L’imperativo delle infrastrutture critiche: dalla scelta all’obbligo legale

La cybersecurity non punta più alla prevenzione totale, ma alla resilienza: imparare dagli attacchi, garantire continuità operativa e ripristino rapido. Per aziende e infrastrutture critiche, resilienza e sovranità digitale diventano ora priorità strategiche e normative.

A cura di Antonio Madoglio, Senior Director Systems Engineering – Italy & Malta di Fortinet

Riunione dopo riunione, intervento dopo intervento, mi rendo conto che il perseguimento di una prevenzione al 100% è ormai diventato un anacronismo. La combinazione di complessità sistemica, accelerazione esponenziale delle minacce basate sull’intelligenza artificiale e sofisticazione degli attacchi a livello di Stato-nazione rende la totale prevenzione degli incidenti non solo impossibile, ma anche un concetto pericoloso. Per il moderno Chief Information Security Officer e per la direzione esecutiva che questi serve, questa considerazione è una verità che fa riflettere e che richiede un cambiamento fondamentale nella strategia: l’evoluzione da un’attenzione esclusiva alla sicurezza a un impegno globale verso la resilienza.

La sicurezza, nel suo significato tradizionale, crea un falso senso di protezione: una mentalità che implica l’idea di fortezza progettata per tenere fuori il nemico. La resilienza, al contrario, consiste nel garantire la continuità operativa quando le difese sono state violate, anche solo leggermente. Implica una maggiore umiltà, al di là del semplice riconoscimento che la violazione è inevitabile, e la vera misura del successo risiede nella rapidità e nell’efficacia del processo di ripristino. Come ha osservato il World Economic Forum (WEF), a cui Fortinet partecipa attivamente da tempo, nel suo Global Cybersecurity Outlook 2026, la resilienza informatica non è più una soluzione tecnica di ripiego, ma un imperativo economico e sociale [1].

Più pragmatico, questo nuovo paradigma di resilienza è caratterizzato da tre capacità fondamentali, che spostano l’attenzione dal perimetro alla missione principale:

• Risposta anticipatoria: non si tratta solo di individuare i bug, ma di imparare da un attacco in corso man mano che si verifica. L’idea è quella di utilizzare le mosse dello stesso aggressore per comprendere e rispondere al suo attacco in tempo reale. Collegando i puntini, questo approccio consente di prevedere quale sarà il prossimo punto di cedimento del sistema e di avere strumenti di ripristino pronti all’uso prima che il danno si diffonda.
• Degrado gestito (Managed Degradation): si tratta della capacità di un’organizzazione di mantenere un insieme limitato e ben definito di servizi critici, partendo dal presupposto che altre parti della rete potrebbero essere compromesse. Si tratta della decisione strategica di operare in uno “stato degradato”, garantendo che le funzioni più vitali – che si tratti di transazioni finanziarie, controllo della rete elettrica o assistenza ai pazienti – rimangano operative, anche se a capacità ridotta.
• Ripristino rapido: L’attenzione si sposta da “se mai venissimo colpiti” a “quanto velocemente possiamo riprenderci”. Questa capacità è misurata dal Recovery Time Objective (RTO) ed è sostenuta da backup di dati immutabili e da procedure di ripristino robuste e collaudate. Come ha affermato K. Krithivasan, CEO di Tata Consultancy Services, “Le aziende che prospereranno in futuro non saranno quelle che non sono mai state colpite da attacchi informatici o crimini, ma quelle che hanno sviluppato la capacità più forte di riprendersi da essi” [1].

L’imperativo delle infrastrutture critiche: da scelta a obbligo giuridico

Sebbene il passaggio alla resilienza rappresenti una tendenza per la maggior parte delle organizzazioni, sta rapidamente diventando un obbligo legale e normativo per coloro che gestiscono infrastrutture critiche (CI). Le infrastrutture critiche comprendono le risorse, i sistemi e le reti – sia fisici che virtuali – considerati talmente vitali per un governo che la loro inoperatività o distruzione avrebbe un effetto devastante sulla sicurezza nazionale, sulla stabilità economica, sulla salute pubblica o sulla protezione civile [3].

Storicamente, i governi hanno stabilito standard di sicurezza per le infrastrutture critiche. Tuttavia, il nuovo mandato sulla resilienza rappresenta un profondo cambiamento nel contratto sociale tra il governo e gli enti privati che gestiscono questi sistemi vitali. I governi stanno ora dichiarando che la capacità di resistere e riprendersi da un’interruzione è una questione di sicurezza nazionale, assegnando così l’obbligo di essere resilienti agli operatori privati.

Il mandato “Sovereignty-First”

Le recenti proposte legislative dell’Unione Europea incarnano questa tendenza, inaugurando un’era “Sovereignty-First” per settori critici come quello delle telecomunicazioni [5]. Questo movimento è guidato dal Digital Networks Act (DNA) e dalla proposta di Cybersecurity Act 2.0 (CSA2), entrambi pubblicati nel gennaio 2026. Questo cambiamento è presente anche nel Regno Unito attraverso il Telecommunications (Security) Act 2021, che conferisce al governo il potere di escludere i fornitori ad alto rischio e impone rigorosi standard di sicurezza. Insieme, questi quadri normativi rappresentano una svolta epocale che va oltre la semplice conformità verso un obiettivo unificato di “autonomia strategica” e resilienza nazionale.

Questo duplice mandato di resilienza e sovranità richiede agli operatori di infrastrutture critiche non solo di proteggere i propri sistemi, ma anche di garantire che il loro sistema informativo sia soggetto alla propria giurisdizione e che qualsiasi possibile interferenza da parte di giurisdizioni straniere sia compresa, minimizzata e controllata, come richiesto dal Data Act dell’UE.

Il CSA2 impone alle infrastrutture critiche di dimostrare la propria capacità di operare in uno “stato degradato” durante una crisi. Inoltre, introduce il primo quadro orizzontale dell’UE per la sicurezza della supply chain delle tecnologie dell’informazione e della comunicazione (ICT), consentendo alla Commissione di designare i fornitori ad alto rischio e di imporre divieti sul loro utilizzo nelle infrastrutture critiche [2]. Ciò collega direttamente la resilienza nazionale all’indipendenza della supply chain, riconoscendo che la preoccupazione del governo va oltre la rete interna dell’operatore. Tuttavia, questo quadro riconosce anche che un isolamento totale dalle influenze straniere è probabilmente impossibile e, dal punto di vista pratico, poco opportuno in un mercato globalizzato. Piuttosto che inseguire un obiettivo irraggiungibile di completo isolamento, l’attenzione si sposta sull’identificazione di elementi specifici in cui le autorità straniere potrebbero esercitare potere, assicurando che tali rischi siano gestiti senza recidere le connessioni vitali che mantengono funzionali i sistemi moderni.

Sovranità del cloud e controllo locale

Il concetto di resilienza è ormai indissolubilmente legato all’indipendenza tecnologica e alla definizione di “controllo locale” [5]. Per soddisfare i rigorosi requisiti del DNA e del CSA2, stanno emergendo nuovi modelli di infrastruttura:

• Partizioni cloud sovrane: i fornitori di servizi cloud stanno introducendo ambienti fisicamente e logicamente isolati, dotati di una struttura di governance protetta da giurisdizioni straniere, come l’AWS European Sovereign Cloud (ESC), in cui è garantito al 100% che la console di gestione, l’Identity and Access Management (IAM), la fatturazione e il team di gestione esecutiva siano all’interno dell’UE. Ciò assicura che il piano di controllo dei dati critici rimanga entro i confini legali e fisici richiesti.
• Sovereign Edge Computing: le aziende di telecomunicazioni stanno integrando la sicurezza e l’elaborazione direttamente ai confini della rete. Questo modello garantisce che i dati industriali sensibili vengano elaborati localmente prima ancora di raggiungere la rete Internet pubblica, applicando così contemporaneamente i principi di Managed Degradation e di sovranità dei dati [5].

Fattori globali e risposta del mercato

La spinta normativa trova riscontro in un forte consenso economico. In occasione dell’incontro annuale del WEF a Davos, i dirigenti di Fortinet hanno discusso di questo nuovo scenario e, proprio nel rapporto 2026 del WEF, si legge che il 92% degli amministratori delegati ora dà la priorità alle «capacità di ripristino informatico» rispetto alla tradizionale «spesa per la difesa perimetrale» [1]. Questo recente cambiamento nell’orientamento dei dirigenti sta per tradursi in cambiamenti di mercato:

• Trasformazione del settore assicurativo: i principali assicuratori informatici hanno iniziato a implementare “audit di resilienza”. I premi non vengono più calcolati esclusivamente in base al verificarsi di una violazione, ma sono fortemente influenzati dall’RTO (Recovery Time Objective) di un’azienda e dall’immutabilità dei suoi dati. Questo incentivo finanziario sta costringendo le organizzazioni a investire in framework di ripristino che possano essere misurati e convalidati quantitativamente sia in termini di ciò che ripristinano, sia in termini di velocità.
• Il framework di governance dell’OCSE: l’Organizzazione per la Cooperazione e lo Sviluppo Economico (OCSE) ha sottolineato che garantire la resilienza delle infrastrutture critiche richiede nuovi modelli di governance che limitino le interruzioni del servizio e promuovano la collaborazione intersettoriale [4]. Ciò ha il merito di definire quadri a livello nazionale che incentivino la ridondanza, la segnalazione degli incidenti e la condivisione delle infrastrutture.

La frontiera tecnologica: la resilienza autonoma

La risposta tecnologica al requisito della resilienza si concretizza nell’ascesa degli “agenti di resilienza autonoma” e delle “reti autorigeneranti”. Questi strumenti vanno oltre i semplici meccanismi di blocco. Sono progettati per consentire a un attacco sospetto di procedere in un ambiente sandbox, al fine di generare e distribuire automaticamente firme di immunità nell’intera infrastruttura.

Questo approccio basato sull’intelligenza artificiale incarna la filosofia della resilienza: invece di fallire nel prevenire l’attacco, il sistema utilizza l’attacco stesso come fonte di dati per apprendere, adattarsi e ripristinarsi rapidamente. È l’espressione definitiva del principio del degrado gestito, che trasforma una compromissione localizzata in un vantaggio difensivo globale.

Conclusione: l’artefice della continuità e del controllo

Il passaggio dalla sicurezza alla resilienza, ora aggravato dall’imperativo della sovranità, rappresenta un profondo cambiamento filosofico e operativo. Per gli operatori delle infrastrutture critiche, si traduce nel nuovo costo di fare impresa, imposto dai dettami governativi e dalla realtà economica. È fondamentale sottolineare che questo cambiamento non può avere successo solo attraverso la regolamentazione; esso si basa invece su profonde collaborazioni tra settore pubblico e privato. Allineando le informazioni di sicurezza del governo con le competenze operative del settore privato, queste collaborazioni garantiscono che i mandati di sovranità siano sia tecnicamente fattibili che economicamente sostenibili, trasformando un requisito imposto dall’alto in una strategia di difesa condivisa.

L’approccio alla resilienza può essere compreso attraverso un’analogia medica: l’immunizzazione. Proprio come un organismo viene esposto a un virus indebolito per imparare e costruire una risposta immunitaria controllata e consapevole, l’impresa resiliente utilizza l’essenza stessa di un attacco a proprio vantaggio. Lungi dall’essere una debolezza, questo approccio trasforma una compromissione effettiva in un’occasione di apprendimento, consentendo al sistema di comprendere la minaccia in modo più approfondito e di attivare scenari di ripristino informati e controllati.

La missione del CISO si sta trasformando da quella di guardiano della fortezza a quella di artefice della continuità. L’attenzione non è più rivolta al compito impossibile di prevenire ogni singolo attacco, ma alla creazione di sistemi intrinsecamente adattivi, in grado di assorbire gli shock e progettati per un ripristino rapido e garantito entro i confini sovrani definiti dalla legge. In questo nuovo ambiente “da guerra”, l’organizzazione resiliente e sovrana è quella in grado di incassare il colpo, imparare dall’esperienza, preservare ciò che conta di più e andare avanti con il minimo disagio.

Fonti

[1] World Economic Forum. (2026). Global Cybersecurity Outlook 2026.

[2] Global Policy Watch. (2026, January 23). European Commission Proposes Cybersecurity Act 2: New EU Supply Chain Rules and Certification Reforms.

[3] The White House. (2013, February 12). Presidential Policy Directive – Critical Infrastructure Security and Resilience.

[4] Organisation for Economic Co-operation and Development (OECD). (2025, June 19). Ensuring the resilience of critical infrastructure. (Excerpt from Government at a Glance 2025).

[5] Sanchez, A. (2026, January 30). Summary of Sovereignty Posture for European Telcos. (Internal Memo).

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.