La Direttiva NIS2 ha ridefinito il perimetro della responsabilità nella gestione del rischio cyber, imponendo alle organizzazioni essenziali e importanti non solo l’adozione di misure tecniche adeguate, ma la dimostrazione concreta di preparazione e capacità decisionale in caso di incidente significativo. In questo contesto, i tradizionali table top exercise, basati su scenari statici e conduzione manuale, mostrano limiti crescenti rispetto alla complessità degli ecosistemi digitali contemporanei.
Indice degli argomenti
Resilienza operativa e conformità: il table top diventa strumento di governance
L’integrazione di algoritmi di intelligenza artificiale nelle esercitazioni di crisi consente di trasformare il table top da esercizio narrativo a sistema dinamico adattivo, in grado di modellare propagazione della minaccia, impatti operativi e conseguenze regolatorie in funzione delle decisioni assunte dal management. L’articolo analizza l’architettura concettuale di un table top AI-driven, le modalità di modellazione semi-quantitativa dell’impatto, l’integrazione con ambienti IT/OT e i profili di accountability richiesti dalla NIS2. L’obiettivo non è automatizzare la governance, ma rafforzarne la maturità attraverso simulazioni evolutive che rendano visibili interdipendenze e trade-off decisionali. L’AI, in questa prospettiva, non sostituisce il giudizio umano, ma ne amplifica la capacità di comprendere e governare la complessità.
L’evoluzione della normativa europea in materia di cybersecurity ha trasformato profondamente il significato e la funzione delle esercitazioni di gestione degli incidenti. Con l’entrata in vigore della Direttiva NIS2, le organizzazioni classificate come soggetti essenziali o soggetti importanti non sono più chiamate soltanto a dimostrare l’adozione di misure tecniche di protezione, ma devono essere in grado di dimostrare la loro preparazione organizzativa, la capacità decisionale sotto pressione e la governance consapevole del rischio. In questo scenario, il table top exercise, tradizionalmente concepito come esercizio narrativo e manuale, assume un ruolo centrale ma necessita di un ripensamento metodologico.
Dal didattico allo strategico: come il table top sta cambiando
Per molti anni i table top sono stati costruiti come simulazioni statiche, basate su scenari predeterminati e guidati da un facilitatore umano che introduceva progressivamente eventi, complicazioni e vincoli. Questo approccio ha avuto il merito di diffondere la cultura della risposta agli incidenti e di coinvolgere il management in esercizi di scenario. Tuttavia, la crescente complessità degli ecosistemi digitali, l’interconnessione tra IT e OT e l’accelerazione delle minacce rendono evidente che una simulazione puramente manuale rischia di non essere più sufficiente.
L’AI nei table top: estensione, non sostituzione
L’introduzione di algoritmi di intelligenza artificiale nei table top non rappresenta una sostituzione dell’elemento umano, bensì un’estensione delle capacità di modellazione e di adattamento dello scenario. Il punto cruciale non è automatizzare l’esercizio, ma renderlo dinamico, reattivo e coerente con la complessità reale dell’infrastruttura oggetto di simulazione.
Cosa richiede davvero la NIS2 alle esercitazioni
La NIS2 non impone formalmente l’uso di strumenti di AI nelle esercitazioni, ma richiede che le organizzazioni siano in grado di dimostrare una capacità concreta di gestione degli incidenti significativi. Questo implica che le esercitazioni non possano limitarsi a una rappresentazione lineare e prevedibile dell’evento. Devono invece mettere alla prova il processo decisionale, la comunicazione interna, la gestione del tempo e la valutazione dei trade-off tra sicurezza e continuità operativa.
Il table top come strumento di governance del board
In un contesto NIS2, il table top non è più soltanto un esercizio didattico. Diventa uno strumento di governance. È il luogo in cui il board, il management operativo, il responsabile IT, il responsabile OT e la funzione legale si confrontano con la simulazione di un evento che, se reale, potrebbe generare impatti regolatori, reputazionali ed economici rilevanti.
Il limite strutturale del table top tradizionale
Il table top tradizionale si fonda su una sequenza di eventi costruiti in anticipo. Il facilitatore introduce un attacco iniziale, i partecipanti discutono le prime azioni, vengono introdotte nuove informazioni e si procede verso una risoluzione finale. Questa struttura, pur se efficace in contesti formativi, presenta tre limiti principali quando viene applicata a organizzazioni soggette a NIS2.
Prevedibilità, assenza di modellazione e scalabilità: i tre nodi critici
Il primo limite è la prevedibilità. Anche quando lo scenario è complesso, la sequenza degli eventi è stabilita a priori. Le decisioni dei partecipanti influenzano la discussione, ma raramente modificano in modo sostanziale l’evoluzione dello scenario. Ciò riduce la pressione cognitiva e non riproduce l’incertezza tipica di un incidente reale.
Il secondo limite è l’assenza di modellazione quantitativa. I partecipanti discutono le possibili conseguenze delle scelte, ma spesso senza un sistema che traduca tali decisioni in impatti misurabili, anche solo in forma simulata. L’impatto rimane narrativo.
Il terzo limite riguarda la scalabilità. Ogni esercitazione richiede un lavoro manuale significativo da parte del facilitatore, con difficoltà nel riutilizzare o adattare dinamicamente lo scenario in funzione delle risposte dei partecipanti.
L’integrazione di algoritmi di intelligenza artificiale consente di superare progressivamente questi limiti, introducendo elementi di adattività, variabilità controllata e modellazione dinamica.
Architettura concettuale di un table top supportato da AI
Per comprendere come progettare un table top assistito da algoritmi, occorre partire dall’architettura concettuale del sistema. L’AI non deve essere percepita come una “scatola nera” che genera eventi casuali, ma come un motore di simulazione strutturato su modelli.
Un table top AI-driven può essere costruito su tre livelli logici:
Il primo livello è il modello dell’infrastruttura. Questo livello rappresenta, anche in forma semplificata, gli asset critici, le dipendenze tra sistemi, le interconnessioni tra IT e OT e le funzioni operative essenziali. Non si tratta di replicare l’intera architettura tecnologica, ma di costruire un grafo funzionale delle dipendenze.
Il secondo livello è il modello dell’attaccante. Qui l’AI può simulare comportamenti coerenti con tecniche note, evoluzione laterale, escalation di privilegi o sfruttamento di vulnerabilità. L’obiettivo non è generare attacchi realistici dal punto di vista tecnico, ma modellare traiettorie di compromissione.
Il terzo livello è il modello decisionale organizzativo. In questo livello, le scelte dei partecipanti vengono tradotte in parametri che influenzano l’evoluzione dello scenario. Una decisione di isolamento di rete, ad esempio, può ridurre la propagazione della compromissione ma aumentare l’impatto operativo. L’AI può calcolare in tempo reale queste variazioni e aggiornare lo scenario.
Questa architettura consente di trasformare il table top in un sistema dinamico. Le decisioni non vengono semplicemente discusse, ma producono effetti simulati che modificano il contesto successivo.
Algoritmi adattivi e generazione dinamica dello scenario
Dal punto di vista algoritmico, non è necessario ricorrere a sistemi di AI complessi o a modelli di deep learning per ottenere risultati efficaci. In molti casi, modelli probabilistici, reti bayesiane o sistemi basati su regole possono essere sufficienti per generare uno scenario adattivo.
Un esempio concreto può chiarire il concetto. Supponiamo che l’esercitazione simuli un attacco ransomware a un’infrastruttura energetica. Nel table top tradizionale, il facilitatore descriverebbe la compromissione iniziale, l’impatto sui sistemi di controllo e l’eventuale richiesta di riscatto. In un sistema AI-driven, invece, la decisione del team di non isolare immediatamente un segmento di rete potrebbe aumentare la probabilità di propagazione verso altri nodi critici. Il modello aggiornerebbe la mappa della compromissione e fornirebbe nuove informazioni coerenti con la traiettoria simulata.
La variabilità controllata è uno degli elementi chiave. L’AI può introdurre elementi di incertezza che costringono i partecipanti a ragionare in condizioni non perfettamente deterministiche. Tuttavia, tale variabilità deve essere progettata con attenzione, per evitare che l’esercitazione diventi caotica o incoerente.
L’obiettivo non è sorprendere i partecipanti con colpi di scena arbitrari, ma riprodurre la complessità di un sistema in cui le decisioni hanno conseguenze non lineari.
Il ruolo del facilitatore nell’era dell’AI
Un errore frequente consiste nel ritenere che l’introduzione dell’AI riduca il ruolo del facilitatore umano. In realtà accade l’opposto. Il facilitatore assume un ruolo ancora più strategico, perché deve interpretare i risultati del modello, guidare la discussione e assicurare che l’attenzione rimanga sugli aspetti di governance e responsabilità.
L’AI genera dinamiche, ma è il facilitatore che le contestualizza rispetto alla normativa NIS2, alle responsabilità del board e agli obblighi di notifica. Il valore dell’esercitazione non risiede nel modello matematico, ma nella riflessione che esso stimola.
Un table top AI-driven deve quindi essere progettato come sistema ibrido, in cui algoritmo e facilitatore collaborano. L’algoritmo simula, il facilitatore interpreta.
Dimostrabilità e tracciabilità in ottica NIS2
Uno degli aspetti più rilevanti per le organizzazioni soggette a NIS2 è la dimostrabilità delle attività svolte. Un table top supportato da AI può generare log delle decisioni, timeline degli eventi e report sintetici che documentano il processo decisionale.
Questo elemento ha un valore significativo in termini di accountability. La possibilità di dimostrare che il board ha partecipato a esercitazioni realistiche, che sono state testate procedure di risposta e che sono state individuate aree di miglioramento rafforza la posizione dell’organizzazione in caso di audit o di incidente reale.
La tecnologia, in questo caso, diventa uno strumento di governance documentabile.
Progettare concretamente un table top AI-driven in contesto NIS2
Quando si decide di integrare algoritmi di intelligenza artificiale in un table top, il primo errore da evitare è quello di partire dalla tecnologia. Il punto di partenza non è l’algoritmo, ma l’obiettivo normativo e organizzativo dell’esercitazione. In ambito NIS2, l’obiettivo non è dimostrare capacità tecniche di detection, bensì testare la capacità decisionale, la coordinazione interfunzionale e la gestione della responsabilità.
La progettazione deve quindi iniziare con una domanda chiara: quale dimensione della nostra preparazione vogliamo mettere alla prova? La capacità di valutare l’impatto su servizi essenziali? La gestione della comunicazione verso l’autorità competente? Il coordinamento tra IT e OT? La responsabilità del board in caso di incidente significativo?
Una volta definito l’obiettivo, si procede alla modellazione semplificata dell’infrastruttura. Non è necessario replicare ogni server o ogni PLC. È sufficiente costruire una rappresentazione logica delle funzioni critiche e delle loro interdipendenze. Questo modello può essere espresso come grafo funzionale, in cui i nodi rappresentano funzioni operative o asset critici e gli archi rappresentano dipendenze.
È qui che l’AI inizia a svolgere un ruolo concreto. L’algoritmo può essere progettato per simulare la propagazione di una compromissione lungo gli archi del grafo, introducendo variabili quali tempo, capacità di contenimento, decisioni di isolamento, attivazione di procedure di business continuity.
Un table top tradizionale avrebbe una narrazione lineare. Un table top AI-driven, invece, diventa un sistema dinamico in cui lo stato del sistema cambia in funzione delle decisioni prese. Se il management decide di ritardare una notifica per raccogliere ulteriori informazioni, il modello può introdurre conseguenze reputazionali o regolatorie simulate. Se viene privilegiata la continuità operativa rispetto al contenimento, l’algoritmo può simulare una maggiore propagazione.
La chiave è costruire un motore di coerenza, non un generatore di sorprese casuali. Ogni evoluzione dello scenario deve essere spiegabile e riconducibile a parametri predefiniti.
Modellare l’impatto: dal qualitativo al semi-quantitativo
Uno dei principali vantaggi dell’uso dell’AI nei table top consiste nella possibilità di tradurre le decisioni in indicatori dinamici. Non si tratta di fornire numeri assoluti, ma di rendere visibile l’evoluzione di alcune grandezze.
Si può ad esempio modellare il livello di compromissione come variabile che cresce o decresce in funzione delle scelte. Allo stesso modo si può modellare l’impatto operativo come funzione della disponibilità dei sistemi critici e delle decisioni di isolamento. Si può introdurre una variabile reputazionale o regolatoria che cresce in caso di ritardo nella notifica o di gestione inefficace della comunicazione.
L’importante è evitare l’illusione di precisione matematica. L’obiettivo non è calcolare il danno reale, ma fornire una rappresentazione dinamica coerente che aiuti il management a comprendere le conseguenze delle proprie scelte.
Nel contesto NIS2, questo aspetto assume particolare rilevanza. La normativa introduce obblighi di notifica tempestiva e responsabilità diretta degli organi di gestione. Un table top AI-driven può simulare scenari in cui la decisione di attendere informazioni supplementari ritarda la notifica oltre i termini previsti, generando un incremento del rischio regolatorio simulato. Questa visualizzazione rende tangibile un rischio che, in un esercizio puramente narrativo, rimarrebbe astratto.
Integrare l’OT nella simulazione
Una delle sfide più complesse nella progettazione di table top avanzati riguarda l’integrazione della dimensione OT. Spesso le esercitazioni si concentrano sull’IT, trascurando la propagazione dell’impatto verso il processo fisico.
Un sistema AI-driven consente di modellare anche la dimensione operativa. Se una funzione di controllo viene compromessa, il modello può simulare effetti sul processo produttivo, sull’erogazione di un servizio o sulla sicurezza fisica. Naturalmente, tale modellazione deve essere semplificata, ma è sufficiente per far emergere il conflitto tra sicurezza informatica e continuità operativa.
In ambito OT, le decisioni non sono mai puramente cyber. Isolare un segmento di rete può proteggere il sistema, ma interrompere una produzione continua può generare danni economici immediati. Un algoritmo può simulare questa tensione, costringendo i partecipanti a confrontarsi con trade-off realistici.
Questo elemento è fondamentale in ottica NIS2, perché la normativa non si limita a richiedere sicurezza informatica, ma richiede gestione del rischio complessivo e continuità dei servizi essenziali. Un table top AI-driven consente di rendere esplicita questa interdipendenza.
Costruire scenari adattivi senza perdere controllo
Uno dei rischi maggiori nell’introduzione dell’AI nei table top è la perdita di controllo narrativo. Se il sistema è troppo aperto, lo scenario può evolvere in direzioni incoerenti o eccessivamente complesse. Se è troppo rigido, si torna a una simulazione lineare.
Il bilanciamento si ottiene definendo confini chiari. Il modello deve operare all’interno di uno spazio di possibilità predefinito. Le traiettorie devono essere plausibili e riconducibili a un set di regole.
In pratica, si può progettare un albero decisionale probabilistico in cui le scelte dei partecipanti modificano le probabilità di determinate evoluzioni. L’AI non inventa eventi dal nulla, ma seleziona traiettorie coerenti con lo stato attuale del sistema simulato.
Il facilitatore mantiene sempre la possibilità di intervenire, modulare o sospendere determinate evoluzioni per riportare la discussione sugli obiettivi dell’esercitazione.
Aspetti etici e limiti dell’AI nei table top
L’introduzione dell’intelligenza artificiale in esercitazioni di governance comporta anche riflessioni etiche. Un algoritmo che assegna punteggi o simula impatti potrebbe influenzare la percezione dei partecipanti. È fondamentale evitare che l’AI venga percepita come giudice delle decisioni.
Il modello deve essere trasparente nelle sue logiche. I partecipanti devono comprendere che si tratta di una simulazione basata su parametri, non di una valutazione oggettiva delle loro capacità.
Un altro limite riguarda la dipendenza tecnologica. Un’organizzazione non deve diventare incapace di svolgere esercitazioni in assenza del sistema AI. L’algoritmo deve essere uno strumento di supporto, non un sostituto del pensiero critico.
Infine, è necessario evitare che l’attenzione si concentri eccessivamente sugli aspetti tecnici del modello, trascurando la dimensione umana e organizzativa. La finalità rimane la maturazione della governance, non la sofisticazione algoritmica.
Dal table top alla cultura della resilienza
L’integrazione dell’AI nei table top non è un fine, ma un mezzo. L’obiettivo finale è rafforzare la cultura della resilienza operativa. Un esercizio dinamico e adattivo stimola il confronto, rende visibili le interdipendenze e costringe il management a prendere decisioni in condizioni di incertezza controllata.
In questo senso, il table top AI-driven diventa un laboratorio di apprendimento organizzativo. Non si limita a verificare la conoscenza delle procedure, ma mette alla prova la capacità di ragionare sistemicamente.
La NIS2 richiede che le organizzazioni dimostrino preparazione e responsabilità. Un programma strutturato di table top supportati da AI può contribuire a costruire questa dimostrabilità in modo credibile e documentabile.
Conclusione: l’AI come leva di maturazione della governance
L’intelligenza artificiale applicata ai table top non deve essere interpretata come un’innovazione tecnologica fine a sé stessa. È uno strumento che consente di avvicinare la simulazione alla complessità reale delle infrastrutture critiche e delle organizzazioni che le governano.
La normativa europea ha posto l’accento sulla responsabilità degli organi di gestione e sulla capacità di affrontare incidenti significativi con prontezza e consapevolezza. In questo contesto, il table top non può rimanere un esercizio statico e narrativo.
Attraverso algoritmi adattivi, modellazione dinamica e integrazione con rappresentazioni semplificate dell’infrastruttura, è possibile trasformare l’esercitazione in un sistema evolutivo che reagisce alle decisioni dei partecipanti. Questo rende l’esperienza più realistica, più coinvolgente e più utile dal punto di vista della governance.
La tecnologia non sostituisce il giudizio umano, ma lo mette alla prova in modo più coerente con la realtà. Se utilizzata con metodo e consapevolezza, l’AI può diventare una leva potente per rafforzare la cultura della resilienza richiesta dalla NIS2.
La vera sfida non è adottare un algoritmo, ma progettare un processo in cui tecnologia, normativa e responsabilità organizzativa convergano. Solo in questo modo il table top potrà evolvere da esercizio formale a strumento strategico di maturazione istituzionale.
Riferimenti
Bousquet, A., The Scientific Way of Warfare: Order and Chaos on the Battlefields of Modernity, Columbia University Press, per il quadro teorico sui sistemi complessi e l’uso della simulazione nei contesti strategici.
Direttiva (UE) 2022/2555 (NIS2) del Parlamento europeo e del Consiglio del 14 dicembre 2022 relativa a misure per un livello comune elevato di cibersicurezza nell’Unione.
ENISA – European Union Agency for Cybersecurity, Threat Landscape Report, ultime edizioni, con particolare riferimento agli attacchi contro infrastrutture critiche e servizi essenziali.
European Commission, EU Cybersecurity Strategy for the Digital Decade (2020), documento strategico che inquadra resilienza, governance e responsabilità delle infrastrutture digitali europee.
NIST – National Institute of Standards and Technology, Cybersecurity Framework 2.0 (2024), con particolare riferimento alla funzione “Govern” e all’integrazione tra gestione del rischio e responsabilità del management.
ISO/IEC 27001:2022, Information Security Management Systems – Requirements, in particolare per gli aspetti di gestione del rischio e miglioramento continuo.
IEC 62443 (Industrial Automation and Control Systems Security), serie di standard per la sicurezza dei sistemi industriali, rilevante per l’integrazione IT/OT nei contesti soggetti a NIS2.
Russell, S., & Norvig, P., Artificial Intelligence: A Modern Approach, Pearson, ultima edizione, riferimento metodologico per i modelli decisionali e gli algoritmi adattivi nei sistemi complessi.
