Nel lavoro quotidiano, la sicurezza non si esaurisce negli strumenti o nei controlli. Emergono piuttosto temi di governo del rischio, coerenza dei processi e adeguamento alle normative. Il framework di Governance, Risk & Compliance (GRC) serve a mettere ordine in questi aspetti e a renderli gestibili nel tempo.
Il lavoro in ambito GRC si sviluppa su quattro direttrici principali.
Il risk management, che riguarda l’individuazione e la gestione dei rischi nei processi IT, soprattutto quando emergono criticità nei controlli.
La IT & Security Governance, che concentra l’attenzione sull’efficacia del sistema di controllo interno a presidio delle informazioni aziendali.
La compliance, intesa come capacità di individuare i processi soggetti a normativa e valutarne l’aderenza, anche rispetto a contesti regolatori come privacy, ambito finanziario o responsabilità amministrativa.
A queste dimensioni si affianca la formazione, necessaria per rendere sostenibile l’evoluzione nel tempo.
La direttiva NIS2 è oggi uno dei riferimenti normativi più rilevanti in ambito cybersecurity. Entrata in vigore nel gennaio 2023 e con recepimento previsto entro ottobre 2024, introduce requisiti più stringenti e amplia il perimetro delle organizzazioni coinvolte, con un coinvolgimento diretto anche dei livelli di responsabilità aziendale.
Questo porta il tema della sicurezza all’interno dei processi di governance, dove non può più essere gestito come un elemento separato.
La normativa si articola su alcuni ambiti chiave che richiedono interventi coordinati.
• Il primo riguarda la governance ICT, con la necessità di formalizzare modelli organizzativi, ruoli e responsabilità. La gestione della sicurezza non può essere lasciata a iniziative isolate: deve essere integrata nei processi decisionali.
• Segue la gestione del rischio ICT, che implica attività continue di valutazione e adozione di misure tecniche e organizzative. Tra queste rientrano, ad esempio, backup, autenticazione multifattore, crittografia, formazione del personale e pratiche di sviluppo sicuro.
• Un altro elemento centrale è la gestione degli incidenti. Le organizzazioni devono essere in grado di rilevare, classificare e gestire eventi critici, attivando processi di risposta e ripristino coerenti con i requisiti normativi.
• La continuità operativa assume un ruolo altrettanto rilevante. È necessario predisporre piani in grado di mantenere operativi i processi critici e garantire il ripristino dei sistemi in caso di interruzioni.
• Infine, la NIS2 estende il perimetro della sicurezza alla supply chain, richiedendo una gestione strutturata dei rischi legati a fornitori e terze parti lungo tutte le fasi del rapporto.
Il perimetro di applicazione è più ampio di quanto si pensi. La normativa coinvolge imprese di grandi e medie dimensioni e, in alcuni casi, anche realtà più piccole, a seconda del settore e del ruolo all’interno dell’ecosistema. Questo rende la NIS2 un tema trasversale, che riguarda una parte significativa delle organizzazioni.
Per affrontarla in modo efficace serve metodo. L’approccio si sviluppa su tre fasi.
• La prima è l’assessment, che consente di valutare il livello di allineamento ai requisiti della direttiva e identificare eventuali gap, definendo le priorità di intervento.
• Segue la fase di adeguamento, in cui si lavora sull’impianto normativo interno: policy, procedure e modelli organizzativi vengono definiti o aggiornati, insieme alla struttura dei ruoli e delle responsabilità.
• La fase finale riguarda l’operatività, con la messa a regime dei controlli e la gestione continua dei processi di sicurezza e resilienza.
Questo percorso porta a risultati concreti: documentazione strutturata, modelli organizzativi chiari, processi di gestione del rischio e della continuità operativa, oltre a strumenti di monitoraggio e reporting. A questi si affianca un elemento imprescindibile, spesso trascurato: l’allineamento tecnologico. L’adeguamento alla normativa richiede anche interventi sulle piattaforme, perché i modelli definiti possano essere effettivamente applicati nei processi operativi. Ad esempio, come la tecnologia Microsoft o l'adozione di modelli AI si rende conforme hai requisiti Nis2? Come l'AI Act incontra la Nis2?
I benefici sono evidenti nel tempo. Migliora la capacità di prevenzione e gestione degli incidenti, si riduce l’impatto economico degli eventi cyber e si rafforza il controllo sulla supply chain. Allo stesso tempo, le organizzazioni affrontano con maggiore solidità audit e verifiche e rafforzano la propria affidabilità verso clienti e partner.
Affrontare la NIS2 richiede competenze che non si limitano a un singolo dominio. La lettura normativa, la definizione di modelli organizzativi e l’intervento sugli ambienti tecnologici devono procedere insieme. Quando questo allineamento manca, la compliance resta discontinua; quando è presente, diventa parte dei processi.
Capire dove intervenire è il primo passo per costruire un percorso di adeguamento efficace. Analizziamo insieme i gap e definiamo le priorità di intervento.
Capire dove intervenire è il primo passo per costruire un percorso di adeguamento efficace. Analizziamo insieme i gap e definiamo le priorità di intervento.
