La compliance normativa sta tenendo banco in questo avvio di 2025, che vede ben due protagoniste: NIS2 e DORA, quest’ultima relativa alle imprese che operano nell’ambito finance. Quando si parla di normative che stabiliscono paletti nell’ambito della cybersecurity in genere, l’analisi si concentra sulle spese da affrontare e sui cambiamenti pratici a cui dare corso per ottenere la compliance.

Quasi mai si presta attenzione alle ripercussioni sullo stress psicologico di chi materialmente deve implementare i cambiamenti; ci ha pensato Rubrik in un report dedicato, da cui emerge che l'86% dei CISO italiani dichiara che l'implementazione di DORA ha avuto un impatto negativo sulla loro salute mentale. Il numero è di per sé alto, la situazione peggiora ulteriormente se si considera che la media degli altri paesi intervistati si attesta all'80%. Di questi, il 71% afferma di sentirsi sotto pressione a causa delle nuove normative e molti denunciano la pressione esercitata su CISO e team di sicurezza e uno scollamento tra le necessità operative e la visione del board.

La ricerca è stata commissionata da Rubrik Zero Lab a Wakefield Research e ha coinvolto 350 CISO attivi in aziende con almeno 500 dipendenti nel settore finanziario e bancario in cinque paesi europei: Italia, Regno Unito, Germania, Francia e Paesi Bassi. L'indagine si è svolta tra il 21 novembre e il 3 dicembre 2024 e ha preso in esame anche altri aspetti più tradizionali, ma comunque interessanti.

Prima di tutto la questione costi: oltre il 70% delle aziende dichiara di avere speso oltre 500 mila euro per adeguarsi a DORA, mentre il 37% ha superato il milione di euro di investimenti negli ultimi due anni. Davanti a queste cifre si dovrebbe dedurre che la resilienza operativa sia raggiunta, invece i manager interpellati per il report fanno notare che nonostante gli ingenti investimenti, il rischio cyber resta elevato. In particolare, il ransomware continua a rappresentare la principale minaccia per il 34% delle organizzazioni italiane del settore, seguito dagli attacchi alle terze parti e alle catene di fornitura software.

Non solo: il 71% dei CISO italiani interpellati ritiene che i finanziamenti destinati alla cybersecurity non siano allineati con gli obiettivi del consiglio di amministrazione, e che questo crei un pericoloso divario tra la strategia aziendale e le reali esigenze di protezione cyber. Si parla di un disallineamento tale da poter compromettere non solo la sicurezza delle organizzazioni, ma anche la loro capacità di rispettare le normative e contrastare le minacce emergenti.

Un aspetto positivo che emerge dallo studio è la fiducia nelle soluzioni cloud. Il 60% dei CISO italiani ritiene che le informazioni personali di clienti, partner e dipendenti custodite in cloud siano protette in maniera efficace. Tuttavia, questo importante tassello non elimina la necessità di un monitoraggio costante e di una strategia di resilienza solida per garantire la sicurezza dei dati aziendali.

Per affrontare queste sfide, gli esperti suggeriscono un approccio combinato che chiami in causa le buone pratiche di gestione del rischio, investimenti mirati e la massima collaborazione tra le diverse figure aziendali. In particolare, sul fronte della data protection è necessario capire quali sono i dati più critici, dove risiedono e chi vi ha accesso per mitigare al meglio il rischio cyber e scongiurare eventuali violazioni.