Sicurezza in Azione: l’Integrità digitale di DORA e NIS 2
L’introduzione, il prossimo 17 gennaio, di DORA (Digital Operational Resilience Act), insieme alla già avviata direttiva NIS 2 (Network and Information Security), segna l’inizio di una nuova era normativa di grande impatto. Questi interventi mirano a rafforzare la resilienza digitale delle organizzazioni, spingendole a rivedere processi e responsabilità, con un’attenzione particolare ai vertici aziendali.
Nicola Mitidieri (Dea Cspital RE Sgr) e Valerio Visconti (Aspi)
Un cambiamento culturale necessario: il ruolo del CdA
Il cuore delle nuove normative risiede nella responsabilità diretta che i Consigli di Amministrazione devono assumere nella gestione del rischio digitale. La resilienza informatica si configura sempre più come un elemento strategico imprescindibile della gestione aziendale, richiedendo ai CdA un approccio integrato che includa la supervisione delle scelte IT e la gestione dei fornitori.
Le normative spingono i CdA a superare l’approccio tradizionale, includendo la resilienza digitale nelle decisioni strategiche. Le organizzazioni devono garantire che i partner esterni rispettino standard di sicurezza equivalenti a quelli adottati internamente. Misure, ad esempio, come i penetration test, tradizionalmente utilizzati per valutare la robustezza delle difese interne, dovranno essere estese anche ai fornitori. Questo processo, oltre a rafforzare la sicurezza, avrà un impatto significativo sul mercato, favorendo una selezione più rigorosa dei partner.
Governance, proporzionalità e impatti operativi
DORA e NIS 2 introducono un approccio proporzionale, tenendo conto delle diversità tra le organizzazioni coinvolte. Le banche e i grandi intermediari, dotati di strutture già consolidate, saranno meno impattati rispetto alle piccole e medie imprese, spesso prive di una cultura del rischio e di strutture di governance adeguate. Tuttavia, la gestione del rischio digitale è un obbligo universale e richiede una governance supportata da risorse specifiche.
Matteo Rizzi (giornalista)
Pur senza imporre modelli operativi rigidi, le normative evidenziano l’importanza di integrare il risk management e la compliance in processi aziendali efficienti e ben strutturati. Solo così sarà possibile affrontare con successo le sfide imposte dalle nuove regole.
Monitoraggio della supply chain: tra obblighi e vuoti normativi
Un altro aspetto centrale introdotto da DORA e NIS 2 è il monitoraggio della supply chain. Le aziende sono chiamate a garantire che i fornitori, così come i subappaltatori, adottino misure di sicurezza compatibili con quelle previste dalle normative. Tuttavia, questa richiesta si scontra con significative difficoltà operative, poiché mancano linee guida chiare su come standardizzare controlli e clausole contrattuali.
Ettore Carneade (MPS)
Sarebbe necessario un decreto attuativo o almeno un framework di riferimento per garantire omogeneità e chiarezza, evitando situazioni in cui le stesse clausole contrattuali o requisiti tecnici siano interpretati e applicati in modo diverso da aziende concorrenti, generando potenziali contenziosi e inefficienze. Strumenti come checklist e autodichiarazioni rappresentano soluzioni di base, ma da soli non bastano a garantire un controllo efficace. Il rischio è quello di creare un sistema di monitoraggio basato sulla “carta”, incapace di prevenire efficacemente gli attacchi.
Investire nella resilienza per rimanere competitivi
L’approccio alle nuove normative può creare un divario significativo tra chi investe nella resilienza digitale e chi opta per soluzioni minime. Nel breve termine, ridurre gli investimenti potrebbe sembrare vantaggioso, ma nel medio-lungo periodo questa scelta rischia di tradursi in vulnerabilità operative e perdita di fiducia sul mercato. Le aziende che subiscono ripetuti attacchi informatici rischiano non solo sanzioni, ma anche danni irreparabili alla loro reputazione.
Verso un cambio di mentalità
DORA e NIS 2 non si limitano a imporre obblighi tecnici e procedurali, ma promuovono un profondo cambio di mentalità. Le organizzazioni devono imparare dagli eventi passati, trasformando le esperienze in occasioni per migliorare i processi e prevenire vulnerabilità future. Un altro elemento cruciale è la condivisione delle informazioni sugli attacchi informatici, che consente al sistema nel suo complesso di rafforzarsi, migliorando la capacità di risposta. Inoltre, le normative incoraggiano un approccio proattivo che non si limiti alla gestione dei rischi conosciuti, ma si spinga ad anticipare scenari inaspettati, adottando soluzioni innovative.
Luca Marzegalli (EY)
Le misure introdotte da DORA e NIS 2 offrono un’opportunità unica per trasformare la resilienza digitale in un vantaggio competitivo. Tuttavia, il successo dipenderà dalla capacità delle aziende di integrare queste regole in una strategia aziendale coerente e lungimirante. Un approccio collaborativo, fondato sull’esperienza e sull’innovazione, sarà determinante per affrontare le sfide future e garantire la sicurezza di un sistema sempre più interconnesso.
