normative

Cyber resilience, come cavalcare la rivoluzione normativa



Indirizzo copiato

Il Regolamento Dora e la Direttiva NIS2 sono destinate a cambiare il modo in cui le imprese concepiscono e sviluppano la cyber resilience. Ma per potenziare l’IT governance e garantire la compliance occorre puntare sugli aspetti culturali e organizzativi, più che sulle soluzioni tecnologiche

Pubblicato il 6 nov 2024



cyber resilience

Spesso, quando si parla dei framework normativi che stanno per rivoluzionare le discipline della cybersecurity e della cyber resilience, si tende ad analizzare gli impianti in modo separato. Non c’è da stupirsi: Regolamento Dora (Digital operational resilience act) e NIS2 (Network and information security directive 2) – sono questi i due dispositivi ormai sulla bocca di tutti – costituiscono ciascuno un corpus estremamente complesso.

Come se non bastasse, il Regolamento Dora, pur sistematizzando il tema della resilienza delle supply chain, è indirizzato in maniera esplicita al mondo finanziario, il che ha portato molti soggetti – a volte a torto, vista la sempre maggiore interconnessione delle filiere – a non sentirsi chiamati in causa. La verità, però, è che i due framework andrebbero considerati se non complementari, quanto meno strettamente correlati.

Il panorama della cyber resilience sotto il profilo normativo: i gap italiani

“Se ci approcciamo al Regolamento Dora e alla NIS2 come se fossero due impianti del tutto separati, perdiamo il senso di quello che, a breve, sarà il nuovo panorama complessivo della cyber resilience”, spiega Stefano Ferroni, consulente senior sui temi di cybersecurity e compliance di Beta 80 Group. “Entrambi sono da collocarsi nel quadro della Cybersecurity Strategy dell’Unione Europea, pubblicata nel dicembre 2020”.

Il Regolamento Dora, infatti, sarà vincolante a partire dal 17 gennaio 2025, mentre la NIS2, approvato il decreto attuativo, dal 16 ottobre 2024: “Se Dora si focalizza sulla resilienza delle istituzioni finanziarie e delle loro supply chain, NIS2 fornisce le linee guida per migliorare la sicurezza informatica delle organizzazioni considerate importanti ed essenziali nella fornitura di servizi critici”, continua Ferroni. “Ma ciò che conta davvero, a prescindere da queste differenze, è che i due framework invitano tutte le imprese ad affrontare il tema della cyber resilience facendo leva su IT governance e risk management”.

Secondo Ferroni, la governance impone di implementare e gestire dei controlli sui processi, e la parola ‘controllo’, in italiano come in inglese, ha a che fare sia con le attività di verifica e controllo, sia con la capacità di governo dei mezzi a propria disposizione: la strategia può essere costruita solo a partire dalle esigenze del business, da intersecare in modo dinamico con gli stimoli esterni e le necessità degli altri attori della filiera. In quest’ottica, assume assoluta rilevanza l’aspetto culturale, mentre la componente tecnologica risulta decisamente secondaria.

Ma le aziende italiane hanno sviluppato la cultura necessaria per cavalcare la rivoluzione normativa in corso? “Sussiste un gap tra le imprese, come per esempio da un lato le banche e le telco, che già da tempo, sia per necessità sia per effetto di normative di settore, hanno fatto questo salto, e dall’altro le organizzazioni che hanno invece affrontato la cyber resilience in modo estemporaneo, oppure in risposta a eventi specifici”, spiega Raffaele Di Rubba, responsabile dell’offerta Cyber Security di Beta 80.

Si tratta quindi un diverso livello di maturità, più che un divario tecnico e tecnologico: “Il gap è di tipo culturale, organizzativo – spiega il manager -. Bisognerebbe partire dalla valutazione del rischio informatico, conoscere la struttura aziendale, comprendere il business digitale e porre rimedio non solo per l’organizzazione ma anche per chi, lungo la supply chain, è permeato dalle stesse minacce”. Tuttavia, “in ancora troppi casi l’approccio è tattico: l’azienda viene colpita e allora si effettua un assessment o un penetration test, oppure si identifica una certa vulnerabilità e si decide di intervenire in modo puntuale e con una soluzione specifica – prosegue Di Rubba -. Non è questo ciò che indicano le normative, anzi è ciò che cercano di sanare”.

Costruire un percorso su misura per raggiungere la compliance normativa

Il problema è che troppe aziende non sanno come sono fatte dal punto di vista digitale e spesso, proprio per questa mancanza di consapevolezza, implementano prodotti che non si integrano correttamente. “Chi fa il nostro lavoro può aiutare i decisori a costruire una prospettiva strategica”, dice Ferroni. “Ma non c’è una ricetta univoca per l’IT governance, e la risposta del consulente dipende da chi fa la domanda, o per meglio dire da come e dove si colloca l’interlocutore, se a livello operativo o nel top management. Non dimentichiamo, infine, che il tutto va contestualizzato nello scenario in cui è inserita l’azienda: ogni caso fa storia a sé”.

Di solito, le persone con profili tecnici hanno già un’idea precisa, ma puntuale, di cosa si debba fare, riescono a condividere una chiara valutazione di quello che occorre per raggiungere l’obiettivo e sanno come declinarlo in un servizio o in un impianto tecnologico con un lavoro dedicato: “Se abbiamo opportunità di parlare con figure apicali, invece, possiamo impostare i temi della cyber resilience in modo più organico, iniziando un percorso che metta a fattor comune esigenze di business, compliance normativa e cyber security”, spiega Di Rubba, precisando che si tratta comunque di progetti che vanno sempre condotti a più mani. “Il campo della cyber security è vastissimo, ed è difficile disporre di tutte le competenze che servono per abbracciarlo nella sua interezza. Del resto, se in altri ambiti dell’ICT si è assistito al consolidamento e alla razionalizzazione delle soluzioni, qui il fenomeno è stato molto meno pronunciato”.

L’approccio di Beta 80 Group alla cyber resilience e all’IT governance

Il percorso che un’azienda deve percorrere per raggiungere la piena compliance normativa sotto il profilo della cyber resilience è lungo, e tutt’altro che predefinito: “L’assessment costituisce solo il primo passo, ed è indispensabile per indirizzare le priorità, ma l’itinerario può subire, anche temporalmente, diverse variazioni”, sottolinea Ferroni. La normativa non mette particolari paletti, non indica risultati quantitativi da raggiungere, né impone KPI con valori specifici. Lascia piuttosto ampio margine d’azione e promuove il meccanismo dell’autovalutazione. Per questo consigliamo sempre di cominciare a sanare gli aspetti più importanti e critici, per poi misurare gli effetti di ciascuna iniziativa e prevedere adeguamenti e interventi di fine tuning man mano che si avanza”.

Anche sul piano implementativo, l’approccio di Beta 80 rispecchia questa impostazione: “Se di fronte una tale varietà di temi da affrontare abbiamo la presunzione di imporre soluzioni ampie e onnicomprensive, nove volte su dieci andremo incontro a fallimenti”, chiosa Ferroni. “Utilizzando invece un approccio più agile, concreto, graduale e – passatemi il termine – dolce, sia pur rispettando le scadenze di legge, avremo maggiori probabilità di raggiungere gli obiettivi prefissati, anche perché saremo stati in grado di coinvolgere su ciascun progetto i partner più indicati per svilupparlo insieme al cliente”.

Contributo editoriale sviluppato in collaborazione con Beta 80

EU Stories - La coesione innova l'Italia

Tutti
Social
Iniziative
Video
Analisi
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4