendo un impegno concreto, sistemico e tempestivo.

Proprio per questo motivo di collaborazione europea, l’EU-CyCLONe è composto da rappresentanti delle autorità di gestione delle crisi degli stati membri. Inoltre, nei rari casi in cui un incidente, sia esso potenziale o in corso, avvenga su larga scala e possa avere un impatto significativo sui servizi e sulle attività che rientrano nell’ambito di applicazione della NIS2, l’autorità di riferimento sarà la Commissione. La Commissione europea partecipa di norma come osservatore. In caso di incidenti su larga scala con forte impatto transfrontaliero, può assumere un ruolo più attivo nel coordinamento politico a livello UE, in raccordo con i meccanismi di gestione delle crisi dell’Unione.

L’intento è chiaro: migliorare il flusso di informazioni e consapevolezza rispetto alla situazione di sicurezza informatica e cybersicurezza nel quadro Europeo, così da permettere risposte e reazioni tempestive e concrete.

Come anticipato, l’EU-CyCLONe è composta dai rappresentanti designati di ciascuno Stato membro, tipicamente funzionari delle autorità nazionali incaricate della gestione delle crisi informatiche. Mentre il ruolo del presidente è ricoperto con un sistema di rotazione dalla nazione che detiene la Presidenza di turno del Consiglio EU.  Sempre dal punto di vista organizzativo, l’ENISA (EU Agency for Cybersecurity) svolge il ruolo di segretariato. Questo implica che ENISA fornisce il supporto amministrativo e tecnico. Infatti, mette a disposizione le piattaforme di condivisione dei dati e delle informazioni e gli strumenti necessari per comunicazioni tra gli stati membri, sia in caso di emergenza che in caso di supporto. Questa funzione dell’ENISA permette quindi la creazione della vera e propria rete di collaborazione, fungendo da infrastruttura di raccordo e punto di raccolta, garantendo la trasmissione di informazioni cruciali in tempo reale.

Qual è il ruolo dell’ENISA? L’ENISA supporta da diversi anni il settore della gestione europea degli incidenti e delle crisi informatiche, con attività quali:

• operazioni quotidiane della rete CSIRT e di EU-CyCLONe;
• esercitazioni di simulazione di crisi;
• corsi di formazione;
• supporto agli Stati membri nello sviluppo di piani e strutture di crisi;
• organizzazione di conferenze e studi internazionali.

I compiti principali di EU-CyCLONe sono:

• sostenere la gestione coordinata di incidenti e crisi informatiche su larga scala a livello operativo e garantire lo scambio regolare di informazioni pertinenti tra gli Stati membri e le istituzioni, gli organi e gli organismi dell’Unione;
• aumentare il livello di preparazione della gestione degli incidenti e delle crisi informatiche su larga scala;
• sviluppare una consapevolezza della situazione condivisa per gli incidenti e le crisi informatiche su larga scala;
• valutare le conseguenze e l’impatto di incidenti e crisi informatiche su larga scala e proporre possibili misure di mitigazione;
• coordinare la gestione degli incidenti e delle crisi informatiche su larga scala e sostenere il processo decisionale a livello politico in relazione a tali incidenti e crisi;
• discutere, su richiesta di uno Stato membro interessato, i piani nazionali di risposta agli incidenti e alle crisi informatiche su larga scala.

Attraverso questi compiti e funzioni, questa rete di cooperazione garantisce che i paesi membri, che stanno implementando la NIS2, affrontino in modo coordinato le grandi minacce informatiche, collaborando l’una con l’altro. Durante un’emergenza cyber o informatica, questa rete permette di creare un canale di comunicazione efficace dove tutti gli stati membri, riescano a parlare una “lingua comune” per gestire le situazioni di emergenza.

L’EU-CyCLONe si integra in realtà un più ampio sistema di cooperazione europea sulla sicurezza informatica. Questa rete opera, infatti, in parallelo e in coordinamento con la rete dei CSIRT (Computer Security Incident Response Teams), che ha come focus primario quello tecnico-operativo. Allo stesso modo, la rete opera con il Cooperation Group, che è invece focalizzato sul coordinamento strategico e di policy tra Stati membri. Questa architettura stratificata (tecnico, operativo, strategico) assicura che un incidente grave veda coinvolti tutti i livelli decisionali appropriati. Questo permette ai tecnici informatici, ai vertici politici nazionali ed europei di poter affrontare insieme una minaccia, ciascuno collegato attraverso strutture dedicate (CSIRTs network, EU-CyCLONe, Cooperation Group) e quindi potenziando il raggio di risposta. Per esempio, l’EU-CyCLONe dovrebbe basarsi sui riscontri tecnici emersi dalla rete CSIRT e utilizzare le proprie capacità per produrre analisi d’impatto più ampie, da sottoporre poi ai decisori politici.

L’Agenzia per la Cybersicurezza Nazionale (ACN) rappresenta l’Italia all’interno di EU-CyCLONe. Ma che cosa è? L’Agenzia per la cybersicurezza nazionale (ACN) è l’Autorità nazionale per la cybersicurezza a tutela degli interessi nazionali nel campo della cybersicurezza. L’agenzia rappresenta l’interfaccia operativa e strategica tra il livello nazionale e quello europeo nella gestione delle crisi informatiche. Essendo l’autorità competente NIS2, l’ACN partecipa attivamente alle attività della rete, contribuendo allo stesso tempo allo scambio di informazioni, valutazione congiunta degli incidenti e di conseguenza al coordinamento delle risposte in caso di attacchi su larga scala.

L’agenzia italiana non solo condivide tempestivamente dati e analisi tecniche con gli altri Stati membri attraverso EU-CyCLONe, ma ha il compito di partecipare nella definizione di protocolli comuni di gestione delle emergenze, alle esercitazioni operative (come CySOPex) e alle simulazioni ad alto livello (come BlueOLEx). Questo significa che attraverso EU-CyCLONe, l’ACN collabora con altre reti come la rete CSIRT e il NIS Cooperation Group, garantendo un approccio multilivello che collega le capacità tecniche, operative e decisionali italiane con quelle degli altri partner europei.

In un contesto in cui le minacce informatiche non conoscono confini, e in cui oltre il 20% degli attacchi gravi colpisce contemporaneamente più Paesi europei, la partecipazione dell’ACN alla rete EU-CyCLONe rappresenta una leva strategica per rafforzare la sicurezza digitale dell’Italia.

La NIS2 rappresenta il quadro normativo aggiornato dell’UE in materia di sicurezza delle reti e sistemi informativi, e ha fornito la base giuridica per formalizzare e potenziare EU-CyCLONe. In particolare, è all’articolo 16 che la NIS2 istituisce ufficialmente l’EU-CyCLONe come meccanismo per “sostenere la gestione coordinata a livello operativo” degli incidenti cyber su larga scala, garantendo lo scambio di informazioni tra Stati membri e istituzioni dell’Unione.

Un elemento chiave della NIS2, e ulteriormente ribadito dall’EU-CyCLONe, è il rafforzamento della cooperazione tra Stati membri in caso di incidente grave. Dal punto di vista normativo, NIS2 ancora EU-CyCLONe nel quadro legislativo europeo: la rete è obbligata a adottare un proprio regolamento interno di funzionamento e a riferire periodicamente al Cooperation Group (il gruppo di cooperazione strategica tra autorità NIS) sull’andamento di incidenti e crisi maggiori, nonché sui trend osservati, con particolare attenzione all’impatto sui servizi essenziali. Inoltre, entro luglio 2024 e poi ogni 18 mesi, EU-CyCLONe deve presentare al Parlamento europeo e al Consiglio un rapporto sulle proprie attività e sull’efficacia del coordinamento svolto.

La NIS2 rafforza anche la preparazione a livello nazionale e il legame con il livello europeo: la direttiva richiede a ogni Stato membro di dotarsi di un quadro di gestione delle crisi informatiche a livello nazionale (inclusi piani di risposta per incidenti su vasta scala). EU-CyCLONe è indicata come la sede in cui questi piani possono essere discussi con i partner europei su richiesta dello Stato interessato, allo scopo di coordinare le strategie e individuare lacune o interdipendenze. Ciò incentiva gli Stati a condividere e confrontare le proprie pianificazioni d’emergenza, elevando la coerenza dell’approccio normativo e operativo in tutta l’Unione.

Ne deriva che l’EU-CyCLONe e NIS2 siano strettamente interconnessi: se la direttiva fornisce il fondamento giuridico e gli obiettivi strategici, la rete EU-CyCLONe rappresenta lo strumento pratico per attuare un elevato livello comune di cybersicurezza in Europa. Questa cooperazione e sinergia mira e si inserisce in un più ampio rafforzamento della infrastruttura normativa EU in materia cyber. Il risultato che si vuole ottenere è un’Europa più preparata e resiliente, pronta a rispondere a minacce cyber con un framework comune, con ruoli ben definiti per le varie strutture (ENISA, CSIRT network, EU-CyCLONe, etc.) e comunicazioni pubbliche e piattaforme di condivisione dei dati coordinate.

La combinazione di NIS2 ed EU-CyCLONe ha implicazioni significative per le aziende, soprattutto quelle operanti nei settori critici (come energia, trasporti, sanità o infrastrutture digitali).

In definitiva, con l’attuazione della NIS2, le imprese vedono aumentare gli oneri di conformità (nuovi requisiti di sicurezza, controlli periodici, audit e possibili multe in caso di mancata adozione delle misure), ma al contempo ottengono un contesto e un framework strutturato e prevedibile grazie ai quali possono gestire minacce informatiche in maniera repentina ed efficace. In questo contesto, l’esistenza di un canale europeo di crisi come EU-CyCLONe apporta un supporto operativo non indifferente in situazioni estreme. Durante un attacco generalizzato a livello EU, la rete può facilitare comunicazioni unificate, la diffusione di alert o di altre indicazioni tecniche comuni. In questo modo si allevia il carico sulle singole aziende nel reperire informazioni circa la minaccia, che molto spesso non sono reperibili facilmente.

Allo stesso tempo, questo approccio integrato a livello Europeo promuove degli standard più elevati a livello di sicurezza informatica lungo tutta la filiera. In questo senso la NIS2 richiede particolare attenzione e un occhio di riguardo ai fornitori terzi e alla supply chain digitale, L’accoppiata NIS2–EU-CyCLONe ha proprio il compito di spronare le imprese ad una maggiore resilienza, trasparenza e responsabilizzazione, inserendole in un ecosistema europeo dove la sicurezza informatica diventa uno sforzo condiviso, coordinato ed efficace.

Impatti per le autorità nazionali

Ma non sono solo le aziende ad essere impattate dalla NIS2. Anche le autorità pubbliche (in particolare gli organismi nazionali competenti per la cybersicurezza) sono toccate dalla direttiva NIS2 e soprattutto dal ruolo di EU-CyCLONe.  Questo perché In fase di recepimento di NIS2, gli Stati membri hanno dovuto aggiornare la propria legislazione nazionale (si veda il decreto italiano). Questi cambiamenti normativi hanno comportato la designazione di nuove autorità o l’ampliamento dei mandati di quelle esistenti. Tra queste emerge la definizione di un Single Point of Contact nazionale NIS2 insieme all’adozione di procedure di supervisione ma anche sanzioni più rigorose.

Ad esempio, in Italia è stata attribuita all’ACN (Agenzia per la Cybersicurezza Nazionale) la funzione di autorità di coordinamento NIS2. L’Agenzia è stata istituita dal D.lgs. n.82 del 14 giugno 2021 che ha ridefinito l’architettura nazionale di cybersicurezza. Come anticipato, l’obiettivo è quello di razionalizzare e semplificare il sistema di competenze esistenti a livello nazionale in tema di cybersicurezza, andando a valorizzare ulteriormente gli aspetti di sicurezza e resilienza cyber, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico.

Un impatto concreto è l’organizzazione di esercitazioni congiunte a livello europeo. Questo perché, l’ENISA, in qualità di segretariato di EU-CyCLONe, ha il compito di coordinare esercitazioni periodiche. Un esempio è il CySOPex (Cyber Strategic Operational Exercise), la prima esercitazione, che non rappresenta una esercitazione puramente tecnica ma il suo obiettivo è quello di testare e migliorare la capacità di una risposta coordinata in caso di incidenti di larga scala. Questa tipologia di esercitazione coinvolge le autorità competenti NIS2, i membri della rete EU-CyCLONe e i funzionari di altro livello e stakeholder europei. Allo stesso modo, il BlueOLEx (Blue Team Outcome Leaders Exercise) del 2024 si è concentrata sulla cooperazione a livello esecutivo e più nello specifico mediante la rete delle organizzazioni di collegamento per le crisi informatiche.

Queste simulazioni di crisi permettono alle autorità nazionali di allenarsi insieme su scenari di attacchi gravi, testando la rapidità di comunicazione, l’uso di procedure standard europee e l’efficacia delle risposte collettive. Tali esercitazioni aiutano a individuare lacune e margini di miglioramento oppure standard operating procedures che non sono allineate, ecc.).

Quanto è grave la minaccia cyber? Nel primo semestre del 2025, l’Italia ha registrato 1.549 attacchi informatici (+53%) e 346 incidenti gravi (+98%). In base ai dati ENISA, quasi un quinto (19-20%) degli attacchi informatici ha come vittima il settore della pubblica amministrazione, rendendolo il più colpito. Da segnalare inoltre è anche l’importanza crescente di attacchi alla supply chain digitale (come fornitori ICT, software di terze parti) e delle vulnerabilità zero-day. Il 21% degli attacchi supply chain analizzati da ENISA nel 2023 ha interessato la pubblica amministrazione (spesso in vista di eventi come le elezioni), e il 16% provider di servizi digitali.

L’adeguamento alla Direttiva (UE) 2022/2555 (NIS2) richiede però un approccio strutturato e personalizzato, che tenga conto delle specifiche caratteristiche dell’organizzazione e del settore di appartenenza. Il primo passo fondamentale consiste nell’identificare correttamente la propria classificazione come FSD o OSD, attraverso un’analisi dettagliata dei servizi forniti, delle dimensioni aziendali e del settore di riferimento.

L’identificazione corretta della propria posizione normativa deve essere seguita da un assessment completo dei rischi di cybersicurezza, valutando le vulnerabilità esistenti secondo l’approccio “multirischio” previsto dalla normativa. Questo processo deve considerare non solo i rischi tecnici, ma anche quelli operativi e organizzativi. L’implementazione delle misure di sicurezza deve seguire l’elenco minimo previsto dalla Direttiva, che include politiche di sicurezza informatica, gestione degli incidenti, continuità operativa e gestione della catena di fornitura. È fondamentale anche predisporre procedure di incident response per rispettare gli obblighi di notifica degli incidenti significativi.

Un aspetto cruciale è il rispetto delle scadenze. I soggetti che rientrano nell’ambito di applicazione devono registrarsi sulla piattaforma digitale dell’Agenzia per la Cybersicurezza Nazionale entro le scadenze previste. Per molte categorie di soggetti, la prima scadenza è fissata al 17 gennaio 2025.

Consigli pratici per adeguarsi alla NIS 2? La scelta migliore è affidarsi a un partner strutturato, capace di integrare competenze tecniche e legali. Purtroppo, molti si rivolgono a professionisti che operano esclusivamente in ambito informatico o legale, commettendo un grave errore. Gli adempimenti richiesti dalla normativa, infatti, abbracciano diverse aree e non possono essere gestiti efficacemente né dal più giurista degli informatici né dal più informatico dei giuristi. Proprio per rispondere a questa esigenza, BSD Legal offre un servizio strutturato, collaborando con partner selezionati e con cui intrattiene rapporti consolidati da anni.

Perché scegliere BSD Legal per l’adeguamento NIS2

• Competenza Verticale su Sicurezza e Protezione dei dati: abbiamo maturato una esperienza quotidiana e sul campo nelle attività di conformità che hanno al centro la protezione dei dati e la sicurezza informatica, a partire dal GDPR e la ISO/IEC 27001:2022. La NIS2 rappresenta quindi una nuova norma che però si innesta fra le attività di consulenza che abbiamo già intrapreso.
• Un solido network per coprire tutte le competenze: la NIS non richiede solo competenze legali e di cyber security. È anche necessaria una solida esperienza da system integrator e grazie alla nostra rete possiamo coprire ogni necessità dell’azienda.
• Partiamo da una Gap Analysis: è un primo passo verso la conformità che, grazie anche ad un costo competitivo, ti permetterà di conoscerci e di capire il nostro approccio. In più, la nostra Gap Analysis, basata sui più recenti atti di esecuzione dell’UE e codici di implementazione, ti fornirà una panoramica chiara e dettagliata del tuo stato attuale di conformità.

Compliance NIS2 e gestione della postura di sicurezza in outsourcing? Il servizio Virtual CISO di BSD Legal rappresenta la risposta strategica per le organizzazioni che devono conformarsi alla Direttiva NIS2 attraverso un modello di governance professionale ed efficace.

Contenuti della documentazione:

• Compliance Journey strutturato: metodologia in quattro fasi dal Pre-Assessment alla piena conformità
• Framework operativo: servizi CORE e PLUS per governance continuativa della sicurezza
• Operational Security: coordinamento attività ricorrenti, audit annuali e compliance review
• Moduli specialistici: gestione incidenti, Due Diligence Cyber, supporto audit esterni
• Governance integrata: coordinamento con figure interne (DPO, AdS), awareness program, vendor risk management

 Valore strategico:

• Metodologia consolidata per compliance normativa
• Gestione continuativa della postura di sicurezza aziendale
• Reporting strutturato per organi di controllo e management
• Partnership qualificata tra competenze legali e tecnologiche

Partnership BSD Legal + Onit Sistemi: competenze integrate in compliance & risk management e cybersicurezza & system integration per una copertura completa degli obblighi normativi.

Compila il form per ricevere la brochure del nostro servizio Virtual CISO

Nome *

Nome

Cognome

Email *

Testo a riga singola *

Messaggio

Privacy policy *

• Ho preso visione della Privacy policy

Invia