strategie e scenari

GDPR e NIS 2: quando la normativa cyber diventa strategia di difesa nazionale

C’è un legame strutturale tra dottrina militare e cyber security, interpretata attraverso la visione strategica del generale prussiano Carl von Clausewitz e concretizzata nelle architetture normative del GDPR e della Direttiva NIS 2. Ecco perché la sicurezza è il linguaggio comune della sovranità, mentre la cyber security ne è il suo campo di battaglia quotidiano

Pubblicato il 27 mag 2025

Giuseppe Alverone

Consulente e formatore Privacy. DPO certificato UNI CEI EN 17740:2024

Monica Perego

Consulente, Formatore Privacy & DPO

Clausewitz reloaded: la cyber security come prosecuzione della difesa con altri mezzi — National cyber security

Sicurezza deriva dal latino sine cura, cioè “senza preoccupazione”. Ma, paradossalmente, la sicurezza è tutt’altro che un’assenza di preoccupazione: è una preoccupazione continua, lucida, organizzata.

È la forma più alta della vigilanza. Non significa vivere senza timori, ma sapere come affrontarli prima che si trasformino in danni.

La sicurezza non è quindi uno “stato”, per esempio lo stato di chi dorme tranquillo, bensì un’azione ovvero l’azione di chi pianifica, presidia e protegge.

La sicurezza non è uno slogan: è una funzione vitale. In un mondo attraversato da minacce continue – fisiche, digitali, economiche – innescate anche da uno stato di incertezza pervasiva, la sicurezza assume il volto di una strategia di resistenza e continuità, comune tanto alle istituzioni militari quanto a quelle civili.

Esiste un legame strutturale tra dottrina militare e cyber security, letta attraverso la visione strategica di Carl von Clausewitz e concretizzata nelle architetture normative del GDPR e della Direttiva NIS 2.

Del resto, il pensiero del grande generale prussiano, nel quale si colgono evidenti punti di contatto tra la cyber security e la dottrina militare, trova riscontro anche in altri eminenti strateghi come Sun Tzu e Napoleone.

Ecco perché oggi la sicurezza non è più una questione tecnica: è una questione strategica, culturale, nazionale. E se ne parla, inevitabilmente, con il linguaggio della difesa militare. Strutture militari, in scenari civili.

Come si impara la cyber security: ecco le nozioni di base necessarie

Indice degli argomenti

Cyber security, questione di difesa nazionale

Viviamo in una società interconnessa e fragile, in cui ogni infrastruttura, ogni sistema, ogni informazione può essere colpita, manipolata, sabotata.

Ecco perché oggi la sicurezza non è più una questione tecnica: è una questione strategica, culturale, nazionale. E se ne parla, inevitabilmente, con il linguaggio della difesa militare.

Nessuna realtà – né militare né civile – può evitare del tutto i pericoli, cioè le sorgenti di danno che caratterizzano tutti gli ambienti ove l’essere umano vive e opera. Ma può, e deve, governare i rischi.

Il pericolo è ciò che può nuocere. Il rischio è la probabilità che il pericolo diventi danno.
La resilienza è la capacità di resistere, adattarsi e continuare a operare. La sicurezza moderna, in tutti i settori, è chiamata a trasformare l’incertezza in controllo e la minaccia in un’occasione per rafforzarsi.

Questo vale per un battaglione in un conflitto bellico quanto per un ospedale, una centrale elettrica, un’azienda informatica.

Oggi, ogni organizzazione è un bersaglio potenziale. Ogni sistema è esposto. Ogni dato è vulnerabile. E ogni errore può essere l’innesco di un disastro.

Ma allora vediamo cos’è davvero la sicurezza, come funziona, e perché, quando ne parliamo, sembriamo evocare il linguaggio militare e le strutture della guerra.

Per rispondere, dobbiamo tornare a un pensatore che della guerra ha fatto una scienza: Carl von Clausewitz.

Pericolo, rischio, resilienza: il triangolo della sopravvivenza

Carl von Clausewitz, ufficiale prussiano e veterano delle guerre napoleoniche, è noto per il trattato incompiuto Della guerra (pubblicato postumo a partire dal 1832), opera fondamentale della strategia militare moderna.

Egli scriveva che “la guerra è la continuazione della politica con altri mezzi”. Parafrasando Von Clausewitz. nel mondo digitale possiamo dire che la cyber security è la continuazione della difesa nazionale con mezzi civili e normativi.

Cosa scriveva von Clausewitz

Von Clausewitz nel suo trattato “Della guerra“, non definiva la guerra solo come un conflitto armato, ma come un confronto strategico tra volontà opposte, in cui ogni parte cerca di impedire all’altra di raggiungere i propri scopi.

Non è altro che il medesimo schema d’azione che oggi, nel mondo digitale, chiamiamo hacking.

Anche in ambito civile, il confronto si ripete: attori ostili – criminali informatici, stati avversari, soggetti infedeli dall’interno – agiscono per ostacolare, destabilizzare, sfruttare.

Di fronte a queste pressioni, le organizzazioni sono chiamate a difendere ciò che per loro è essenziale: obiettivi, sistemi, processi.

Il pensiero di von Clausewitz alla protezione dei dati e alla cyber security

Possiamo considerare la sicurezza informatica come una forma di conflitto continuo, in cui le organizzazioni a livello strategico devono:

pianificare strategie di difesa per proteggere le informazioni sensibili;
adattarsi rapidamente alle nuove minacce e vulnerabilità che emergono costantemente;
mantenere una forza morale elevata, promuovendo una cultura della sicurezza all’interno dell’organizzazione.

A livello operativo, le stesse organizzazioni sono chiamate a tradurre queste strategie nelle seguenti azioni:

conoscere il nemico (agente di minaccia);
comprendere come il nemico può sfruttare una vulnerabilità (minaccia);
preparare il campo (misure);
presidiare le linee (monitoraggio);
rispondere con lucidità (incident response).

Una guerra con obiettivi chiari

Il centro di gravità, direbbe oggi Von Clausewitz, non è più solo il territorio, ma la capacità di operare e decidere in sicurezza.

In questo contesto, la cyber security diventa una “guerra” senza armi tradizionali, ma con obiettivi chiari: proteggere i dati, garantire la continuità operativa e mantenere la fiducia degli stakeholder.

Le normative come il Gdpr, la Direttiva NIS 2 ed il Regolamento Dora forniscono il quadro strategico per affrontare questa sfida, richiedendo alle organizzazioni di adottare misure proattive e reattive per gestire i rischi informatici.

Quindi, leggendo la protezione dei dati e la cyber security, con la lente dei principi clausewitziani, possiamo riconoscere che una strategia ben definita, la capacità di adattamento e una forte determinazione morale sono utili, anzi necessarie per affrontare le minacce in un ambiente digitale in continua evoluzione.

Cyber security: una guerra permanente, in tempo di pace

La cyber security è quindi una forma di conflitto non dichiarato, ma continuo. È la difesa di un ecosistema distribuito, invisibile, fatto di dati, interfacce, dispositivi, connessioni, sistemi di monitoraggio, processi e procedure.
Ogni giorno si combatte contro:

ransomware e phishing;
vulnerabilità zero-day;
il disallineamento tra tecnologia e persone;
la riluttanza delle persone nell’applicare le misure.

Ogni giorno avvengono attacchi, esfiltrazioni, compromissioni. Eppure non ci sono sirene, trincee, colonne in movimento.

Ci sono firewall, dati, allarmi digitali, squadre di pronto intervento, informazioni critiche da proteggere.

La struttura è militare, ma lo scenario è civile. La minaccia è invisibile, ma reale. E la risposta deve essere unitaria, addestrata, strategica. In questo quadro, ogni organizzazione deve sviluppare un proprio intelligence center (monitoraggio), un comando e controllo (governance), un esercito addestrato (formazione e risposta), una logistica difensiva (backup, continuità, disaster recovery).

Questa è la guerra del nostro tempo. Silenziosa, pervasiva, continua. E chi non la combatte, la subisce.

Israele, è controverso l’uso dell’AI nel conflitto di Gaza

Gdpr e Nis 2: difese normative per una strategia nazionale

Sulla base di quanto finora evidenziato sembra che possiamo affermare che, in questo scenario, le leggi non sono solo un insieme di regole: sono scudi strategici.
Il Gdpr protegge gli esseri umani e i loro diritti e libertà fondamentali e per farlo richiede come presupposto necessario la difesa delle infrastrutture.

La Direttiva NIS 2, recepita in Italia dal D.Lgs. 138/2024, impone agli operatori strategici (energia, trasporti, sanità, digitale…) di adottare modelli organizzativi simili a quelli della difesa.

Entrambe le norme identificano asset critici, impongono strategie documentate di protezione, prevedono reazioni codificate all’incidente e misurano la maturità strategica delle organizzazioni.

In pratica, obbligano aziende e PA a pensare e agire come centri operativi di difesa, non più come semplici soggetti economici o amministrativi.

Sono strumenti civili, ma con architettura militare. Perché il nemico è reale, evolve e si adatta continuamente e l’inerzia è pericolosa.

Sovranità digitale è la nuova geopolitica

Oggi non si combattono guerre solo con i carri armati. Si combattono con informazioni, sistemi informatici, reti di dati, identità digitali.

In questo scenario, la sicurezza è una forma di sovranità che va ripensata come patrimonio comune.

Una guerra senza bombe, ma con obiettivi reali. Una battaglia per la continuità operativa, combattuta con metodo, disciplina, competenza.

Von Clausewitz parlava di strategia. Oggi, quella strategia si chiama cyber security. E il suo campo di battaglia è ovunque ci sia un dato da proteggere.

@RIPRODUZIONE RISERVATA