Conoscenza cybersecurity, il riferimento operativo
Voci di riferimento sulle regolazioni, metodologie e pattern di minaccia su cui ci chiedono più spesso — NIS2, DORA, AI Act UE, Cyber Resilience Act, continuous threat exposure management (CTEM), SBOM, prompt injection, crittografia post-quantum. Due tipi: le definizioni rispondono a "cos'è X", i playbook rispondono a "cosa faccio quando accade X". Tutto ungated, aggiornato regolarmente, con fonti.
Definizioni
- Definizioni6 min
Che cos'è il TLPT (Threat-Led Penetration Testing)?
Il TLPT è una forma di penetration testing mandata dal regolatore in cui gli scenari d'attacco sono guidati esplicitamente dalla threat intelligence sugli avversari che stanno effettivamente bersagliando l'entità testata, eseguita da un red team indipendente con metodologia documentata e chain di evidenze verificabile.
- Definizioni7 min
Che cos'è un sistema AI ad alto rischio ai sensi dell'AI Act UE?
Un sistema AI ad alto rischio ai sensi del Regolamento UE 2024/1689 è uno il cui deployment ricade nei casi d'uso elencati nell'Allegato III (tra cui sicurezza infrastrutture critiche, biometria, istruzione, lavoro, law enforcement, giustizia) e che è quindi soggetto agli obblighi di documentazione tecnica, gestione del rischio, supervisione umana e monitoraggio post-market di cui al Titolo III, Capo 2 (artt. 9-19).
- Definizioni7 min
Decreto Legislativo 138/2024 — il recepimento italiano di NIS2
Il Decreto Legislativo 138 del 4 settembre 2024 è il recepimento italiano di NIS2 (Direttiva UE 2022/2555). Identifica entità essenziali e importanti, definisce misure tecniche e organizzative, attribuisce responsabilità personale al vertice, e operazionalizza ACN come autorità nazionale competente e CSIRT Italia come CSIRT nazionale.
- Definizioni7 min
Che cos'è il CTEM (Continuous Threat Exposure Management)?
Il CTEM è un programma a cinque fasi — scoping, discovery, prioritization, validation, mobilization — che gira in continuo per mantenere la superficie di esposizione di un'organizzazione misurata, ordinata per sfruttabilità reale e dimostrabilmente ridotta nel tempo. È il framework che Gartner ha codificato per sostituire il pentest puntuale e la vulnerability scanning isolata come base della gestione del cyber-rischio.
- Definizioni8 min
Che cos'è il Cyber Resilience Act UE (CRA)?
Il Cyber Resilience Act UE — Regolamento (UE) 2024/2847 — stabilisce requisiti orizzontali di cybersecurity per qualsiasi "prodotto con elementi digitali" immesso sul mercato UE. Impone secure-by-design e secure-by-default, un processo di gestione vulnerabilità, fornitura SBOM, e reporting di incidenti/vulnerabilità a ENISA. Piena applicazione: 11 dicembre 2027; gli obblighi di reporting ex art. 14 si applicano già dall'11 settembre 2026.
- Definizioni6 min
Che cos'è un SBOM (Software Bill of Materials)?
Un SBOM è un inventario machine-readable di ogni componente software — dipendenze dirette, dipendenze transitive, librerie embedded, tool build-time — che gira dentro un prodotto software, con versione, supplier e identificatore crittografico per ogni voce. I due formati dominanti sono CycloneDX (OWASP) e SPDX (Linux Foundation, ISO/IEC 5962).
- Definizioni7 min
Che cos'è il prompt injection (OWASP LLM01)?
Il prompt injection è una classe di attacco in cui testo controllato dall'avversario — fornito direttamente al modello o indirettamente via un documento, pagina web, email, immagine, audio o output di tool che il modello consuma — sovrascrive il system prompt e induce il modello a eseguire azioni o rivelare informazioni che il designer del sistema non intendeva. È classificato LLM01 — la voce di rischio più alto — nella OWASP Top 10 per LLM Applications.
- Definizioni8 min
Che cos'è la Post-Quantum Cryptography (PQC)?
La Post-Quantum Cryptography (PQC) è la famiglia di algoritmi crittografici progettati per restare sicuri contro un avversario equipaggiato con un quantum computer su larga scala. Da agosto 2024, NIST ha standardizzato tre algoritmi PQC primari — ML-KEM (FIPS 203, key encapsulation), ML-DSA (FIPS 204, firma digitale), SLH-DSA (FIPS 205, firma hash-based) — e raccomanda esplicitamente che le organizzazioni inizino la migrazione ora.
Playbook
- Playbook8 min
Timeline incidenti NIS2 Title 13 — il playbook pratico
Riferimento operativo passo-passo per la cadenza di reporting incidenti NIS2 Title 13: cosa fare nella prima ora, entro ora 24, entro ora 72, entro mese 1. Decision gate, checklist evidenze, failure mode comuni.
- Playbook9 min
Risposta a supply-chain attack con malware firmato — il playbook per CISO
Playbook operativo per le prime 72 ore dopo che un pacchetto in cui ti fidavi — e che portava una firma valida — viene segnalato come compromesso. Decision gate, ordine di rotazione credenziali, lista evidenze, trigger di notifica al regolatore.
Domande frequenti
Qual è la differenza tra NIS2 e DORA?+
NIS2 (Direttiva 2022/2555) è il regime UE orizzontale di cybersecurity per entità essenziali e importanti nei settori regolati. DORA (Regolamento 2022/2554) è il regime specifico per il settore finanziario con obblighi più stringenti su resilienza operativa ICT, TLPT (Threat-Led Penetration Testing) e gestione del rischio ICT-third-party. Le entità finanziarie sono soggette a entrambi in parallelo.
Il Cyber Resilience Act UE (CRA) si applica al mio prodotto?+
Il CRA si applica a qualsiasi "prodotto con elementi digitali" — hardware o software — che si connette direttamente o indirettamente a un dispositivo o a una rete ed è immesso sul mercato UE. Piena applicazione: 11 dicembre 2027; gli obblighi di reporting ex art. 14 si applicano già dall'11 settembre 2026. I contributor open-source non commerciali sono fuori scope; chiunque monetizzi open source è in scope.
Cos'è il CTEM e come differisce da un pentest?+
Il Continuous Threat Exposure Management (CTEM) è un programma ciclico a cinque fasi (scoping, discovery, prioritization, validation, mobilization) che mantiene la superficie di esposizione di un'organizzazione misurata e dimostrabilmente ridotta in continuo. Un pentest produce un report puntuale; il CTEM produce un ledger di esposizione aggiornato in continuo con evidenza crittografica per ogni voce remediata.
Quando il prompt injection (OWASP LLM01) diventa un tema regolatorio?+
Per i sistemi LLM-powered che ricadono nell'Allegato III (alto rischio) dell'AI Act UE, la resistenza al prompt injection fa parte della proprietà di conformità cybersecurity dell'art. 15. Per i tool LLM usati dentro entità essenziali e importanti NIS2, lo stesso controllo sta sotto "misure tecniche e organizzative adeguate e proporzionate". Un vendor che non dimostra difese stratificate contro il prompt injection è già svantaggiato in procurement.
Devo avviare una migrazione post-quantum cryptography (PQC) adesso?+
Sì per qualsiasi dato con vita utile di confidenzialità che si estende oltre l'orizzonte del quantum computer crittograficamente rilevante (CRQC) (tipicamente 5-15 anni). Il threat model "harvest now, decrypt later" significa che il traffico cifrato esfiltrato oggi può essere decifrato retroattivamente una volta che un CRQC esiste. TLS ibrido (X25519MLKEM768) e inventario crittografico sono i primi passi pratici per il 2026.