Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

ecosistema digitale

La resilienza sistemica come linea strategica: ecosistemi, fornitori e dipendenze nel DORA

Home Norme e adeguamenti
Partecipa al dibattito
Indirizzo copiato

La resilienza non è più solo una capacità interna, ma una linea strategica. Ecco la sua dimensione sistemica, le dipendenze critiche, la gestione del rischio dei fornitori, l’oversight sui servizi ICT critici, la concentrazione del rischio e il ruolo strategico del CdA nel disegnare l’intero ecosistema digitale in cui opera l’organizzazione

Pubblicato il 23 gen 2026
Giuseppe Alverone

Consulente e formatore Privacy e Cybersecurity. DPO certificato UNI CEI EN 17740:2024

Resilienza digitale GenAI e DORA; La resilienza sistemica come linea strategica: ecosistemi, fornitori e dipendenze nel DORA

La resilienza non è più un affare interno. Nel dominio digitale, ogni organizzazione costituisce un nodo di una rete molto più ampia che include fornitori, partner tecnologici, cloud provider, software terzi e servizi critici.

Il quarto capitolo della tetralogia esplora questa dimensione sistemica, analizzando le dipendenze critiche, la gestione del rischio dei fornitori, il tema dell’oversight sui servizi ICT critici, la concentrazione del rischio e il ruolo strategico del CdA nel disegnare l’intero ecosistema digitale in cui opera l’organizzazione.

È l’evoluzione naturale della leadership: la resilienza non è più solo una capacità interna, ma una linea strategica.

Si combatte così come ci si è addestrati: le logiche militari sottese al DORA

DORA e la resilienza come linea strategica

C’è un principio fondamentale, nell’arte militare, che resta vero in ogni epoca: nessuna unità può operare isolata.

Ogni reparto dipende da qualcun altro: logistica, rifornimenti, intelligence, supporto tecnico, copertura, comunicazioni.

Nel mondo militare, non esiste un singolo attore autosufficiente, ma un sistema che si muove insieme e quando una parte cade, tutto l’ecosistema ne risente.

Il dominio digitale funziona nello stesso modo.

La maggior parte delle organizzazioni non controlla i propri sistemi: semplicemente li usa perché dipende da cloud provider, identity provider, software di terze parti, infrastrutture condivise, servizi critici.

Quindi, le vulnerabilità non sono più solo interne ma sono distribuite.

Il DORA (Digital Operational Resilience Act, regolamento dell’Unione europea che impone requisiti vincolanti per la gestione del rischio ICT nel settore finanziario, ndr) riconosce questa verità e per questo motivo dedica una parte essenziale del suo impianto alla gestione dei rischi dei fornitori ICT e dei servizi essenziali.

L’articolo 6(9) apre alla dimensione di gruppo e gli articoli successivi definiscono il perimetro del rischio esteso.
Ecco la lettura militare del DORA: la resilienza come linea strategica.

La dipendenza come vulnerabilità: riconoscere il problema per poterlo governare

Nella storia militare, le sconfitte più dure sono spesso nate da una dipendenza sottovalutata, come per esempio:

  • un rifornimento mancato;
  • una linea logistica vulnerabile;
  • un supporto non garantito.

Nel dominio digitale accade lo stesso; per cui, spesso, non si cade perché i sistemi interni falliscono, ma perché fallisce il punto su cui ci si appoggia, come per esempio:

  • il cloud indisponibile;
  • provider di identità compromesso;
  • il software di terze parti attaccato a monte.

La resilienza sistemica nasce da un principio scomodo ma inevitabile: ciò da cui si dipende non si controlla ed è proprio per questo motivo che va governato con continuità e responsabilità.

Il DORA impone una responsabilità che ricorda da vicino quella delle operazioni militari: mappare le linee logistiche. Questo significa capire da chi passa il rischio, dove si concentra, quanto pesa davvero.

Perché la dipendenza, di per sé, è una vulnerabilità, ma se viene riconosciuta, tracciata e gestita, può diventare un punto di forza.

Il rischio dei fornitori come rischio dell’organizzazione

Nelle operazioni militari c’è un principio chiamato “responsabilità integrata”: il comandante risponde anche delle unità alleate al suo fianco perché se una di esse cede, l’intera manovra fallisce.

Il DORA introduce la stessa logica nel governo digitale: il rischio dei fornitori ICT è un rischio dell’organizzazione che non è trasferibile.

Questa è una svolta culturale perché la sicurezza non è più valutata solo dentro il perimetro aziendale ma lungo tutta la catena del valore digitale e se la catena è debole, non ha importanza quanto sia forte il singolo anello.

Quindi il Board deve conoscere quale/quali:

  • fornitori sono critici;
  • parte del sistema controllano;
  • impatto genererebbe la loro indisponibilità;
  • misure sono previste per mitigare la dipendenza;
  • alternative esistono;
  • strategia di uscita è predisposta.

Appare evidente che queste sono tutte domande da comandante e non da tecnico.

Strategie di gruppo: il comando che controlla l’intero ecosistema

L’articolo 6(9) del DORA apre un orizzonte nuovo: la possibilità di costruire strategie di gruppo e non solo strategie aziendali.

È un modello che ricorda le grandi operazioni militari congiunte: divisioni diverse, con obiettivi diversi, coordinate da un unico centro strategico.

Nel dominio digitale, la resilienza di una sola azienda non basta; occorre una resilienza coordinata, capace di muoversi su tre livelli:

  • Livello 1 – interno: sistemi, processi, persone, cultura;
  • Livello 2 – esteso: fornitori, partner, cloud provider, software essenziali;
  • Livello 3 – di gruppo: strategie condivise, protocolli di risposta comuni, intelligence operativa.

Questa è la resilienza sistemica: una visione in cui ogni parte della struttura sostiene le altre e ne amplifica la forza.

Solo chi vede l’intero campo operativo può proteggerlo

La resilienza sistemica, che è forse la forma più alta di governo dell’era digitale, non deriva da un firewall più robusto o da una procedura più lunga ma dalla visione di chi guida, dalla capacità di osservare l’ecosistema nella sua interezza e di comprenderne le vulnerabilità.

Quando si governa un’organizzazione immersa in una rete di dipendenze globali ogni fornitore diventa una fibra del tessuto da cui dipende la continuità operativa e ogni relazione esterna diventa una parte integrante della propria manovra.

Così, non esistono più confini netti tra interno ed esterno: esiste un’unica struttura estesa che si muove, reagisce, assorbe e trasmette il rischio.

Il DORA ci chiede di assumere questa postura avanzata e ci ricorda che la sicurezza non si costruisce “dentro” ma “insieme”.

In tale quadro, la domanda diventa inevitabile: la nostra organizzazione ha davvero una visione dell’ecosistema di cui fa parte, oppure continua a guardare il digitale come un insieme di fornitori da contrattualizzare? Solo chi vede l’intero campo operativo può proteggerlo.

Il DORA traccia la strada e la leadership, quella vera, la percorre.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

A
Giuseppe Alverone
Consulente e formatore Privacy e Cybersecurity. DPO certificato UNI CEI EN 17740:2024
Fondatore e amministratore unico di DATA FABER s.r.l.s., società specializzata in formazione, consulenza e progettazione sui temi della protezione dei dati, della sicurezza digitale e della gestione del rischio. Già Generale dei Carabinieri, DPO dell’Arma e Recruiter in ambito militare, oggi svolge l’attività di consulente, formatore e divulgatore nei campi della privacy, cyber security e governance del rischio. Laureato in Giurisprudenza (Università “La Sapienza” di Roma) e in Scienze della Sicurezza Interna ed Esterna (Università di Roma Tor Vergata), con Master e Corsi di Perfezionamento all’Università Statale di Milano, ha alle spalle un percorso militare di eccellenza: Scuola Militare Nunziatella di Napoli, Accademia Militare di Modena, Scuola Ufficiali Carabinieri, Scuola di Guerra di Civitavecchia, oltre a specializzazioni in alpinismo, in paracadutismo e quale Ufficiale Perito Selettore (Recruiter in ambito militare). Oggi accompagna vertici pubblici e privati nel comprendere e applicare norme come GDPR e NIS 2, trasformandole in leve strategiche di difesa, reputazione e continuità operativa. È DPO certificato UNI CEI EN 17740:2024, Auditor/Lead Auditor ISO 27001:2022, membro del Comitato Scientifico dell’Istituto ASAPIENS e docente nei corsi propedeutici alla certificazione dei DPO. Autore di manuali e saggi tra cui “Quaderno operativo di cybersecurity e privacy”, “Il modello organizzativo NIS 2 (MONIS)”, “Compliance privacy: Percorsi per imprese e P.A.”, “La DPIA nelle smart city”, oltre a numerosi articoli su riviste specialistiche. Il suo lavoro unisce visione strategica, rigore giuridico e capacità operativa, con l’obiettivo di diffondere cultura e strumenti concreti per una protezione dei dati e una cyber security a misura di persone e organizzazioni reali.

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • NIS 2 e sistema 231: l'architettura operativa della nuova compliance tra governance obbligatoria e paradigma sanzionatorio

  • trilogia Compliance

    Il pensiero analitico: la radice invisibile della sicurezza digitale

    25 Lug 2025

    di Giuseppe Alverone

    Condividi
  • Framework di sicurezza

  • ciso

    Scegliere il framework di sicurezza, dal NIST alla ISO 27001: una guida strategica

    23 Dic 2025

    di Fabrizio Saviano

    Condividi
  • Aziende a rischio: oltre 8 su dieci hanno un protocollo desktop remoto accessibile in rete; Rischi e accessi privilegiati: il divario tra la fiducia delle aziende e la realtà delle pratiche

  • La ricerca

    Privilegi di accesso e identità alimentate dall'AI: rischi e mitigazioni

    13 Gen 2026

    di Mirella Castigli

    Condividi
  • violazione Oracle Cloud cosa sappiamo

  • il caso

    Violazione dei dati di login SSO di Oracle Cloud: l'azienda smentisce, ecco cosa sappiamo

    24 Mar 2025

    di Dario Fadda

    Condividi
0
Lascia un commento, la tua opinione conta.x