In Italia l’aumento degli adempimenti previsti dalle normative in materia di cybersicurezza può impattare in maniera significativa sulla competitività aziendale: a incidere sono principalmente gli investimenti tecnico-organizzativi necessari alla compliance nonché la molteplicità degli oneri burocratici e amministrativi richiesti. È l’allarme lanciato dal Rapporto “Verso una cybersicurezza a portata di competitività. Le sfide della sicurezza informatica tra innovazione, semplificazione e nuove regole”dell’Istituto per la Competitività (I-Com) nell’ambito dell’Osservatorio sulla Cibersicurezza e curato dal presidente I-Com Stefano da Empoli insieme alla vicepresidente I-Com Silvia Compagnucci e al direttore Area Digitale I-Com Alessandro D’Amato.

Dall’indagine condotta da I-Com emerge che la maggior parte delle imprese assegna tra il 3-5% del budget It alla cybersecurity, solo una minima parte ne alloca più del 15%, mentre il 51% ha deciso di aumentare le risorse destinate alla sicurezza informatica e un corposo 37% sta ancora valutando un eventuale incremento.

I-Com ha anche svolto un’analisi sui contributi della consultazione pubblica avviata nel 2024 per valutare i possibili sviluppi della revisione del Cybersecurity Act con la prospettiva di introdurre modifiche il 20 gennaio 2026, dalla quale risulta un forte interesse, mostrato dal 48,9% del campione, per l’introduzione di misure di semplificazione, così come il rifiuto, espresso dal 65,5%, di fattori non tecnici e, al contrario, un maggiore focus su elementi tecnici verificabili e certificazioni.

Cybersecurity, I-Com denuncia le sfide della compliance

Ad ostacolare il processo di compliance sono la mancanza di competenze idonee, sia interne che sul mercato del lavoro, seguita dalla moltiplicazione di prescrizioni che impongono adempimenti diversi, tanto che l’80% delle aziende ritiene che si debba puntare sulla consapevolezza e sulla formazione del personale in maniera diversificata per ruolo e competenze.

Proprio sul piano dell’offerta formativa si osserva nel territorio nazionale un crescente interesse per queste tematiche da parte degli atenei, con 807 tra corsi e insegnamenti relativi alla cybersicurezza nell’anno accademico 2025/2026, in aumento del 4% rispetto ai 774 dell’anno precedente.

I-Com ha anche riproposto e aggiornato un’indagine già effettuata lo scorso anno con l’obiettivo di verificare la rispondenza applicativa del quadro regolatorio europeo e nazionale in materia di cybersecurity, coinvolgendo imprese appartenenti a vari settori e avvalendosi anche del sostegno di alcune delle principali associazioni di categoria.

Troppe regole e costi, competitività a rischio

In particolare, tra gli adempimenti prescritti dalle normative in materia di cybersicurezza che possono impattare sulla competitività aziendale, per la maggior parte delle grandi imprese la principale criticità è legata agli investimenti tecnico-organizzativi necessari alla compliance, mentre l’opzione selezionata maggiormente da quelle di medie e piccole dimensioni riguarda la numerosità degli oneri burocratici e amministrativi richiesti.

Altri aspetti ricorrenti emersi dallo studio I-Com sono la preoccupazione per l’innalzamento delle barriere all’ingresso, in particolare per le pmi, nonché la molteplicità degli oneri burocratici e l’impatto sui rapporti con la supply chain.

Tra i fattori che rendono più difficoltosa la compliance rispetto alle norme in materia di cybersecurity si segnalano principalmente la moltiplicazione, a volte disorganica, di prescrizioni che impongono adempimenti diversi, seguita dalla mancanza di competenze idonee internamente e sul mercato del lavoro.

Il ruolo delle certificazioni: sì agli standard comunitari

Indipendentemente dal fatto che l’impresa abbia adottato o intenda adottare una certificazione di cybersicurezza, il 74% delle aziende è d’accordo in merito al fatto che standard comunitari – come gli European common criteria-based cybersecurity certification scheme (Eucc) – possono incentivare le imprese a certificarsi.

Rispetto al dibattito su mandatorietà o volontarietà di questi strumenti, il 37% delle imprese non ha ancora definito una posizione sul tema e un ulteriore 28% non si è ancora confrontato internamente, mentre tra quelle che hanno maturato un orientamento prevale l’approccio volontario indicato dal 25% rispetto a quello mandatorio scelto dal 10% delle aziende.

Quanto al miglioramento del quadro della certificazione di cybersecurity in Italia lo studio di I-Com evidenzia due priorità nette: la garanzia che il valore aggiunto dei prodotti o servizi certificati sia sostanzialmente riconosciuto – anche attraverso eventuali misure normative – indicata dal 66% delle imprese, nonché l’introduzione di agevolazioni fiscali o incentivi a supporto dell’assistenza esterna segnalata dal 60%.

Il dibattito sul Cybersecurity act europeo

Sul versante normativo, il regolamento n. 881/2019, noto come Cybersecurity Act (Csa), rappresenta uno dei primi interventi organici dell’Unione europea in tema di cybersicurezza dopo la direttiva Nis del 2016, con l’obiettivo di garantire un buon funzionamento del mercato interno assicurando elevati livelli di cybersicurezza, resilienza e fiducia.

Nel 2024 è stata avviata una consultazione pubblica sulla revisione del regolamento con la prospettiva di introdurre modifiche entro il 20 gennaio 2026. Per valutare i possibili sviluppi della revisione del Csa, l’I-Com ha svolto un’analisi sui contributi legati alla consultazione pubblica (su 99 ritenuti validi e coerenti), dalla quale risulta che il 76,1% dei partecipanti preferisce un intervento normativo mirato, cioè una modifica del Csa tramite strumenti legislativi, mentre una eventuale abrogazione e sostituzione del Csa con un quadro normativo di più ampio respiro è l’opzione meno selezionata con un 4,2% di preferenze.

Molto interessante il forte interesse, mostrato da ben il 48,9% del campione, per l’introduzione di misure di semplificazione (positivamente soddisfatte, a posteriori, dal Digital Omnibus, con riguardo ad aspetti procedurali attraverso la previsione di un unico Entry Point per le notifiche) così come il rifiuto, espresso dal 65,5% del campione analizzato, di fattori non tecnici e, al contrario, la focalizzazione su elementi di natura tecnica verificabili (con importante ruolo delle certificazioni).

L’offerta formativa italiana sulla cybersicurezza

Dal monitoraggio realizzato da I-Com per comprendere l’evoluzione dell’offerta formativa italiana in ambito cybersecurity,appaiono segnali incoraggianti sul versante universitario. È stato rilevato infatti un crescente interesse per queste tematiche da parte del mondo accademico, con 807 tra corsi e insegnamenti relativi alla cybersicurezza offerti nell’anno accademico 2025/2026, in aumento del 4% rispetto ai 774 dell’anno precedente.

Tuttavia, la distribuzione regionale dell’offerta formativa complessiva si presenta piuttosto disomogenea. Il Lazio concentra il numero più elevato tra corsi e singoli insegnamenti (208), seguito dalla Lombardia (120) e dalla Campania (65).

Anche considerando esclusivamente l’offerta formativa specializzata il Lazio si conferma la regione più interessata con 30 percorsi, catalizzando buona parte dell’offerta formativa sia in termini di lauree dedicate (7 corsi di laurea), sia per quanto riguarda le specializzazioni post-laurea (7 progetti di ricerca in dottorato e 16 master).

Nel complesso, l’elevato numero di master specifici sui temi della cybersicurezza (34 su tutto il territorio nazionale) indica una crescente domanda di percorsi post-laurea orientati all’approfondimento delle competenze in cybersicurezza.

Quanto alla formazione superiore, un ruolo di rilievo è rivestito dagli Its che hanno lo scopo di formare personale tecnico in aree strategiche per lo sviluppo economico del Paese. Dal monitoraggio dell’Istituto Nazionale Documentazione Innovazione Ricerca Educativa (INDIRE) e da un’analisi condotta da I-Com emerge infatti che su 147 Its attivi in Italia il 33% offre percorsi legati alla cybersicurezza, con la Lombardia in testa (11 istituti su 25 totali) seguita dal Lazio (4 su 16) e dalle Marche (4 su 4).