Il ruolo del CISO sta attraversando una trasformazione profonda e irreversibile. Storicamente, il nostro mandato era relativamente circoscritto: proteggere i dati, salvaguardare la proprietà intellettuale e garantire l’integrità della rete aziendale. Negli ultimi cinque anni, tuttavia, sono emerse nuove dimensioni che hanno ampliato radicalmente le nostre responsabilità; il perimetro che siamo chiamati a difendere si è esteso ben oltre i confini tradizionali.
Non siamo più soltanto custodi delle informazioni digitali: siamo diventati i guardiani della sicurezza del mondo fisico. Le infrastrutture critiche che sostengono le nostre società – dalla logistica all’energia, dalla sanità ai servizi finanziari, fino ai vasti ecosistemi retail – hanno raggiunto livelli di digitalizzazione e interconnessione tali da costituire un unico tessuto di valore interdipendente. Ed è proprio questo valore a rappresentare il bersaglio finale di attacchi progettati per destabilizzare interi sistemi economici e sociali.
Indice degli argomenti
L’evoluzione del quadro normativo: dalle raccomandazioni agli obblighi stringenti
Negli ultimi sei mesi, tra la fine del 2025 e il primo trimestre del 2026, durante i miei incontri regolari con responsabili della sicurezza informatica in tutta l’area EMEA, ho potuto osservare direttamente questa trasformazione. I legislatori, sotto la guida diretta dei governi, hanno esaminato con attenzione il ruolo delle Operational Technology all’interno della catena del valore. Il quadro normativo che ne è scaturito è stato progettato per contrastare l’impatto che gli attacchi cyber possono avere sulla stabilità nazionale.
L’ampliamento di questo mandato, insieme al ruolo che le infrastrutture critiche hanno assunto nell’ambito della difesa nazionale, ha modificato radicalmente il tono dell’ambiente regolamentare. Le autorità di vigilanza sono passate dall’emettere semplici “raccomandazioni” all’imporre veri e propri “obblighi stringenti”. Sono state introdotte normative specifiche che trasferiscono direttamente sui Consigli di Amministrazione l’onere della responsabilità e delle conseguenze legali.
Un esempio significativo è rappresentato dal SARB & FSCA Joint Standard 2 del 2024, entrato ufficialmente in vigore nel giugno 2025, che impone esplicitamente requisiti di cyber resilience per il settore finanziario. In base a questi framework, la responsabilità ultima della cybersecurity ricade sul Board.
Che si tratti del WAM di Casablanca, il più importante evento africano dedicato all’OT, del kick-off commerciale di Orange Cyber Defense durante il Mobile World Congress di Barcellona, oppure dei recenti eventi dedicati ai dirigenti dei settori finance e retail in Sudafrica, il dibattito sulla regolamentazione delle infrastrutture critiche non viene più considerato un mero esercizio di compliance locale.
Le implicazioni sono estremamente rilevanti e comprendono responsabilità personali, sanzioni, demansionamenti e persino possibili pene detentive nei casi di grave negligenza. Inoltre, normative moderne come la Sezione 19 del POPIA e la Sezione 54 del Cybercrimes Act impongono procedure di segnalazione rapide e rigorose, richiedendo spesso la notifica degli incidenti entro 72 ore e il rispetto di una regola stringente di ripristino entro due ore.
Quando un attacco informatico può provocare una situazione di “forza maggiore”, bloccando di fatto la logistica nazionale e causando una perdita di volumi commerciali che nessuna patch IT potrà mai recuperare, significa che il paradigma è cambiato.
L’aumento delle interruzioni operative nel mondo reale
Questa ampia riforma legislativa non è nata nel vuoto. Ho potuto constatare come sia stata accelerata da un’impennata di attacchi cyber devastanti contro infrastrutture critiche verificatisi nello stesso periodo. Gli attori malevoli hanno compreso che paralizzare le operazioni fisiche genera un potere di pressione molto maggiore rispetto al semplice furto di dati.
Durante il mio intervento inaugurale a Città del Capo ho ricordato il devastante attacco ransomware che ha recentemente colpito una delle principali aziende di trasporto locali. L’evento non è stato considerato una semplice anomalia IT, ma è stato riconosciuto come una grave crisi di business continuity, gestita in modo efficace direttamente dal CEO.
L’interruzione delle attività operative ha costretto il Consiglio di Amministrazione a gestire le conseguenze su circa il 60% del commercio del Sudafrica. Di conseguenza, le imprese pubbliche considerano oggi correttamente le minacce cyber come questioni di sicurezza nazionale.
Una violazione informatica è ormai universalmente riconosciuta come un “evento materiale”, in grado di influenzare significativamente la fiducia degli investitori e il valore per gli azionisti. Tuttavia, quando il management assume un ruolo di leadership, gli esiti possono essere diversi.
Ho osservato un esempio virtuoso di trasparenza a livello di board durante una grave violazione dei dati subita da una nota compagnia assicurativa. L’organizzazione ha assunto immediatamente la responsabilità dell’accaduto attraverso una risposta guidata dal CEO e ha rifiutato di pagare il riscatto richiesto dagli attaccanti. Questa scelta ha consentito di preservare la fiducia, la reputazione, e di recuperare rapidamente il valore sul mercato.
La convergenza IT/OT: perché i silos devono essere superati
La rapida espansione del perimetro di minaccia è strettamente legata alla convergenza tra Information Technology (IT) e Operational Technology (OT). In passato, i sistemi di controllo industriale, gli impianti produttivi e le reti logistiche operavano in ambienti isolati e separati dal resto delle infrastrutture digitali. Oggi, invece, la tecnologia rappresenta il principale motore dell’innovazione e ha trasformato questi sistemi un tempo isolati in reti integrate e accessibili. Questa convergenza si estende ben oltre il comparto industriale tradizionale, come ho potuto osservare recentemente partecipando a un altro evento in Sudafrica. Il settore retail ha vissuto una trasformazione radicale, evolvendo da modelli fisici tradizionali a ecosistemi omnicanale altamente integrati.
Il retail è oggi sotto assedio. Nel 2025 il costo medio di una violazione dei dati ha raggiunto i 40 milioni di rand e il 79% dei consumatori considera la sicurezza dei dati un criterio prioritario nella scelta del punto vendita. In questo contesto, la protezione delle informazioni dei clienti è diventata un elemento imprescindibile per la reputazione di lungo periodo del brand. Ovunque mi trovi, osservo come la cybersecurity stia ufficialmente evolvendo da funzione IT di back-office a pilastro strategico delle decisioni di board.
Per proteggere questi ambienti convergenti IT/OT, i CISO sono consapevoli della necessità di adottare una visione olistica. Come ho sottolineato durante un recente executive briefing, “non esiste alcun modo per raggiungere la conformità normativa operando per silos”.
L’integrazione delle valutazioni strategiche è un elemento imprescindibile. Nel settore dei servizi finanziari, ad esempio, i clienti non abbandonano una banca semplicemente perché l’applicazione è lenta; la abbandonano quando non si fidano più della sua capacità di proteggere i loro risparmi.
Un’architettura unificata per il moderno panorama delle minacce
Come trasformare questa visione olistica in un modello operativo concreto? La gestione di requisiti così complessi richiede un framework capace di integrare in modo fluido compliance, operation e networking senza compromettere l’agilità del business. Serve una filosofia architetturale fondata sull’integrazione.
- Unified Secure Access Service Edge (SASE): Questa architettura garantisce il necessario livello di conformità normativa attraverso l’utilizzo di Point of Presence (PoP) locali, assicurando che i dati altamente sensibili non escano mai dalla giurisdizione legale di appartenenza.
- Automazione intelligente attraverso i SecOps: Le moderne piattaforme SecOps correlano gli eventi, valutano gli incidenti e attivano automaticamente le risposte appropriate. Questo approccio è fondamentale per ridurre drasticamente il tempo necessario a rilevare, contenere, investigare e mitigare le minacce, comprimendo le finestre di risposta da settimane – o in alcuni casi da 21 giorni – a meno di un’ora.
- Networking sicuro e dinamico: I CISO hanno bisogno di dati di rete granulari per dimostrare dinamicamente l’efficacia della segmentazione. Deve essere possibile dimostrare a un’autorità regolatoria che un virus originato dal sistema di point-of-sale di una libreria retail non possa propagarsi lateralmente fino a raggiungere il database centrale di una banca. Allo stesso tempo, è necessario poter misurare e dimostrare il rispetto di un Recovery Time Objective pari a due ore. I nuovi requisiti normativi richiedono una piattaforma unificata in grado di supportare queste esigenze.
- Prestazioni su misura: Tutta questa visibilità perde valore se introduce latenza negli ambienti critici. Nel mondo OT, il millisecondo rappresenta l’unità temporale di riferimento. La sicurezza deve quindi essere in grado di delegare le attività più intensive in termini di risorse, garantendo funzionalità di protezione di rete in tempo reale e a bassa latenza senza compromettere le prestazioni operative.
La fiducia digitale rappresenta oggi il fondamento assoluto del successo aziendale. Sfruttare la sicurezza in modo proattivo non significa più soltanto difendersi dagli attacchi, ma creare un vero elemento di differenziazione strategica capace di rafforzare la fiducia dei consumatori.
L’epoca in cui la cybersecurity veniva considerata una disciplina esclusivamente tecnica appartiene al passato. Che si tratti di proteggere un hub logistico ferroviario nazionale, gli asset strategici di un istituto finanziario o la rete omnicanale di un retailer, il mandato del CISO moderno è ormai inequivocabile.
La cyber resilience è un requisito operativo, la compliance richiede una profonda integrazione e il Consiglio di Amministrazione rimane il soggetto ultimamente responsabile. Adottando un approccio unificato e ad alte prestazioni alla sicurezza IT e OT, possiamo mantenere gli attacchi informatici a distanza e garantire che le infrastrutture critiche continuino a operare in modo resiliente e sicuro.









Partecipa alla community