La cybersecurity non può più essere descritta come un insieme di tecnologie per “bloccare gli attacchi”. Questo approccio è insufficiente in un contesto in cui gli incidenti sono frequenti, durano nel tempo e colpiscono l’intera catena del valore. Oggi il vero obiettivo è garantire che il business continui a funzionare, anche quando una parte delle difese fallisce. Resilienza significa quindi, soprattutto, capacità di garantire continuità operativa e qualità del servizio anche in presenza di attacchi, guasti, interruzioni o violazioni dei dati. È una prospettiva che intreccia sicurezza, compliance, governance dei dati, risk management e gestione della supply chain digitale.
Dalla difesa tecnica alla resilienza del business
La differenza tra sicurezza tradizionale e resilienza sta nel modo in cui l’azienda si prepara al “peggio ragionevole”. Nel modello puramente difensivo l’obiettivo è impedire l’attacco; in quello resiliente l’azienda assume che alcuni attacchi andranno comunque a buon fine e progetta sistemi, processi e organizzazione perché l’impatto sia limitato e reversibile.
I dati sulla permanenza degli attaccanti all’interno delle reti mostrano che il problema non è teorico. Secondo il report M-Trends 2025 di Mandiant il tempo medio a livello globale tra compromissione iniziale e rilevazione si è attestato a 11 giorni nel 2024, in lieve aumento rispetto ai 10 giorni del 2023. In casi complessi, soprattutto nel crimine organizzato e nello spionaggio digitale, la permanenza può comunque protrarsi per settimane o mesi, lasciando spazio a movimenti laterali, escalation di privilegi e sottrazione sistematica di dati.
In questo scenario, resilienza di business significa ridurre il raggio d’azione dell’attaccante e progettare la capacità di tornare rapidamente a uno stato sicuro e operativo. Una violazione su un sistema periferico non deve poter bloccare i processi “core”; un ransomware non deve trasformarsi in settimane di fermo; un “data breach” non deve automaticamente distruggere la reputazione dell’azienda se i dati sottratti sono illeggibili o scarsamente sensibili.
È qui che la compliance smette di essere mero adempimento formale e può trasformarsi in uno strumento per rendere strutturale la resilienza.
NIS2 e DORA: quando la conformità diventa motore di resilienza
Due normative europee particolarmente rilevanti oggi per questo cambio di prospettiva sono NIS2 e DORA.
La NIS2 (Direttiva UE 2022/2555), recepita in Italia a partire dall’ottobre 2024, estende e irrobustisce il quadro della prima direttiva NIS introducendo requisiti più stringenti per una vasta gamma di soggetti in settori come energia, trasporti, sanità, finanza, digital infrastructure e Pubblica amministrazione. Introduce obblighi più stringenti di gestione del rischio, misure tecniche e organizzative, incident reporting, responsabilità del management e un’attenzione esplicita alla sicurezza della supply chain.
In parallelo, il regolamento DORA (Regolamento UE 2022/2554) sulla resilienza operativa digitale per il settore finanziario, diventato applicabile a gennaio 2025, impone a banche, assicurazioni, gestori e a un ampio ecosistema di entità finanziarie di dimostrare la capacità di resistere, rispondere e recuperare da incidenti ICT, con requisiti dettagliati su governance, test di resilienza, gestione degli incidenti e supervisione dei fornitori tecnologici critici.
In entrambi i casi, la conformità non si esaurisce nella produzione di policy. NIS2 e DORA chiedono alle aziende di dimostrare, con evidenze concrete, che i processi di gestione del rischio siano attivi, che la continuità operativa sia pianificata e testata, che esista un governo effettivo dei fornitori, che la protezione dei dati (personali e non) sia proporzionata ai rischi.
Per i data center e i cloud provider, per esempio, NIS2 comporta requisiti specifici di governance, sicurezza e notifica degli incidenti, con l’effetto di rafforzare il controllo sulla geografia dei dati e delle infrastrutture. DORA, dal canto suo, introduce la possibilità di supervisione diretta dei grandi provider tecnologici considerati “critici” per il settore finanziario.
Se letti in chiave resilienza, NIS2 e DORA diventano una cornice per ripensare architetture, supply chain e modelli di governance, favorendo l’adozione di un modello di “resilience by design”. Viceversa, le aziende che affrontano NIS2 e DORA in chiave puramente documentale, compilando policy e checklist senza ripensare architetture e processi critici, rischiano di essere formalmente conformi ma sostanzialmente “fragili”.
Supply chain fronte caldo della resilienza
In un ambiente in cui servizi cloud, SaaS, outsourcer e partner industriali sono profondamente integrati nei processi, resilienza significa anche assumere che un incidente possa originare “fuori casa” e propagarsi lungo la catena. Peraltro, un incidente nato su un fornitore può avere implicazioni dirette non solo sulla continuità del business di un’azienda, ma anche sulla sua posizione di conformità. Per questo motivo la gestione del rischio di terze parti sta diventando un elemento strutturale dei programmi di sicurezza. La supply chain digitale rappresenta un capitolo su cui NIS2 insiste in modo esplicito. La direttiva introduce, infatti, l’obbligo di gestire i rischi di cybersecurity legati a fornitori e terze parti, trasformando la gestione del rischio dei partner in una responsabilità che si può estendere fino al livello di board.
Dal punto di vista pratico, garantire resilienza e compliance in una infrastruttura aperta a fornitori e clienti implica almeno tre linee di azione. La prima è integrare requisiti di sicurezza e compliance nei processi di procurement, con clausole contrattuali su incident reporting, livelli minimi di protezione, audit e diritti di ispezione. La seconda è limitare gli accessi delle terze parti a segmenti ben definiti della rete, con architetture a zone e controlli puntuali sugli accessi privilegiati. La terza è monitorare nel tempo l’esposizione creata dai partner, prevedendo scenari di sostituzione o riduzione della dipendenza dai fornitori critici in caso di incidente o di deterioramento del loro profilo di rischio.
Solo in questo modo, l’azienda non delega la propria resilienza alla buona volontà dei fornitori, ma costruisce un modello di responsabilità condivisa, documentato e difendibile anche sul piano regolatorio.
Tecnologie e approcci per un modello resiliente
Resilienza significa, dunque, accettare la possibilità che un attacco vada a buon fine e lavorare sul “quanto può fare male” e “quanto rapidamente posso ripartire e tornare a uno stato sicuro”.
Qui la differenza tra approccio difensivo tradizionale e resilienza è evidente. Un’azienda può avere controlli di sicurezza sofisticati e al tempo stesso essere poco resiliente, per esempio perché dipende da un unico data center, da un numero limitato di fornitori critici o da processi manuali di recovery.
Sul fronte opposto è possibile subire una compromissione ma contenere i danni. Vediamo qualche esempio di tecnologie e approcci che favoriscono un modello resiliente.
Il primo è la cifratura dei dati. Se un database contenente informazioni sensibili viene esfiltrato ma i dati sono cifrati in modo robusto, con chiavi custodite in un ambiente separato rispetto ai sistemi compromessi, la violazione resta grave ma l’impatto cambia radicalmente. I dati non sono immediatamente utilizzabili, riducendo il rischio di ricatti, diffusioni non autorizzate e danni ai soggetti interessati, pur restando possibili obblighi di notifica in base al quadro normativo. Un secondo esempio riguarda la segregazione logica e fisica. Separare ambienti di sviluppo, test e produzione, segmentare le reti, isolare i sistemi OT, applicare con rigore il principio del minimo privilegio significa limitare il raggio d’azione dell’attaccante. Un account compromesso su un endpoint periferico non deve poter raggiungere in pochi passaggi il sistema di fatturazione, l’ERP o i controller industriali.
Nel caso di una piaga come il ransomware, resilienza vuol dire essere in grado di ripristinare rapidamente uno stato “pulito da malware” senza cedere a richieste di riscatto. Ciò implica copie di backup immutabili, conservate su supporti o ambienti non raggiungibili direttamente dalla rete di produzione, con test periodici di ripristino e procedure di recovery che includano il ripristino di directory di identità, configurazioni di sicurezza e applicazioni critiche.
Il concetto di resilienza assume un significato proprio anche nel mondo industriale, traducendosi nella possibilità di mantenere una capacità operativa degradata ma sicura. Linee produttive ridondate, sistemi di controllo che consentono modalità “safe” in caso di incidente cyber, percorsi manuali di emergenza e piani specifici per la riconfigurazione sicura degli impianti sono parte integrante di una strategia in cui l’obiettivo è evitare che un attacco si trasformi in fermo impianto prolungato o in rischio per la sicurezza fisica.
Resilienza, conformità e risk management
Resilience e compliance hanno senso solo se inserite in un quadro strutturato di risk management e di governance dei dati. Non si può proteggere in modo consistente ciò che non si conosce. Per questo la mappatura degli asset e dei processi critici, la classificazione dei dati, la comprensione delle dipendenze da terze parti e dei “single point of failure” sono prerequisiti per decidere dove investire in ridondanza, dove segmentare, quali Recovery Time Objective siano realistici.
Dal punto di vista delle minacce, le credenziali compromesse restano uno dei vettori più pericolosi. Secondo le analisi riportate nel Verizon 2025 Data Breach Investigations Report, l’uso di credenziali rubate è tra le cause principali dei data breach e rappresenta, a seconda degli scenari considerati, una quota che può arrivare al 22% degli incidenti analizzati.
Una gestione efficace e automatizzata delle identità, con autenticazione multifattore, privilegi minimi, revisione periodica degli accessi, deprovisioning tempestivo, monitoraggio di attività anomale, riduce drasticamente il rischio che il furto di un singolo account legittimo possa essere sfruttato per movimenti laterali.
Endpoint e mobile come primo fronte della resilienza
Resilienza e compliance non si fermano al data center o al cloud. Endpoint e dispositivi mobili sono spesso il punto d’ingresso di phishing e malware, ma sono anche contenitori di dati sensibili, personali e di business.
Una strategia moderna deve prevedere cifratura pervasiva dei device, controllo delle applicazioni installate, strumenti EDR che monitorano il comportamento del sistema e capacità di blocco o wipe remoto. Per esempio, la perdita o il furto di un laptop non dovrebbe tradursi automaticamente in un data breach notificabile, se i dati sono cifrati in modo robusto e le chiavi non sono accessibili all’attaccante.
Dal punto di vista della compliance, questo collegamento è diretto. La protezione dei dati trattati su laptop e smartphone deve essere allineata a quella dei dati custoditi nei data center o nel cloud. In molti incidenti reali, l’anello debole non è il grande sistema centralizzato, ma il device periferico lasciato senza aggiornamenti, con privilegi eccessivi o senza cifratura.
Gli strumenti di gestione centralizzata degli endpoint diventano quindi parte della resilienza: consentono di standardizzare le policy, ridurre il tempo di esposizione alle vulnerabilità, isolare rapidamente i dispositivi sospetti e applicare in modo coerente i requisiti normativi.
AI e analisi del comportamento
Anche l’intelligenza artificiale porta il suo contributo alla resilienza. Un contributo che oggi si manifesta prevalentemente nei SOC ma che amplierà certamente in futuro il suo raggio d’azione.
L’AI permette di compensare i limiti del modello tradizionale di SIEM come mero collezionatore di log e generatore di alert, in uno scenario in cui la quantità di eventi rischia di complicare più che favorire la risoluzione dei problemi reali di sicurezza. L’AI è in grado di eseguire analisi, filtrare eventi critici, contestualizzare, suggerire gerarchie di azioni. Oggi, motori basati su machine learning e analisi comportamentale sono in grado di costruire modelli di “normalità” per utenti, endpoint, applicazioni e workload in cloud, individuando deviazioni anche sottili. L’accesso anomalo di un account privilegiato, la combinazione inconsueta di sistemi utilizzati, la modifica improvvisa dei pattern di traffico diventano, in tal modo, segnali da correlare automaticamente.
Questa capacità di correlazione diventa particolarmente rilevante in caso di attacchi zero day, di credenziali rubate e di minacce provenienti dall’interno. L’AI non sostituisce le “signature”, ma le integra: dove non esiste ancora una regola o un IoC, l’anomalia di comportamento può essere il primo indicatore di compromissione. Il risultato è un’evoluzione del concetto stesso di SIEM verso piattaforme integrate di detection and response, in cui XDR, orchestration e automazione guidate dall’AI permettono non solo di vedere prima l’attacco, ma di attivare azioni di contenimento, isolamento e ripristino in modo rapido e coerente con gli obiettivi di resilienza del business; inoltre, di farlo all’interno di un processo integrato che produce le evidenze necessarie per rispettare gli obblighi di notifica e rendicontazione previsti da NIS2 e DORA.
Sovranità dei dati e geografia dei data center
La sovranità dei dati è un’altra dimensione in cui resilience e compliance si incontrano, diventando scelte concrete di architettura. Non si tratta solo di “dove stanno” i dati, ma di capire sotto quale giurisdizione ricadono, chi può chiederne l’accesso, con quali obblighi di notifica in caso di incidente e quali vincoli esistono per la loro replica e conservazione nel tempo. NIS2, DORA e il quadro regolatorio europeo spingono provider e grandi utenti a considerare la localizzazione dei carichi di lavoro critici come parte integrante della continuità operativa anziché un dettaglio unicamente infrastrutturale.
In questa prospettiva, scegliere regioni cloud europee e data center locali non è solo una questione di latenza, ma un modo per allineare la gestione dei dati ai requisiti di segretezza, disponibilità e tracciabilità richiesti dalle normative. Progettare replica e failover tra regioni diverse significa bilanciare tre elementi: garantire che i dati e i servizi essenziali restino disponibili anche in caso di incidente grave, mantenere il controllo sulla giurisdizione a cui sono sottoposti e poter dimostrare, in caso di audit o data breach, quali copie esistono, dove sono collocate, chi le gestisce.
Il tema della sovranità diventa, quindi, sia tecnico sia di governance. Un’azienda resiliente conosce la “mappa” dei propri dati critici, sa quali processi dipendono da determinate regioni o fornitori, ha scenari di migrazione e failover compatibili con i vincoli normativi e integra queste scelte nei modelli di risk management. In questo modo, la geografia dei data center diventa una leva per ridurre l’esposizione a interruzioni prolungate e, allo stesso tempo, per rispondere in modo credibile alle richieste di regolatori, clienti e partner in tema di protezione e trattamento dei dati.
resilienza e compliance