Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

cyber resilienza

Si combatte così come ci si è addestrati: le logiche militari sottese al DORA

Home Norme e adeguamenti
Partecipa al dibattito
Indirizzo copiato

Leggere il DORA con la lente militare dimostra come la resilienza operativa digitale sia un’estensione naturale dei principi che regolano la leadership: preparazione, addestramento, disciplina. Ecco perché il Regolamento europeo che definisce la resilienza operativa digitale non è un set di adempimenti tecnici, ma una dottrina del comando

Pubblicato il 2 gen 2026
Giuseppe Alverone

Consulente e formatore Privacy e Cybersecurity. DPO certificato UNI CEI EN 17740:2024

Test Tlpt: emesso il regolamento delegato di DORA; Si combatte così come ci si è addestrati: le logiche militari sottese al DORA

Nel mondo digitale, la distanza tra il comando e la crisi si misura in pochi attimi nel corso dei quali non si può improvvisare.

Si reagisce nel modo in cui ci si è preparati, cioè come si è costruita la cultura interna e come si è organizzato il sistema.

Questo capitolo inaugura una tetralogia dedicata alla lettura con lente militare del DORA, il Regolamento europeo che definisce la resilienza operativa digitale come responsabilità essenziale del vertice.

L’obiettivo è quello di mostrare come il DORA non sia un set di adempimenti tecnici, ma una vera e propria dottrina del comando che comprende visione, strategia, disciplina e addestramento.

Inizia un viaggio che unisce diritto, organizzazione e leadership per restituire al lettore chiari indicatori utili a guidare il governo delle crisi informatiche, nelle entità finanziarie, come si guidano le operazioni militari complesse.

Un comandante per proteggere: il senso profondo della leadership nei sistemi di protezione digitale

Leggere il DORA con lente militare

C’è una frase che porto con me dal 1980, quando varcai il portone della Scuola militare Nunziatella. La frase ha attraversato quattro decenni di servizio e oggi la considero uno dei principi più lucidi per comprendere il dominio digitale: “Si combatte per come ci si è addestrati”.

Questa frase non appartiene al folclore militare, ma è una legge del comando.
Chi guida un reparto militare o un’azienda, sa bene che quando arriva l’impatto non c’è tempo per aprire manuali o cercare ispirazione. In quel momento comanda solo ciò che è stato interiorizzato e che è diventato una sorta di riflesso condizionato perché è stato provato decine di volte.

È qualcosa che fa parte del modo di pensare prima ancora del modo di operare.
Ecco, questa, secondo me, è esattamente la chiave con cui leggere il DORA.
Il Regolamento europeo 2554/2022 non è semplicemente una norma che impone requisiti di sicurezza ICT alle entità finanziarie.

Invece, mi appare come:

  • un manuale per costruire resilienza, disciplina, capacità di risposta;
  • una dottrina che chiede agli organi di gestione di guidare l’organizzazione con la stessa postura con cui un comandante militare guida i propri uomini: con consapevolezza, visione e responsabilità finale.

Leggere il DORA con la lente militare dimostra come la resilienza operativa digitale sia un’estensione naturale dei principi che regolano la leadership: preparazione, addestramento, disciplina.

Nel secondo capitolo di questa tetralogia, si analizzerà il DORA come architettura del comando. Nel terzo, si interpreterà la resilienza come comportamento organizzativo e nel quarto si vedrà come gestire la dimensione sistemica: fornitori, dipendenze, ecosistemi digitali.

La prima legge dell’addestramento: il rischio non concede appelli

Esiste un momento, in ogni crisi, in cui tutto si stringe. In un attacco DDOS, di un’esfiltrazione massiva di dati o di un ransomware che paralizza i sistemi, l’organizzazione entra in un territorio in cui la lucidità è la naturale conseguenza della preparazione collettiva.

L’addestramento militare si fonda su un principio: la mente, sotto pressione, non crea, non inventa, ma recupera ciò che è stato reso naturale attraverso la ripetizione, la disciplina e il realismo delle simulazioni.

Oggi il digitale ha la stessa velocità del combattimento moderno: la gravità di un attacco si misura in minuti; la sua escalation, in ore e, come nel campo operativo militare, chi non si è preparato reagisce in ritardo.

Quindi, la sensazione di “non sapere da dove cominciare” è esattamente l’effetto della mancanza di addestramento.

Per questo, idealmente, il DORA richiama l’organizzazione a porsi una domanda semplice e potente: “Se ora accadesse un incidente di sicurezza, con ciò che abbiamo, saremmo in grado di reggere?”. Se la risposta a questa domanda è incerta, certamente il problema non è tecnico, ma culturale.

Disciplina e struttura: la resilienza come forma mentis

Nel linguaggio militare, disciplina significa sapere:

  • chi fa cosa;
  • in quale sequenza;
  • con quali strumenti;
  • attraverso quali canali.

La disciplina è ciò che impedisce al caos di diventare panico e nel dominio digitale assume una forma organizzativa caratterizzata da:

  • politiche chiare;
  • ruoli definiti;
  • processi che non esistono sulla carta ma nelle abitudini quotidiane;
  • comunicazioni interne che scorrono come una catena di comando.

Il DORA si rivela, sotto molti aspetti, una norma sorprendentemente vicina alla logica militare perché non parla di strumenti ma di comando.
Gli articoli 5 e 6, infatti, stabiliscono:

  • responsabilità chiare;
  • catene informative definite;
  • ambiti di controllo precisi;
  • scenari da preparare prima che si realizzino.

Quindi, non si tratta di tecnologia, ma di postura. E una postura disciplinata non nasce durante l’emergenza, ma va costruita con anticipo, nei giorni ordinari, scegliendo e decidendo come:

  • fare bene le cose anche quando nessuno ci obbliga a farle;
  • rifiutare la scorciatoia della semplificazione e del rinvio;
  • assumere pienamente il proprio ruolo di guida piuttosto che limitarsi a rivestirlo.

Cultura organizzativa: la vera differenza tra chi resiste e chi cede

Ogni organizzazione ha una sua cultura. Che lo si riconosca o no, c’è sempre un modo di agire che si trasmette e si impara stando dentro una determinata struttura organizzativa.

C’è chi coltiva la cultura dell’attenzione, chi quella dell’urgenza perenne, e chi, più semplicemente, ha fatto del rinvio un’abitudine.

Ora, nel mondo digitale, la cultura organizzativa non può essere un accessorio perché costituisce la linea di confine tra un impatto gestibile e un disastro.

È sempre la cultura, alla fine, che fa la differenza e che può proteggere o esporre.
Per questo motivo, il DORA affida al Consiglio di Amministrazione un ruolo chiave di guida, perché la cultura aziendale esisterà comunque ma, se non viene orientata dall’alto, prenderà forma da sola, venendo modellata dalla somma dei comportamenti individuali lasciati senza guida.

In ambito militare, la cultura viene costruita giorno dopo giorno e non si basa sulla paura, ma sulla fiducia.

Nel digitale vale lo stesso: un’organizzazione che coltiva fiducia interna reagisce meglio, così, per esempio:

  • un board che dimostra interesse per la resilienza genera attenzione;
  • un CISO ascoltato e valorizzato diventa un moltiplicatore di comportamenti responsabili.

Prepararsi prima dell’impatto è l’unico modo per governare la complessità

L’errore più comune nelle organizzazioni è pensare che la cyber resilience sia una questione tecnica.

In realtà è una questione di tempo e di scelte, proprio come in un teatro operativo militare, dove il tempo neutro non esiste: o ci si prepara o si è già sulla strada della crisi.

Per questo motivo la preparazione è la forma più concreta di comando.

Preparazione significa:

  • testare;
  • simulare;
  • verificare;
  • esercitare;
  • documentare l’apprendimento;
  • rendere naturali i comportamenti corretti.

Chi non si prepara entra in battaglia senza aver mai sparato un colpo e non si tratta di una metafora: è esattamente ciò che accade a chi affronta un incidente informatico senza un buon addestramento interno.

Il DORA, in questo, è assolutamente chiaro. La resilienza non va dichiarata, ma provata regolarmente e sistematicamente.

Il perimetro strategico

Il DORA chiama il vertice organizzativo a una forma superiore di comando, quello che:

  • riconosce la vulnerabilità;
  • non delega la responsabilità;
  • costruisce addestramento, disciplina, struttura e cultura prima dell’impatto.

Questo primo capitolo ha delineato il perimetro strategico: leggere il DORA come un manuale di leadership e non come un elenco di obblighi.

Nel prossimo capitolo, entreremo nel cuore normativo: il DORA come architettura del comando digitale, a partire dall’analisi degli articoli 5 e 6, mostrando come la normativa definisca il board come vero posto di comando dell’organizzazione.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

A
Giuseppe Alverone
Consulente e formatore Privacy e Cybersecurity. DPO certificato UNI CEI EN 17740:2024
Fondatore e amministratore unico di DATA FABER s.r.l.s., società specializzata in formazione, consulenza e progettazione sui temi della protezione dei dati, della sicurezza digitale e della gestione del rischio. Già Generale dei Carabinieri, DPO dell’Arma e Recruiter in ambito militare, oggi svolge l’attività di consulente, formatore e divulgatore nei campi della privacy, cyber security e governance del rischio. Laureato in Giurisprudenza (Università “La Sapienza” di Roma) e in Scienze della Sicurezza Interna ed Esterna (Università di Roma Tor Vergata), con Master e Corsi di Perfezionamento all’Università Statale di Milano, ha alle spalle un percorso militare di eccellenza: Scuola Militare Nunziatella di Napoli, Accademia Militare di Modena, Scuola Ufficiali Carabinieri, Scuola di Guerra di Civitavecchia, oltre a specializzazioni in alpinismo, in paracadutismo e quale Ufficiale Perito Selettore (Recruiter in ambito militare). Oggi accompagna vertici pubblici e privati nel comprendere e applicare norme come GDPR e NIS 2, trasformandole in leve strategiche di difesa, reputazione e continuità operativa. È DPO certificato UNI CEI EN 17740:2024, Auditor/Lead Auditor ISO 27001:2022, membro del Comitato Scientifico dell’Istituto ASAPIENS e docente nei corsi propedeutici alla certificazione dei DPO. Autore di manuali e saggi tra cui “Quaderno operativo di cybersecurity e privacy”, “Il modello organizzativo NIS 2 (MONIS)”, “Compliance privacy: Percorsi per imprese e P.A.”, “La DPIA nelle smart city”, oltre a numerosi articoli su riviste specialistiche. Il suo lavoro unisce visione strategica, rigore giuridico e capacità operativa, con l’obiettivo di diffondere cultura e strumenti concreti per una protezione dei dati e una cyber security a misura di persone e organizzazioni reali.

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Vulnerabilità in Apple iOs per attacchi mirati: la patch è urgente

  • sicurezza mobile

    Vulnerabilità in Apple iOS, basta un'immagine per sferrare attacchi mirati: patch urgente

    26 Ago 2025

    di Mirella Castigli

    Condividi
  • IA e rischio d’impresa guida EDPS

  • l'analisi

    IA e rischio d’impresa: la guida EDPS parla anche alle aziende

    10 Dic 2025

    di Tania Orrù

    Condividi
  • Piano ispettivo privacy

  • GDPR

    Ispezioni privacy 2025, ecco cosa devono sapere le aziende

    14 Feb 2025

    di Rosario Palumbo

    Condividi
  • Vulnerabilità Google Chrome update urgente

  • l'analisi tecnica

    Vulnerabilità zero-day in Chrome: Google rilascia una patch urgente, installiamola subito

    11 Dic 2025

    di Paolo Tarsitano

    Condividi
0
Lascia un commento, la tua opinione conta.x