La trasformazione digitale delle imprese europee ha reso la cyber resilience un tema non solo tecnico ma strategico, legato alla capacità delle organizzazioni di continuare a operare e innovare anche in condizioni di crisi. La sicurezza informatica non è più vista come una voce di costo, ma come fattore abilitante della resilienza complessiva.
Secondo Massimiliano Colombo, Senior Cybersecurity Advisor di Cefriel, la vera sfida oggi non è tanto “essere conformi”, quanto «saper sopravvivere e svilupparsi in un ecosistema digitale dove attacchi e normative evolvono insieme».
Indice degli argomenti
Dalla cybersecurity alla cyber resilience
L’Europa ha definito da tempo la direzione verso cui dovrebbero muoversi le imprese: essere human-centric, sostenibili e resilienti. È una visione che lega la competitività alla capacità di resistere agli shock tecnologici e geopolitici.
In questo quadro, spiega Colombo, la cybersecurity diventa una componente essenziale della resilienza: «un elemento abilitante della sostenibilità e della continuità industriale».
La consapevolezza di questa interdipendenza cresce anche perché, seppur una volta limitati ai data center o ai sistemi IT, gli attacchi informatici colpiscono sempre più spesso la catena produttiva e i dispositivi connessi. La continuità operativa di una fabbrica, una rete logistica o un’infrastruttura critica dipende ormai dalla capacità di reagire rapidamente, di contenere i danni e di ripristinare i servizi essenziali.
Non si tratta soltanto di difendere il perimetro digitale, ma di costruire un’organizzazione antifragile, in grado di adattarsi alle minacce senza compromettere la produttività.
L’intreccio normativo: NIS 2, CRA, Data Act e PLD
Il quadro normativo europeo sulla cyber resilience è oggi più articolato che mai. Le imprese devono confrontarsi con un insieme di direttive e regolamenti che, pur nati in momenti diversi, si intersecano strettamente.
La Direttiva NIS 2 estende gli obblighi di sicurezza a un numero crescente di settori, tra cui la manifattura, richiedendo processi di gestione del rischio, governance e notifica tempestiva degli incidenti.
Il Cyber Resilience Act (CRA), entrato in vigore nel 2025, impone invece requisiti di prodotto e di processo per tutte le soluzioni con elementi digitali: i produttori devono dimostrare di gestire in modo sistematico le vulnerabilità e di rilasciare aggiornamenti di sicurezza.
Accanto a queste due norme, il nuovo Regolamento Macchine introduce per la prima volta l’obbligo di cybersecurity come condizione di safety, cioè di sicurezza funzionale.
Come evidenzia Colombo, «il CRA e il Regolamento Macchine si sovrappongono per i costruttori di macchinari connessi», che dovranno garantire conformità a entrambe le normative. A completare il quadro, il Data Act – in vigore dal settembre 2025 – e la Product Liability Directive (PLD) ampliano le responsabilità dei produttori in caso di difetti o malfunzionamenti dovuti a vulnerabilità digitali.
La logica è chiara: prevenire il rischio tecnico per evitare il danno legale. In altre parole, il CRA cerca di evitare a monte le condizioni che renderebbero applicabile la PLD.
Dalla compliance alla resilienza economica
Oltre alle sanzioni previste per la mancata conformità, la vera posta in gioco riguarda la sopravvivenza economica delle imprese. Secondo Colombo, «il rischio non è tanto l’inadempienza formale, quanto non riuscire a sopravvivere a un attacco che blocca la produzione o compromette la fiducia dei clienti».
La cyber resilience entra quindi anche nei criteri di valutazione finanziaria. Nel maggio 2025, un titolo di giornale sintetizzava il nuovo paradigma: “Soldi ai cyber protetti”. Alcuni istituti di credito, infatti, hanno iniziato a considerare il livello di sicurezza informatica tra i fattori per la concessione di prestiti agevolati, riconoscendo la relazione diretta tra cybersecurity e resilienza aziendale.
È lo stesso principio che da tempo regola la finanza verde: come la sostenibilità ambientale indica la capacità di durare nel tempo, così la sicurezza digitale misura la capacità di resistere e adattarsi. Le aziende più sicure sono anche quelle più stabili, meno soggette a interruzioni e dunque più affidabili dal punto di vista economico.
Strumenti per la resilienza collettiva
Per affrontare questo nuovo scenario, le imprese non partono da zero. Colombo ricorda che esiste già «un patrimonio consolidato di standard e framework internazionali» in grado di guidare la conformità e rafforzare la resilienza.
La serie ISO/IEC 27000 fornisce i principi di gestione della sicurezza delle informazioni per l’ambito IT, mentre la IEC 62443 definisce i requisiti specifici per la protezione dei sistemi OT. Il NIST Cybersecurity Framework consente di misurare la maturità dei processi e individuare le aree di miglioramento.
Questi strumenti, spesso definiti di soft law, rappresentano la base tecnica su cui costruire l’aderenza alle hard law europee come la NIS 2 e il CRA.
Accanto agli standard, la cooperazione pubblico-privato e la condivisione delle informazioni sugli incidenti diventano elementi centrali. L’obiettivo è costruire una resilienza collettiva, dove la difesa non è più un compito isolato ma un processo condiviso lungo tutta la catena del valore.
La cyber resilience come leva di sostenibilità
Il legame tra sicurezza e sostenibilità emerge come uno dei punti chiave dell’intervento di Colombo. La cyber resilience non si limita a garantire la protezione dai rischi digitali: contribuisce alla sostenibilità d’impresa, rafforzando la fiducia degli stakeholder e assicurando la continuità dei servizi.
Un’azienda resiliente è quella capace di rispondere in modo coordinato agli imprevisti, di mantenere operativa la produzione e di rispettare le normative senza bloccare l’innovazione. La resilienza digitale diventa così una componente della competitività europea, allineata con la visione dell’Unione di un’economia più sicura, trasparente e interoperabile.Come conclude Colombo, la sfida per le imprese è «non muoversi solo per conformarsi, ma per diventare davvero resilienti». Una transizione che passa dalla compliance reattiva alla sicurezza proattiva, e dalla protezione individuale alla fiducia collettiva.
