Il digitale non è più una funzione separata, ma la struttura su cui poggia il funzionamento stesso dell’impresa: processi, servizi, infrastrutture, catene del valore, rapporti con fornitori e mercato. Da questa constatazione parte la riflessione di Carlo Bozzoli, per oltre dieci anni Global CIO di Enel e oggi consigliere di amministrazione di INWIT. Il passaggio dal ruolo operativo alla governance gli consente di osservare come temi un tempo confinati alla dimensione tecnica siano entrati stabilmente nell’agenda dei board. «Il digitale oggi è buona parte del business stesso», spiega, chiarendo che parlare di cyber e resilienza significa discutere di continuità operativa e affidabilità complessiva dell’azienda.
In questo quadro si inseriscono DORA e NIS2, che modificano responsabilità e metodo: non basta più che il Consiglio sia informato su ciò che è accaduto o potrebbe accadere, ma deve contribuire a definire la postura di rischio, le priorità e il livello di esposizione accettabile. «Il Consiglio passa da un ruolo prevalentemente informato a un ruolo di indirizzo e supervisione effettiva», afferma, sottolineando come oggi la questione centrale sia «chi decide, con quali informazioni, con quali responsabilità e sulla base di quali evidenze».
Il rischio digitale non è più gestito solo dalla linea tecnica. Il board è chiamato a definire priorità strategiche, perimetro critico (quali asset e processi sono essenziali), dipendenze tecnologiche e di fornitura, investimenti necessari. «Si definisce il risk appetite, cioè quale tipo di rischio posso accettare», spiega Bozzoli, evidenziando che le scelte devono essere ponderate, misurabili e tracciabili.
Servono indicatori che mostrino l’evoluzione reale della capacità di risposta nel tempo, non solo una fotografia statica. «C’è bisogno di portare a livello di Consiglio metriche e trend», perché è l’andamento nel tempo che dimostra se l’organizzazione sta migliorando, se le vulnerabilità si riducono e se le decisioni sono coerenti con la postura dichiarata. Questo passaggio incide anche sulla composizione dei board: cresce l’attenzione verso competenze tecniche e di processo, perché indirizzo e supervisione richiedono comprensione sostanziale dei temi.
Supply chain e cultura interna
Per Bozzoli la resilienza non coincide con la sola sicurezza informatica, ma con la capacità dell’azienda di continuare a operare anche sotto stress o in presenza di incidenti significativi. «Resilienza vuol dire capacità di erogare servizi anche in fasi di crisi», e questo implica scelte concrete: livelli di ridondanza, tempi di ripristino accettabili (Recovery Time Objective e Recovery Point Objective), gestione delle dipendenze dai fornitori, capacità di isolare rapidamente un problema per evitare effetti a catena.
Le crisi geopolitiche e quella sanitaria del Covid-19 hanno mostrato quanto la catena di fornitura possa rappresentare una vulnerabilità strutturale e quanto digitalizzazione e globalizzazione, pur aumentando efficienza e competitività, abbiano reso le infrastrutture più esposte. «I due punti principali di attacco sono la catena di fornitura e la mancanza di consapevolezza interna», osserva, indicando da un lato la difficoltà di controllare filiere lunghe e distribuite, dall’altro il ruolo della cultura aziendale nella gestione corretta di dati, identità digitali e processi. La resilienza diventa quindi una combinazione di architettura tecnologica, organizzazione e comportamento delle persone.
La compliance non basta
Occorre andare oltre la conformità formale e puntare alla resilienza effettiva. «Compliance significa conformità, resilienza significa che quei meccanismi funzionano davvero», anche sotto pressione. La differenza sta quindi nell’eseguibilità: processi chiari, persone preparate, esercitazioni periodiche, capacità di apprendere dagli incidenti e trasformare le criticità in miglioramenti strutturali.
Per valutarla servono dati oggettivi e comparabili nel tempo. «La situazione deve essere oggettivizzata: metriche, trend, detection, contenimento, recovery, vulnerabilità, esiti dei test». Sono questi elementi che consentono al Consiglio di collegare rischio e investimenti e di valutare se le risorse siano coerenti con gli obiettivi dichiarati e con il livello di esposizione accettato.
La gestione della crisi
Quando si verifica un incidente, la risposta non può essere improvvisata. Bozzoli descrive un processo preciso: classificazione dell’evento, valutazione dell’impatto, attivazione del crisis management con ruoli e responsabilità già definiti, contenimento, continuità operativa e comunicazione verso autorità e stakeholder nel rispetto degli obblighi di notifica. «Non posso pensare che durante la crisi si definiscano le regole per gestire la crisi», afferma, richiamando l’importanza di procedure stabilite, allenamento costante e decisioni tracciabili.
In questo scenario il Consiglio non interviene solo a posteriori, ma mantiene un ruolo di supervisione coerente con le responsabilità attribuite dalle norme. La maturità non si misura dall’assenza di incidenti, ma dalla capacità di reagire in modo ordinato e dimostrabile attraverso la messa in atto di un’efficiente ingegneria del ripristino. «Non mi rassicura sentire che va tutto bene», osserva, perché la perfezione non esiste; ciò che conta è dimostrare, con evidenze concrete, coerenza tra quanto dichiarato e ciò che l’organizzazione è realmente in grado di fare.
di Matteo Rizzi