.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
Oggi le organizzazioni operano in un contesto caratterizzato da numerosi obblighi di compliance IT e cybersecurity. Definendo requisiti per ambiti come controllo degli accessi, risposta agli incidenti, crittografia, governance e gestione dei fornitori, gli standard di compliance contribuiscono a ridurre la probabilità e l’impatto degli attacchi informatici, supportano gli obblighi normativi e legali e rafforzano la fiducia negli ecosistemi digitali.
5.000 responsabili IT e cyber condividono la loro esperienza
Per fare luce sulla situazione reale della compliance IT e cybersecurity, Sophos ha commissionato un’indagine indipendente su 5.000 responsabili IT e cybersecurity in 17 Paesi, appartenenti a diversi settori pubblici e privati. Condotta all’inizio del 2026, l’indagine ha evidenziato i seguenti risultati principali:
- Molteplici obblighi normativi: i partecipanti dichiarano di aderire, in media, a 5 standard di compliance (mediana), evidenziando l’ampiezza degli obblighi regolatori tra regioni e settori.
- Preoccupazioni diffuse sulla non conformità: l’82% dei responsabili teme che la propria organizzazione non sia pienamente conforme a tutte le normative e i requisiti necessari; quasi un quarto (24%) è molto preoccupato. Solo il 18% non esprime preoccupazioni.
- Forte impatto sulle risorse: il 39% del tempo dei team IT e cybersecurity è dedicato ad attività legate alla compliance.
- Difficoltà a tenere il passo: il 79% delle organizzazioni trova difficile stare al passo con i cambiamenti nei requisiti di compliance, e il 19% lo considera “molto difficile”.
- Impatto maggiore sulle PMI: le aziende più piccole affrontano un numero simile di framework normativi rispetto alle grandi imprese, ma con meno risorse e competenze per gestirli.
Settore e area geografica fanno la differenza
Nei 17 Paesi delle Americhe, EMEA e Asia-Pacifico e nei 15 settori analizzati, le normative più citate sono:
- ISO 27001/2: 51,2%
- GDPR: 40,4%
- CIS: 29,7%
- NIST CSF: 23,8%
- PCI DSS: 23,1%
- HIPAA: 21,7%
- DORA: 19,8%
- NIS2: 16,1%
Pur essendo tra gli standard più diffusi, il loro livello di adozione varia in modo significativo in base al settore e all’area geografica.
Ad esempio, il 66% delle organizzazioni nel settore distribuzione e trasporti cita ISO 27001/2, rispetto al 38% nel settore pubblico locale. Allo stesso modo, il 60% delle aziende in Spagna punta alla conformità con ISO 27001/2, contro il 35% in Messico; negli Stati Uniti il 30% delle organizzazioni adotta il NIST CSF, contro il 13% in Australia.
La compliance oggi: tre evidenze chiave
I risultati dell’indagine mostrano che il carico della compliance è elevato e che mantenerla nel tempo rappresenta una sfida continua. Le principali evidenze per i responsabili IT e cybersecurity sono:
La complessità della compliance supera la capacità dell’IT
Mantenere la conformità a un solo standard è già complesso; gestirne cinque contemporaneamente è una sfida enorme per qualsiasi organizzazione. Molti framework richiedono informazioni simili, generando duplicazioni di lavoro. Poiché quasi 8 organizzazioni su 10 (79%) faticano a stare al passo con i cambiamenti, è evidente che i team IT e cybersecurity sono sotto pressione.
La compliance ha un impatto significativo sulle risorse
Le attività di compliance spaziano dalla comprensione dei requisiti normativi all’implementazione dei controlli, fino alla reportistica. Considerando che circa due quinti del tempo dei team IT e cybersecurity è dedicato a queste attività, è fondamentale che le organizzazioni dispongano di risorse adeguate per soddisfare sia gli obblighi normativi sia le esigenze operative più ampie.
La mancanza di visibilità crea rischi di compliance e sicurezza
Non basta pensare di essere conformi: bisogna esserne certi. Tuttavia, con l’82% dei responsabili IT e cybersecurity preoccupato di non esserlo pienamente, emerge una carenza di visibilità sul reale stato di conformità. Senza una visione completa, le organizzazioni rischiano anche di non individuare vulnerabilità operative e di sicurezza, aumentando la probabilità di incidenti informatici e di perdita di dati.
Mantenere la conformità a più standard normativi è un impegno significativo per tutte le organizzazioni, in particolare per le PMI, che sono maggiormente colpite dai costi legati all’assunzione di personale dedicato alla gestione di normative in continua evoluzione. Con requisiti destinati ad aumentare per volume e complessità, le aziende dovrebbero valutare come supportare al meglio queste esigenze, anche considerando la possibilità di collaborare con specialisti esterni in grado di fornire competenze e risorse dedicate.