Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

l'approfondimento

Non vedere è una responsabilità: le conseguenze del mancato monitoraggio NIS 2

Home Norme e adeguamenti
Partecipa al dibattito
Indirizzo copiato

Se l’informazione era disponibile e non è stata intercettata, analizzata o governata, l’organizzazione deve considerarsi “scoperta”. Ecco l’impatto del mancato monitoraggio nella NIS 2 e come la responsabilità si distribuisce lungo tutta la catena decisionale, fino al vertice

Pubblicato il 12 mag 2026
Giuseppe Alverone

Consulente e formatore Privacy e Cybersecurity. DPO certificato UNI CEI EN 17740:2024

Monica Perego

Consulente, Formatore Privacy & DPO

NIS2 referente CSIRT ACN; NIS2 e supply chain: un singolo fornitore compromesso può mettere a rischio un intero ecosistema; Non vedere è una responsabilità: le conseguenze del mancato monitoraggio nella NIS 2
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

Una vulnerabilità non gestita, oltre ad essere un problema tecnico, costituisce anche una responsabilità organizzativa.

La sottocategoria ID.RA-08 del Framework Nazionale per la Cybersecurity e la Data Protection (FNCDP) rende esplicita questa circostanza: se l’informazione era disponibile e non è stata intercettata, analizzata o governata, l’organizzazione deve considerarsi “scoperta”.

Questo capitolo – l’ultimo di una tetralogia dedicata alla ID.RA-08 – analizza le conseguenze del mancato monitoraggio e mostra come la responsabilità si distribuisce lungo tutta la catena decisionale, fino al vertice.

Il nuovo Framework nazionale per la cybersecurity è la linea guida per la compliance NIS2

La rilevanza della mancata gestione delle vulnerabilità

C’è una differenza netta tra subire un attacco imprevedibile e subire un attacco prevedibile.

Nel primo caso, l’organizzazione può trovarsi di fronte a un evento che supera le capacità ragionevoli di difesa. Nel secondo caso, invece, la situazione cambia completamente.

Se la vulnerabilità era nota, se era stata comunicata attraverso canali ufficiali e se esistevano informazioni sufficienti per intervenire, allora il problema non è l’attacco ma la mancata gestione.

La sottocategoria ID.RA-08 del FNCDP introduce proprio questa linea di demarcazione.

Non protegge da ogni evento ma rende molto più difficile giustificare l’inerzia.

I precedenti capitoli della pentalogia misura ID.RA-08

Il punto di rottura: quando l’informazione esiste ma non viene gestita

Ecco uno scenario concreto. Una vulnerabilità critica su un sistema viene pubblicata e diffusa attraverso i canali del CSIRT o dei fornitori.

L’organizzazione utilizza il sistema interessato ed è a conoscenza della vulnerabilità ma:

  • non viene effettuato alcun aggiornamento;
  • non viene adottata alcuna misura compensativa;
  • non viene formalizzata alcuna accettazione del rischio.

Dopo qualche tempo, quella vulnerabilità viene sfruttata da un attaccante e genera un incidente. In questa situazione, il problema non è la vulnerabilità, ma il fatto che era conosciuta e non è stata gestita.

Questo cambia completamente la valutazione perché non si è di fronte ad un evento imprevedibile si è in una situazione di “esposizione evitabile” e quando l’esposizione è evitabile, emerge la responsabilità.

La posizione dell’organizzazione davanti all’autorità

In uno scenario di questo tipo, è facile immaginare che l’autorità di controllo non si limiterà a verificare l’esistenza dell’incidente, ma analizzerà il comportamento dell’organizzazione prima dell’incidente e chiederà se:

  • l’informazione era disponibile;
  • l’organizzazione aveva un sistema per intercettarla;
  • quel sistema funzionava;
  • le decisioni in merito alla mancata presa in carico sono state prese consapevolmente e se sono state documentate;
  • le motivazioni documentate sono valide.

Se una sola delle risposte a queste domande è negativa, il quadro cambia e molto probabilmente si valuterà non solo l’evento ma l’organizzazione e, probabilmente questa valutazione riguarderà la capacità di prevenzione, non solo la capacità di risposta.

La responsabilità lungo la catena organizzativa

Una delle conseguenze più rilevanti della misura ID.RA-08 è che la responsabilità non si concentra in un solo punto.

Si distribuisce lungo tutta la catena e quindi su chi:

  • doveva monitorare e non ha monitorato;
  • doveva analizzare e non ha analizzato;
  • aveva il dovere di decidere e non ha deciso;
  • chi doveva intervenire e non è intervenuto.

Ogni passaggio mancato diventa un elemento di responsabilità, ma il punto più delicato riguarda il vertice organizzativo perché il piano di gestione delle vulnerabilità deve essere approvato dagli organi di amministrazione e direttivi come richiede la misura ID.RA-08.

Questo significa che il vertice ha la responsabilità di assicurare che il sistema esista e funzioni.

Se il sistema non esiste, o esiste solo sulla carta, la responsabilità non può essere scaricata verso il basso.

Il problema non è l’errore operativo, ma l’intero sistema

In questo contesto emerge un concetto fondamentale. La responsabilità non è collegata soltanto ad un errore operativo; prende forma molto prima, dentro l’organizzazione, nel momento in cui:

  • mancano ruoli chiari;
  • il monitoraggio resta debole;
  • i criteri decisionali non sono definiti;
  • i processi non lasciano traccia.

In questi casi, evidentemente, non si tratta di un episodio isolato. Si è di fronte al segnale di qualcosa che non funziona nella struttura e quando la struttura è fragile, l’esposizione riguarda tutta l’organizzazione.

Questo è il punto in cui la sicurezza si intreccia con la responsabilità gestionale.

Le conseguenze operative del mancato monitoraggio

Oltre alla dimensione normativa e di responsabilità, il mancato monitoraggio ha conseguenze operative molto concrete, quali per esempio:

  • vulnerabilità che restano aperte più a lungo;
  • attaccanti che hanno più tempo per sfruttarle;
  • contromisure che diventano più complesse e costose;
  • impatti sugli asset critici che aumentano.

In molti casi, il danno non deriva dalla vulnerabilità in sé, ma dal tempo trascorso senza intervenire.

Questo tempo è ciò che la misura ID.RA-08 cerca di ridurre: intercettare prima consente di avere più opzioni mentre intervenire dopo riduce il margine di intervento.

In alcuni casi serve tempo tra la segnalazione della vulnerabilità e l’intervento.

Accade, per esempio, quando bisogna capire gli effetti su altri sistemi o valutare investimenti rilevanti.

La decisione deve essere tracciata e motivata e nel frattempo vanno definite e attuate misure compensative.

La differenza tra organizzazioni reattive e organizzazioni consapevoli

Le organizzazioni che non strutturano il monitoraggio e il processo decisionale, generalmente, restano in una posizione reattiva.

Aspettano che qualcosa accada e quando accade, cercano di gestirlo. Invece, le organizzazioni che applicano correttamente e completamente ID.RA-08:

  • intercettano le vulnerabilità;
  • valutano il rischio;
  • prendono decisioni;
  • intervengono prima che il problema si manifesti.

Non eliminano il rischio, ma lo governano e questa differenza è decisiva perché nel primo caso l’organizzazione subisce, nel secondo caso gestisce.

Il valore della tracciabilità

Un ultimo elemento spesso sottovalutato è la tracciabilità delle decisioni. In caso di incidente, la possibilità di dimostrare che una vulnerabilità è stata valutata e gestita in modo coerente può fare una differenza sostanziale.

Questo fattore non elimina il problema ma cambia la posizione dell’organizzazione perché offre evidenza che:

  • esiste un sistema;
  • le decisioni sono state prese;
  • il rischio è stato considerato.

Senza questa tracciabilità, ogni scelta non è visibile e quindi non è difendibile.

Le conseguenze del mancato monitoraggio nella NIS 2

La sottocategoria ID.RA-08 non si limita a chiedere di monitorare le vulnerabilità. Invece, stabilisce che se l’informazione esiste, l’organizzazione deve essere in grado di intercettarla e governarla.

Le organizzazioni che costruiscono un sistema solido riescono a dimostrare di aver fatto ciò che era necessario mentre quelle che non lo fanno si trovano esposte, non solo agli attacchi, ma anche alla valutazione delle proprie scelte.

In conclusione, la differenza non sta nella presenza o assenza di vulnerabilità ma nella capacità di intercettarle, vederle e di decidere cosa farne.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

A
Giuseppe Alverone
Consulente e formatore Privacy e Cybersecurity. DPO certificato UNI CEI EN 17740:2024

Giuseppe Alverone, già Generale dei Carabinieri e DPO dell’Arma, oggi consulente, formatore, autore e auditor specializzato in privacy, cybersecurity e governance del rischio.

Seguimi su
P
Monica Perego
Consulente, Formatore Privacy & DPO

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

SPAZIO CISO

Vedi tutti gli approfondimenti >

Articoli correlati

  • GDPR e NIS 2; Dalla teoria alla tabella: correlare BIA, SL e incidenti significativi nel Monis

  • La sicurezza misurabile

    Gestire gli incidenti significativi: la matrice operativa per la conformità NIS 2

    02 Dic 2025

    di Giuseppe Alverone e Monica Perego

    Condividi
  • GhostPairing

  • l'analisi tecnica

    GhostPairing, l’attacco che sfrutta i dispositivi collegati per compromettere WhatsApp

    23 Dic 2025

    di Salvatore Lombardo

    Condividi
  • USA botnet IoT

  • l'analisi tecnica

    IoT insicuro by design: le botnet smantellate dagli USA sono un sintomo, non la malattia

    23 Mar 2026

    di Paolo Tarsitano

    Condividi
  • Phishing intelligenza artificiale

  • lo studio

    Phishing 2.0, l’era degli LLM: i rischi e come difendersi

    22 Dic 2025

    di Anna Aiuto e Fabrizio D'Amore

    Condividi
0
Lascia un commento, la tua opinione conta.x