Norme, norme, norme. Negli ultimi anni ce ne sono state molte in tema di cybersecurity e resilienza digitale a cui prestare attenzione, soprattutto nell’Unione Europea. Lo scorso anno è arrivata la direttiva NIS2, seguita da DORA per le istituzioni finanziarie. Solo il mese scorso è entrato in vigore il nuovo Data Act europeo. E non è destinato a fermarsi qui. All’orizzonte c’è già la prossima grande normativa: il Cyber Resilience Act, che inizierà ad applicarsi gradualmente dal prossimo anno.
Si potrebbe pensare che tutto questo sia “troppo”. Che la regolamentazione stia diventando un ostacolo, rallentando le organizzazioni. Ma è un modo sbagliato di guardare la questione. La resilienza non è più un optional, e la regolamentazione diventa una perdita di tempo solo se la si interpreta come un mero esercizio burocratico. Le aziende che la affrontano nel modo giusto hanno molto più da guadagnare che semplicemente evitare una multa.
Frustrazione da regolamenti nella cybersecurity?
È inutile negarlo: negli ultimi anni abbiamo visto un’ondata di normative su cybersecurity e resilienza digitale. Fa quasi impressione pensare che persino il GDPR – la normativa che ha scosso il mercato e costretto molte organizzazioni a riflettere seriamente sui propri dati per la prima volta – abbia soltanto sette anni. Da allora è cambiato molto. I casi più rilevanti? NIS2 e DORA.
Con NIS2, le aziende devono rispettare nuove e ampie responsabilità in tema di gestione del rischio digitale e di segnalazione degli incidenti. DORA, invece, si concentra sul mondo dei servizi finanziari – già interessati anche da NIS2 – e impone ulteriori obblighi specifici.
Non è più un tema che riguarda solo i CISO. Con l’introduzione del principio di “responsabilità aziendale” in regolamenti come NIS2, anche l’intero executive team è direttamente coinvolto. In gioco non ci sono solo le multe per l’azienda: i dirigenti che vengono giudicati gravemente negligenti rischiano il licenziamento, il divieto di ricoprire ruoli apicali e, nei casi peggiori, persino procedimenti penali.
Messa così, la prospettiva può sembrare piuttosto intimidatoria. E va ricordato che oggi molte aziende non rientrano ancora nell’ambito delle normative più stringenti. Ma con l’arrivo del Cyber Resilience Act dell’UE, che si applicherà a tutte le imprese che immettono sul mercato europeo prodotti digitali con software, sempre più aziende si troveranno presto sotto l’ombrello di una normativa sulla resilienza digitale.
Essere resilienti conviene, molto più di quanto immaginiamo
Non voglio sembrare superficiale. Ho grande rispetto per i responsabili IT o per i manager d’azienda che ogni giorno devono gestire mille priorità, tra cui regolamentazione e compliance. Per molti di loro, tenere il passo con l’ondata di nuove normative può dare la sensazione di un freno. Un recente sondaggio tra i responsabili IT dei servizi finanziari, dopo l’introduzione di DORA, ha rivelato che uno su cinque ritiene che l’eccesso di regolamentazione digitale stia diventando un ostacolo all’innovazione e alla concorrenza.
Capisco bene questa posizione. La buona notizia, però, è che se guardiamo a queste normative andando oltre il semplice “spuntare caselle” o l’evitare sanzioni, possiamo ottenere molto di più. Innanzitutto, queste regole esistono per una ragione ben precisa. Negli ultimi anni gli attacchi informatici hanno colpito praticamente tutte le organizzazioni digitali. Basti pensare a episodi recenti: grandi cyberattacchi hanno messo in ginocchio le operazioni di Jaguar Land Rover e M&S.
Anche se le normative non esistessero, le minacce sarebbero comunque presenti. In altre parole, è fondamentale prestare attenzione e investire nella resilienza informatica comunque. Le regolamentazioni vanno viste come un livello minimo di riferimento: quando cambiano o si aggiornano, significa che gli standard minimi vengono alzati. Se ti trovi di fronte a una normativa che “ti obbliga” a implementare un nuovo processo o procedura, sei già in ritardo. Queste pratiche dovresti già metterle in atto, e probabilmente anche i tuoi concorrenti lo stanno già facendo.
Detto questo, è importante ricordare che essere compliant non significa sempre essere sicuri. Se normative come NIS2 e DORA rappresentano il livello minimo, le organizzazioni dovrebbero puntare a superarlo. Il motivo per cui arrivano sempre nuove direttive è che le minacce informatiche evolvono rapidamente, e gli standard di settore sono, in un certo senso, solo un’istantanea nel tempo. In altre parole, è molto più efficace raggiungere la compliance attraverso una reale maturità e resilienza digitale, piuttosto che cercare di essere resilienti basandosi solo sulla compliance.
Inoltre, conviene essere resilienti anche al di là del semplice evitare multe o attacchi ransomware. Si potrebbe vedere la regolamentazione o la minaccia di un attacco informatico come una “bacchetta da evitare”: qualcosa che ti colpisce se non fai attenzione. Ma molte organizzazioni non si rendono conto che avere una reale maturità nella resilienza dei dati è di per sé un vantaggio. Ricerche recenti di Veeam e McKinsey hanno rilevato che le aziende più performanti, con un alto livello di maturità nella resilienza dei dati, non solo evitano downtime e perdite di dati rispetto ad altre, ma registrano anche una crescita media dei ricavi superiore di circa il 10%. Perché accade questo?
Un passo avanti
Le normative spesso si concentrano sul tattico, intervenendo sui sintomi dei problemi e richiedendo alle organizzazioni di adottare misure specifiche per mitigare i rischi o reagire quando qualcosa va storto.
Questo aiuta il settore a sollevare gradualmente gli standard e aggiornare le best practice, ma questo approccio frammentario alla resilienza lascia le aziende sempre un passo indietro. Per raggiungere una vera maturità nella resilienza dei dati, le aziende devono anticipare le normative, adottando una strategia a lungo termine che affronti le cause profonde del rischio digitale, invece di limitarsi a tamponare i problemi quando si presentano.
La vecchia triade “Persone, Processi e Tecnologia” resta più preziosa che mai, ma oggi anche la “strategia” deve avere un posto al tavolo. Con l’evolversi delle minacce informatiche, l’aumento delle pressioni normative e la crescente complessità degli ecosistemi dati, le organizzazioni devono integrare gli obiettivi di business nella pianificazione della resilienza. Con un approccio trasversale, IT, cybersecurity e compliance possono contribuire a una strategia unica e coerente, in grado non solo di anticipare le minacce, ma anche di far rispettare la governance e mantenere l’azienda un passo avanti rispetto alla compliance.
Introdurre la strategia nel processo rende la resilienza meno un esercizio di “spuntare caselle” e più una visione d’insieme. Alla fine, è proprio questo livello strategico a trasformare la resilienza da obbligo normativo in vantaggio reale, aiutando le aziende a essere pronte a qualsiasi scenario. Ed è anche il motivo per cui le organizzazioni più avanzate nella maturità della resilienza dei dati sono mediamente più redditizie. Avere una strategia integrata non solo protegge l’azienda, ma spesso ottimizza l’operatività e rompe i silos, consentendo all’organizzazione di lavorare in modo più intelligente e crescere più liberamente.
Sono consapevole che tutto questo suoni ottimo per le organizzazioni già mature, ma che dire di chi sta cercando di fare il salto: passare dall’inseguire la compliance normativa al guidarla realmente? Le soluzioni frammentarie esistenti hanno creato reti tecniche davvero complesse e difficili da districare quando si parla di resilienza dei dati.
Per fortuna, esistono strumenti che possono aiutare. I data resilience maturity model stanno diventando sempre più accessibili, offrendo alle organizzazioni framework da seguire che permettono non solo di valutare la maturità attuale della resilienza, ma anche di identificare eventuali lacune e fornire indicazioni per implementare miglioramenti mirati. In questo modo, la resilienza dei dati smette di essere una serie di requisiti normativi da rispettare e diventa un processo continuo di miglioramento, che porta vantaggi non solo in termini di compliance, ma anche di efficienza dei costi.
Le organizzazioni che adottano questi modelli e seguono questo approccio non considerano la compliance un fastidio o un mero esercizio burocratico. Per loro, i dati non sono più un punto debole, ma un motore di crescita. Con nuove normative come il Data Act dell’UE e l’imminente Cyber Resilience Act, queste aziende sono probabilmente già al 90% del percorso, e vedono la regolamentazione come un’opportunità per testare la propria resilienza e dimostrare agilità, restando un passo avanti invece di limitarsi a tenere il passo. In breve, la strategia ha trasformato la resilienza da obbligo normativo a vero vantaggio competitivo.
