Spesso, quando si parla dei framework normativi che stanno per rivoluzionare le discipline della cybersecurity e della cyber resilience, si tende ad analizzare gli impianti in modo separato. Non c’è da stupirsi: Regolamento Dora (Digital operational resilience act) e NIS2 (Network and information security directive 2) – sono questi i due dispositivi ormai sulla bocca di tutti – costituiscono ciascuno un corpus estremamente complesso.
Come se non bastasse, il Regolamento Dora, pur sistematizzando il tema della resilienza delle supply chain, è indirizzato in maniera esplicita al mondo finanziario, il che ha portato molti soggetti – a volte a torto, vista la sempre maggiore interconnessione delle filiere – a non sentirsi chiamati in causa. La verità, però, è che i due framework andrebbero considerati se non complementari, quanto meno strettamente correlati.
Il panorama della cyber resilience sotto il profilo normativo: i gap italiani
“Se ci approcciamo al Regolamento Dora e alla NIS2 come se fossero due impianti del tutto separati, perdiamo il senso di quello che, a breve, sarà il nuovo panorama complessivo della cyber resilience”, spiega Stefano Ferroni, consulente senior sui temi di cybersecurity e compliance di Beta 80 Group. “Entrambi sono da collocarsi nel quadro della Cybersecurity Strategy dell’Unione Europea, pubblicata nel dicembre 2020”.
Il Regolamento Dora, infatti, sarà vincolante a partire dal 17 gennaio 2025, mentre la NIS2, approvato il decreto attuativo, dal 16 ottobre 2024: “Se Dora si focalizza sulla resilienza delle istituzioni finanziarie e delle loro supply chain, NIS2 fornisce le linee guida per migliorare la sicurezza informatica delle organizzazioni considerate importanti ed essenziali nella fornitura di servizi critici”, continua Ferroni. “Ma ciò che conta davvero, a prescindere da queste differenze, è che i due framework invitano tutte le imprese ad affrontare il tema della cyber resilience facendo leva su IT governance e risk management”.
Secondo Ferroni, la governance impone di implementare e gestire dei controlli sui processi, e la parola ‘controllo’, in italiano come in inglese, ha a che fare sia con le attività di verifica e controllo, sia con la capacità di governo dei mezzi a propria disposizione: la strategia può essere costruita solo a partire dalle esigenze del business, da intersecare in modo dinamico con gli stimoli esterni e le necessità degli altri attori della filiera. In quest’ottica, assume assoluta rilevanza l’aspetto culturale, mentre la componente tecnologica risulta decisamente secondaria.
Ma le aziende italiane hanno sviluppato la cultura necessaria per cavalcare la rivoluzione normativa in corso? “Sussiste un gap tra le imprese, come per esempio da un lato le banche e le telco, che già da tempo, sia per necessità sia per effetto di normative di settore, hanno fatto questo salto, e dall’altro le organizzazioni che hanno invece affrontato la cyber resilience in modo estemporaneo, oppure in risposta a eventi specifici”, spiega Raffaele Di Rubba, responsabile dell’offerta Cyber Security di Beta 80.
Si tratta quindi un diverso livello di maturità, più che un divario tecnico e tecnologico: “Il gap è di tipo culturale, organizzativo – spiega il manager -. Bisognerebbe partire dalla valutazione del rischio informatico, conoscere la struttura aziendale, comprendere il business digitale e porre rimedio non solo per l’organizzazione ma anche per chi, lungo la supply chain, è permeato dalle stesse minacce”. Tuttavia, “in ancora troppi casi l’approccio è tattico: l’azienda viene colpita e allora si effettua un assessment o un penetration test, oppure si identifica una certa vulnerabilità e si decide di intervenire in modo puntuale e con una soluzione specifica – prosegue Di Rubba -. Non è questo ciò che indicano le normative, anzi è ciò che cercano di sanare”.
Costruire un percorso su misura per raggiungere la compliance normativa
Il problema è che troppe aziende non sanno come sono fatte dal punto di vista digitale e spesso, proprio per questa mancanza di consapevolezza, implementano prodotti che non si integrano correttamente. “Chi fa il nostro lavoro può aiutare i decisori a costruire una prospettiva strategica”, dice Ferroni. “Ma non c’è una ricetta univoca per l’IT governance, e la risposta del consulente dipende da chi fa la domanda, o per meglio dire da come e dove si colloca l’interlocutore, se a livello operativo o nel top management. Non dimentichiamo, infine, che il tutto va contestualizzato nello scenario in cui è inserita l’azienda: ogni caso fa storia a sé”.
Di solito, le persone con profili tecnici hanno già un’idea precisa, ma puntuale, di cosa si debba fare, riescono a condividere una chiara valutazione di quello che occorre per raggiungere l’obiettivo e sanno come declinarlo in un servizio o in un impianto tecnologico con un lavoro dedicato: “Se abbiamo opportunità di parlare con figure apicali, invece, possiamo impostare i temi della cyber resilience in modo più organico, iniziando un percorso che metta a fattor comune esigenze di business, compliance normativa e cyber security”, spiega Di Rubba, precisando che si tratta comunque di progetti che vanno sempre condotti a più mani. “Il campo della cyber security è vastissimo, ed è difficile disporre di tutte le competenze che servono per abbracciarlo nella sua interezza. Del resto, se in altri ambiti dell’ICT si è assistito al consolidamento e alla razionalizzazione delle soluzioni, qui il fenomeno è stato molto meno pronunciato”.
L’approccio di Beta 80 Group alla cyber resilience e all’IT governance
Il percorso che un’azienda deve percorrere per raggiungere la piena compliance normativa sotto il profilo della cyber resilience è lungo, e tutt’altro che predefinito: “L’assessment costituisce solo il primo passo, ed è indispensabile per indirizzare le priorità, ma l’itinerario può subire, anche temporalmente, diverse variazioni”, sottolinea Ferroni. La normativa non mette particolari paletti, non indica risultati quantitativi da raggiungere, né impone KPI con valori specifici. Lascia piuttosto ampio margine d’azione e promuove il meccanismo dell’autovalutazione. Per questo consigliamo sempre di cominciare a sanare gli aspetti più importanti e critici, per poi misurare gli effetti di ciascuna iniziativa e prevedere adeguamenti e interventi di fine tuning man mano che si avanza”.
Anche sul piano implementativo, l’approccio di Beta 80 rispecchia questa impostazione: “Se di fronte una tale varietà di temi da affrontare abbiamo la presunzione di imporre soluzioni ampie e onnicomprensive, nove volte su dieci andremo incontro a fallimenti”, chiosa Ferroni. “Utilizzando invece un approccio più agile, concreto, graduale e – passatemi il termine – dolce, sia pur rispettando le scadenze di legge, avremo maggiori probabilità di raggiungere gli obiettivi prefissati, anche perché saremo stati in grado di coinvolgere su ciascun progetto i partner più indicati per svilupparlo insieme al cliente”.
Contributo editoriale sviluppato in collaborazione con Beta 80