La responsabilità della cybersecurity e della resilienza dei dati non può più gravare esclusivamente sulle spalle dei CISO. I nuovi regolamenti dell’Unione Europea, come NIS2 e DORA, evidenziano l’importanza di un approccio aziendale condiviso, attribuendo la responsabilità all’intero vertice dell’organizzazione. I consigli di amministrazione, in particolare, devono essere adeguatamente formati sui rischi informatici, poiché possono essere ritenuti direttamente responsabili in caso di incidenti avvenuti sotto la loro supervisione. In situazioni di non conformità, è ora possibile che vengano date sanzioni non solo all’organizzazione, ma anche ai singoli membri del consiglio.
Nonostante l’aumento dell’attenzione sul tema, la consapevolezza della responsabilità aziendale in materia di cybersecurity resta ancora troppo limitata. Questo non significa che manchi l’adesione ai nuovi regolamenti, ma i livelli dirigenziali non stanno reagendo con la necessaria rapidità. La consapevolezza, da sola, non basta: se non è seguita da azioni concrete, perde valore. Il 95% delle organizzazioni dell’area EMEA ha già riallocato budget da altre risorse per raggiungere la conformità, segnale chiaro di un’urgenza percepita. Tuttavia, l’impegno dei vertici aziendali non è ancora all’altezza degli obiettivi da raggiungere.
Cosa deve cambiare per colmare questo divario? Serve un cambio di passo, una cultura della sicurezza condivisa a livello strategico e un coinvolgimento attivo del top management. Solo così sarà possibile trasformare l’obbligo normativo in un vantaggio competitivo.
Spostamento delle priorità
Con l’introduzione della NIS2 e del regolamento DORA, si è aperta una nuova era di responsabilità aziendale, sancita da norme che elevano la cybersecurity a una priorità strategica senza precedenti. E non è un caso. Negli ultimi vent’anni, quasi ogni funzione aziendale si è digitalizzata, generando una mole crescente di dati che le organizzazioni sono chiamate non solo a gestire, ma soprattutto a proteggere. La sicurezza informatica è diventata un risultato aziendale critico, al pari di qualsiasi altra priorità strategica. Per questo motivo, è naturale che rientri pienamente nelle responsabilità della C-suite.
Queste normative non fanno altro che formalizzare ciò che, idealmente, avrebbe già dovuto avvenire all’interno delle organizzazioni. Tuttavia, in molte realtà, la cybersecurity e la resilienza operativa sono rimaste in secondo piano. Storicamente, la C-suite ha delegato queste responsabilità ai team di sicurezza, e in parte è comprensibile: il valore commerciale della sicurezza informatica non è sempre immediatamente tangibile. Eppure, una maggiore resilienza e la capacità di riprendersi rapidamente da un attacco sono fattori determinanti per ridurre l’impatto su ricavi, valore azionario e fiducia dei clienti. Ora che le nuove normative impongono un’educazione più approfondita ai vertici aziendali, questi vantaggi a lungo termine dovrebbero finalmente portare a una riallocazione delle priorità. Il tutto rafforzato, ovviamente, anche dalla crescente pressione derivante dal rischio di non conformità.
Sebbene queste pressioni normative abbiano contribuito ad aumentare l’adesione della C-suite alla responsabilità aziendale in materia di cybersecurity, il livello di coinvolgimento pratico resta ancora insufficiente. La stragrande maggioranza delle organizzazioni dell’area EMEA ha già riallocato budget da altre voci di spesa per soddisfare i requisiti di conformità della NIS2. Questo dimostra che la consapevolezza c’è. Tuttavia, manca ancora una strategia congiunta e strutturata da parte dei vertici aziendali per raggiungere pienamente gli obiettivi previsti. In parte, questa situazione è comprensibile: molti dirigenti devono affrontare un’enorme curva di apprendimento. La cybersecurity non è un tema semplice da assimilare. Richiede impegno, aggiornamento costante e la volontà di mettersi davvero in gioco. Solo così sarà possibile trasformare l’obbligo normativo in un’effettiva cultura della resilienza.
Fare il salto di qualità
Per i dirigenti che intendono comprendere a fondo le proprie responsabilità in questa nuova era della responsabilità aziendale, è fondamentale vivere in prima persona i piani di risposta agli incidenti della propria organizzazione. Le normative stesse non si limitano a richiedere la semplice esistenza di questi piani, ma impongono una conformità continua, dinamica, da dimostrare nel tempo. Non si tratta di spuntare una casella una tantum: i dirigenti devono poter dimostrare concretamente che i piani di risposta funzionano nel mondo reale, attraverso test di scenario regolari, rigorosi e coerenti. Non è qualcosa che si può imparare a memoria per poi ripetere all’occorrenza. È un processo da conoscere, comprendere e interiorizzare. Dev’essere parte integrante della cultura della leadership.
Queste normative non richiedono che i dirigenti diventino esperti di cybersecurity. L’elemento fondamentale che i dirigenti devono conoscere a fondo sono i piani di risposta agli incidenti. Prendiamo ad esempio la sicurezza fisica. In qualità di C-suite, non è necessario conoscere tutti i dettagli dei sistemi di allarme antincendio, ma basta sapere che ci sono, che funzionano e chi è responsabile della loro manutenzione. Non è loro responsabilità essere l’esperto di sicurezza antincendio, ma semplicemente sapere chi lo è, chi sono i sostituti e assicurarsi che si svolgano le esercitazioni necessarie per prepararsi adeguatamente.
Anche i piani di risposta agli incidenti in ambito cybersecurity seguono una logica analoga, e la conformità ai regolamenti NIS2 e DORA si fonda proprio sulla loro solidità. È su questo punto che la C-suite deve concentrare i propri sforzi. Una comprensione pratica e diretta di questi piani consente ai dirigenti di individuare eventuali criticità e intervenire tempestivamente, sia ottimizzando i processi esistenti, sia introducendo nuove competenze all’interno dell’organizzazione. Solo così la leadership sarà davvero preparata ad affrontare le sfide della sicurezza informatica in modo proattivo e resiliente.
Essere lungimiranti
Così come le normative richiedono una conformità costante e test di stress basati su scenari realistici, anche il panorama della cybersecurity impone un’evoluzione continua. Le vulnerabilità cambiano, le superfici di attacco si espandono ogni giorno: i piani devono essere dinamici, aggiornabili e messi regolarmente alla prova. Le richieste imposte da NIS2 e DORA non dovrebbero essere viste solo come un obbligo, ma come un’occasione strategica per sviluppare una cultura aziendale realmente orientata alla sicurezza e alla resilienza dei dati. È un’opportunità che i leader non possono permettersi di ignorare.
Perché si può essere formalmente conformi… ma la sicurezza assoluta non esiste. Senza resilienza dei dati, senza back-up efficaci e senza una vera capacità di reazione, anche l’organizzazione più conforme rischia di non sapersi rialzare dopo una violazione.
Per maggiori informazioni: https://www.veeam.com.
Immagine di DC Studio su Freepik
EMEA Field CISO at Veeam
