Di Piermaria Saglietto, CEO e Co-Fondatore| Esperto RegTech, GRC, ESG | Privacy Officer Certificato TÜV | Lead Auditor ISO | Formatore e Consulente in Governance Digitale presso Compet-e.
Ci sono canzoni che non restano confinate nella musica.
Diventano un atteggiamento, una postura mentale, un invito a muoversi.
“Jump” dei Van Halen è una di queste.
Il suo messaggio di fondo è semplice e potentissimo: arriva un momento in cui bisogna smettere di guardare il salto da lontano e decidere di farlo davvero. Il punto non è che dall’altra parte ci siano certezze. Il punto è che, a volte, il rischio più grande è restare fermi.
Ed è esattamente questo che penso quando guardo alla NIS2.
NIS2: molto più di un adempimento cyber
Per molte organizzazioni la NIS2 è ancora percepita come un adempimento puramente cyber.
Un altro obbligo, un’altra lista di controlli, un altro tema da “scaricare” sull’IT.
In realtà la NIS2 dice qualcosa di molto più profondo: la sicurezza deve fare un salto.
- Un salto di maturità;
- Un salto di linguaggio;
- Un salto di responsabilità.
In fondo, il cuore del brano è tutto in quell’esortazione: “Go ahead and jump.”
In chiave NIS2 il significato potrebbe essere questo: smettete di considerare la sicurezza come una materia tecnica da presidiare solo quando succede qualcosa. Fate il salto verso una vera security governance aziendale.
Dalla protezione IT al governo del rischio
Oggi la sicurezza non è più soltanto protezione di infrastrutture IT.
È governo del rischio, continuità operativa, presidio della supply chain, capacità di prevenire, reagire, apprendere, tutela della fiducia.
Questo salto non può farlo solo l’IT.
Non può farlo il singolo responsabile tecnico.
Non può farlo da solo il CISO.
Non può farlo il consulente più bravo del mondo.
Questo salto deve farlo il top management.
La NIS2, su questo, è chiarissima nel suo messaggio sostanziale: gli organi di amministrazione e direzione non possono più essere osservatori esterni del tema sicurezza. Devono esserne parte attiva, orientare, sostenere, approvare, verificare. Devono diventare il motore propulsivo del cambiamento.
Security governance: di cosa stiamo parlando davvero
Al centro del modello NIS2 c’è un pilastro principale: la Security Governance.
È la funzione che definisce indirizzo strategico, modelli organizzativi e responsabilità in ambito sicurezza e resilienza digitale, coordinando tutti gli altri pilastri.
La Security Governance non si limita alla protezione tecnica.
Governa l’intero sistema di sicurezza aziendale, assicurando coerenza tra strategia di business, gestione del rischio cyber, compliance normativa e responsabilità del management e del board.
È qui che si decide come la sicurezza supporta gli obiettivi aziendali, quali priorità vanno coperte per prime, come allocare gli investimenti e come misurare il ritorno in termini di riduzione del rischio e continuità operativa.
Successivamente, si articola su tre grandi pilastri che lavorano insieme:
- Cybersecurity
Tutto ciò che riguarda la protezione tecnica: consapevolezza del top management, analisi e gestione del rischio cyber, vulnerability assessment, penetration test, cyber threat intelligence, digital forensics, monitoraggio continuo. - Managed services
Tutti i servizi erogati in modo continuativo che permettono di tenere accesa la sicurezza: endpoint security, network detection & response, advanced mail protection, data loss prevention, SOC as a service, gestione dei security device, protezione del web e dei canali digitali. - Compliance
Il presidio trasversale di tutti gli ambiti precedenti, per garantire che misure, processi e responsabilità siano allineati a norme, standard e aspettative delle controparti (clienti, autorità, partner).
Fare security governance significa quindi:
- definire chi decide cosa, chi approva, chi controlla e con quali informazioni;
- collegare gli investimenti di sicurezza agli scenari di rischio e agli obiettivi di continuità del business;
- garantire accountability chiara del management e metriche che rendano visibile il ritorno degli investimenti in sicurezza.
È questo il salto che la NIS2 chiede alle organizzazioni: passare da una somma di iniziative tecniche a un vero sistema di governo della sicurezza.
NIS2 come invito al salto (consapevole)
Ed è qui che “Jump” torna a essere una metafora perfetta.
Non parla di un salto incosciente, ma di un salto lucido e necessario.
Quando il brano insiste su “Might as well jump”, la lettura in chiave NIS2 viene quasi naturale: se il contesto è già cambiato, se le minacce sono aumentate, se la dipendenza dal digitale è ormai strutturale, se gli impatti potenziali riguardano business, reputazione, continuità e responsabilità del management, allora tanto vale fare quel salto fino in fondo.
Non in modo improvvisato, ma con visione e metodo.
Dal “mettersi a posto” al ripensare il modello
Qui sta la vera opportunità della NIS2.
Non si tratta di aggiungere “qualche misura in più”, ma di ripensare l’intero modello di governo della sicurezza.
Vuol dire passare:
- da una sicurezza relegata nei confini IT a una sicurezza integrata nella governance;
- da una gestione reattiva degli incidenti a una logica strutturata di risk management;
- da una responsabilità dispersa a una accountability chiara del management;
- da controlli isolati a un modello coerente tra processi, ruoli, decisioni e misure.
Le organizzazioni più mature non saranno quelle che si limiteranno a “mettersi a posto” per la norma.
Saranno quelle che useranno la NIS2 come leva per crescere e per accrescere la fiducia delle controparti.
Per farlo servono domande vere, non solo checklist:
- sappiamo quali sono i nostri asset critici?
- conosciamo le dipendenze che sostengono i servizi essenziali o importanti?
- abbiamo chiaro chi decide cosa, chi approva, chi controlla, chi reagisce?
- il board comprende davvero la sicurezza come tema strategico?
- il rischio cyber è parte della governance o vive ancora in un angolo tecnico?
Se queste domande restano senza risposta, allora il salto non è ancora avvenuto.
Quando la compliance diventa evoluzione organizzativa
È proprio qui che la compliance smette di essere un obbligo sterile e diventa evoluzione organizzativa.
La NIS2 ci costringe a riconoscere una verità che troppo spesso abbiamo rinviato: la sicurezza è una questione di impresa, non solo di tecnologia.
Per questo, letta bene, la NIS2 è una straordinaria opportunità:
- per portare la sicurezza da pratica operativa a scelta strategica;
- per trasformarla da tema tecnico in vera security governance.
E allora sì, forse i Van Halen possono insegnare qualcosa anche a chi si occupa di compliance, rischio e resilienza.
Il punto non è aspettare che spariscano le incertezze.
Il punto è costruire le condizioni per saltare bene.
Perché oggi, per molte organizzazioni, il vero rischio non è la NIS2.
È non cogliere l’occasione che la NIS2 offre.
Quindi: Jump! Jump! Jump!
Non perché sia facile, ma perché è il momento di farlo.