Gennaio 2025 consolida tre direttrici chiave per la sicurezza informatica in Italia e in Europa: (1) un salto di maturità sul piano regolatorio con l'entrata in applicazione di DORA; (2) una pressione costante sul perimetro (VPN e appliance esposte) come vettore privilegiato di compromissione; (3) la persistenza del ransomware come rischio sistemico, con riflessi operativi e di policy. Questo report mensile sintetizza le evidenze più rilevanti e propone azioni pratiche utilizzabili in newsletter, blog e attività Virtual CISO.

1) Italia: quadro operativo ACN/CSIRT e implicazioni

Nel mese, i contenuti operativi di ACN/CSIRT Italia continuano a evidenziare la centralità di due ambiti: gestione delle vulnerabilità ad alta priorità (con attenzione allo sfruttamento reale) e preparazione a scenari di disservizio e attacchi di disturbo (ad esempio DDoS rivendicati). L'impostazione di fondo rimane: proteggere il perimetro, accelerare patch/mitigazioni, migliorare la qualità della risposta agli incidenti e la capacità di threat awareness continua.

• Perimetro e servizi esposti: inventariare e hardenizzare VPN, portali, DNS e gateway internet-facing, con monitoraggio continuo e verifiche di configurazione.
• Vulnerability management guidato dal rischio: adottare una prioritizzazione che consideri sfruttamento attivo e contesto (non solo CVSS), integrandola nei cicli IT/OT dove applicabile.
• Readiness DDoS: playbook, contatti di escalation, procedure di scrubbing e metriche di ripristino devono essere testati e non solo documentati.

2) UE: DORA in applicazione (17 gennaio 2025) e cosa cambia davvero

Il Digital Operational Resilience Act (DORA) è pienamente applicabile dal 17 gennaio 2025, introducendo requisiti uniformi di resilienza operativa digitale per banche, assicurazioni, intermediari, istituti di pagamento e altri soggetti regolati. DORA non è un semplice adempimento documentale: richiede processi verificabili, test credibili e controllo sostanziale delle dipendenze ICT.

Per le organizzazioni finance, DORA impatta direttamente su:

• ICT risk management: governance, politiche, controlli e metriche operative;
• Incident reporting: flussi di notifica e gestione con evidenze e tempi definiti;
• Testing e resilienza: programmi di test periodici, remediation tracciata, esercitazioni;
• Terze parti ICT: inventario, criticità, contratti, monitoraggio, exit strategy (cloud e managed services inclusi).

Per un'impostazione metodica del programma, puoi fare riferimento ai servizi di conformità DORA e al supporto Virtual CISO.

3) NIS2: milestone operative e preparazione al percorso 2025

Nel perimetro NIS2, gennaio 2025 si colloca nella fase operativa di registrazione/definizione del perimetro, con una spinta forte a strutturare anagrafiche, ruoli, domini/IP e processi interni. In parallelo, aumenta la necessità di allineare governance e supply chain alle aspettative della direttiva, soprattutto per chi opera in settori essenziali e altamente critici.

Se stai impostando o aggiornando il percorso, consulta la pagina NIS2 e valuta l'integrazione con attività di Threat Intelligence per anticipare campagne su asset esposti.

4) Vulnerabilità e minacce globali rilevanti anche per l'Italia

Nel mese, l'attenzione internazionale si concentra in modo significativo su vulnerabilità che colpiscono VPN e gateway esposti, con casi di sfruttamento attivo (es. Ivanti). Questo tipo di scenario è particolarmente rilevante per l'Italia perché molte organizzazioni (incluse PMI e supply chain) mantengono superfici di attacco su appliance edge con cicli di patch non sempre tempestivi.

• VPN/appliance edge: attacco preferenziale per initial access e persistenza; richiede patch rapide, hardening e hunting su IoC.
• Ransomware: continua pressione e impatti operativi, con segnali di policy (reporting e restrizioni sui pagamenti) che incidono su governance, assicurazioni e incident response.
• Impatto su servizi essenziali: crescente attenzione agli effetti su continuità operativa e safety (sanità, infrastrutture) oltre il solo ambito IT.

5) Azioni raccomandate per gennaio (checklist operativa)

• Internet-facing inventory: censire e mettere sotto controllo VPN, DNS, portali e asset pubblici (inclusi subdomini e shadow IT).
• Patch & mitigation sprint: finestra mensile "accelerata" per edge/appliance con evidenza di scanning/sfruttamento.
• Incident reporting testato: prove periodiche di notifica e gestione (in particolare per finance/DORA e perimetro NIS2).
• Third-party ICT governance: inventario fornitori, criticità, clausole minime, exit strategy e monitoraggio continuo.
• DDoS readiness: verificare scrubbing, WAF, rate limiting e procedure di escalation, con metriche MTTD/MTTR.

Fonti e riferimenti ufficiali

• ESMA – Digital Operational Resilience Act (DORA)
• EIOPA – DORA overview
• Gazzetta Ufficiale – D.Lgs. 10 marzo 2025, n. 23 (adeguamento nazionale a DORA)
• NCSC (UK) – Alert su sfruttamento attivo vulnerabilità Ivanti
• Ivanti – Security update (Connect Secure / Policy Secure / ZTA Gateways)
• ECSO – NIS2 Transposition Tracker (milestone e scadenze operative)
• ACN – Operational Summary (Gennaio 2025)
• ACN/CSIRT – La Settimana Cibernetica (5 gennaio 2025)
• ACN/CSIRT – Rapporto sullo stato della minaccia (riferimento a gennaio 2025)
• Insurance Journal – Impatti su sanità e continuità operativa (gennaio 2025)

Se vuoi trasformare questo report in un piano operativo per audit e roadmap 2025, possiamo collegarlo a un percorso di Virtual CISO e a un monitoraggio continuo di Threat Intelligence.