Valutazione quantitativa del rischio cyber per NIS2 e DORA
La riunione del consiglio di amministrazione in cui “rischio elevato” non bastava più
Sono le 08:15 di un martedì. Il CISO di una fintech in rapida crescita è davanti alla sala del consiglio di amministrazione con tre versioni della stessa storia di rischio cyber.
La prima versione è familiare: il ransomware è “elevato”, l’interruzione cloud è “elevata”, la compromissione del fornitore è “media”, l’uso improprio degli accessi privilegiati è “elevato”. È difendibile, allineata al registro dei rischi attuale e quasi inutile per la decisione che il consiglio di amministrazione deve prendere.
La seconda versione è una roadmap tecnica: implementare backup immutabili, migliorare i controlli sulle identità, finanziare i test di resilienza, rafforzare il monitoraggio dei fornitori ed estendere la copertura dei log. È sensata, ma il CFO pone la domanda che cambia la riunione: “Quale di queste iniziative riduce più rischio aziendale per ogni euro investito?”
La terza versione cambia la conversazione.
Un’interruzione di 12 ore della piattaforma di orchestrazione dei pagamenti è stimata in €620.000 di impatto lordo operativo, contrattuale e sui ricavi. L’esposizione annua attuale è stimata in €186.000. Un pacchetto di resilienza da €74.000 può ridurre la perdita annua attesa a circa €62.000. L’esposizione residua resta comunque superiore alla tolleranza, perché il servizio supporta una funzione critica o importante, l’esposizione connessa alle notifiche ai clienti rimane significativa e la dipendenza da terze parti è elevata.
A questo punto il consiglio di amministrazione non discute più di colori. Discute di esposizione finanziaria, tolleranza al rischio, responsabilità regolatoria e priorità di investimento.
Questa è la valutazione quantitativa del rischio cyber nel 2026. Non è teatro matematico. Non finge che gli eventi cyber possano essere previsti con precisione perfetta. È la traduzione disciplinata di “questo è rosso” in “questa è l’esposizione finanziaria plausibile, questo è il livello di confidenza, questa è la conseguenza regolatoria, questa è la decisione di trattamento e questa è la traccia delle evidenze”.
Per CISO, responsabili della conformità, auditor e titolari delle attività, questo passaggio sta diventando obbligatorio nella pratica. ISO/IEC 27001:2022 richiede un processo di valutazione e trattamento del rischio documentato, coerente e comparabile. NIS2 porta il rischio di cibersicurezza nell’approvazione, nella supervisione, nella formazione e nella responsabilità dell’organo di amministrazione. DORA rende centrali, per le entità finanziarie, la governance del rischio ICT, i test di resilienza, la classificazione degli incidenti, il rischio di terze parti e la responsabilità della direzione. NIST CSF 2.0 offre alla leadership un linguaggio di governance per propensione al rischio, definizione delle priorità e supervisione. GDPR aggiunge la responsabilizzazione quando sono coinvolti dati personali.
Il problema non è che le organizzazioni non abbiano registri dei rischi. Il problema è che molti registri dei rischi non riescono a spiegare denaro, priorità, responsabilità del consiglio di amministrazione o evidenze di audit.
L’approccio di Clarysec colma questa lacuna combinando Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint, le politiche Clarysec e Zenith Controls: The Cross-Compliance Guide Zenith Controls in un unico modello pratico di evidenze: quantificare ciò che conta, mapparlo ai controlli, mostrare chi lo ha accettato e dimostrare che il trattamento ha funzionato.
Perché i registri dei rischi qualitativi non sono più sufficienti
La valutazione qualitativa del rischio resta importante. Una matrice chiara di probabilità e impatto aiuta i team a definire le priorità quando i dati sono incompleti, soprattutto in un ampio campo di applicazione del SGSI. Il problema inizia quando l’organizzazione si ferma lì.
Un consiglio di amministrazione può comprendere che un rischio è “elevato”, ma non può confrontare agevolmente tre rischi “elevati” che competono per lo stesso budget. La priorità più alta è lo scenario ransomware, l’interruzione cloud, il rischio di concentrazione sul fornitore o la debolezza negli accessi privilegiati? La risposta dipende dall’esposizione finanziaria, dalla gravità regolatoria, dall’impatto sui clienti, dagli obblighi contrattuali, dalla criticità del servizio e dal rischio residuo dopo il trattamento.
Per questo la valutazione quantitativa del rischio cyber funziona al meglio come modello ibrido. Non occorre quantificare ogni problematica minore. Si usa il punteggio qualitativo sull’intero registro e si aggiunge l’analisi finanziaria per i rischi che richiedono decisioni della direzione, approvazione di investimenti, azioni contrattuali, trasferimento del rischio o supervisione del consiglio di amministrazione.
La Politica di gestione del rischio Enterprise di Clarysec Politica di gestione del rischio supporta esplicitamente questo approccio. Nella sezione “Requisiti di applicazione della politica”, clausola 6.2.3, stabilisce:
“Possono essere applicati metodi qualitativi e quantitativi in funzione della categoria di rischio e della disponibilità delle informazioni.”
Questa clausola è importante perché evita un errore comune: la falsa precisione. Le organizzazioni mature non impongono la modellazione finanziaria a ogni piccolo rischio. La applicano dove la decisione lo richiede.
Per le PMI, la base può rimanere semplice. La Politica di gestione del rischio SME di Clarysec Politica di gestione del rischio - SME, sezione “Requisiti di governance”, clausola 5.1.2, stabilisce:
“Ogni voce di rischio deve includere: descrizione, probabilità, impatto, punteggio, proprietario e piano di trattamento del rischio.”
Il miglioramento non consiste nel sostituire tale struttura. Consiste nell’arricchire le voci più importanti con stime finanziarie, soprattutto quando sono coinvolti indisponibilità, servizi regolamentati, dati personali, dipendenza cloud, outsourcing ICT o impegni critici verso i clienti.
Il cambiamento di governance: il rischio cyber è ora un elemento di evidenza per il consiglio di amministrazione
La quantificazione del rischio cyber non è solo un esercizio finanziario. È evidenza di governance.
Ai sensi di ISO/IEC 27001:2022, l’organizzazione deve determinare il contesto, le parti interessate, i requisiti legali e contrattuali, il campo di applicazione, le interfacce e le dipendenze. Deve definire un processo di valutazione del rischio per la sicurezza delle informazioni che produca risultati coerenti, validi e comparabili. Deve identificare i rischi per riservatezza, integrità e disponibilità, individuare i titolari del rischio, valutare conseguenze e probabilità, determinare i livelli di rischio e definire le priorità. Deve quindi selezionare le opzioni di trattamento, determinare i controlli, confrontarli con l’Annex A, produrre una Dichiarazione di Applicabilità, ottenere l’approvazione del titolare del rischio e conservare le informazioni documentate.
Ciò significa che il registro dei rischi non è un foglio di calcolo privato del team di sicurezza. È una registrazione del SGSI che collega leadership, selezione dei controlli, responsabilità del trattamento e riesame della direzione.
NIS2 innalza ulteriormente l’aspettativa. Gli organi di amministrazione dei soggetti essenziali e importanti devono approvare le misure di gestione dei rischi di cibersicurezza, supervisionarne l’attuazione e ricevere formazione per comprendere i rischi e valutare le pratiche di cibersicurezza. NIS2 Article 21 richiede misure tecniche, operative e organizzative adeguate e proporzionate, tenendo conto dello stato dell’arte, dei costi di attuazione, dell’esposizione al rischio, delle dimensioni del soggetto, della probabilità, della gravità e dell’impatto sociale ed economico.
L’espressione “impatto sociale ed economico” è il punto in cui la quantificazione finanziaria del rischio cyber diventa potente. Un fornitore che supporta cloud, data center, DNS, servizi fiduciari, servizi gestiti, servizi di sicurezza gestiti, infrastruttura digitale, marketplace online o altri settori coperti può dover dimostrare non solo che i controlli esistono, ma anche perché sono proporzionati all’esposizione.
Per le entità finanziarie, DORA si applica dal 17 gennaio 2025 e costituisce il regime settoriale di resilienza operativa digitale. Copre gestione del rischio ICT, segnalazione degli incidenti rilevanti connessi all’ICT, test di resilienza operativa digitale, condivisione di informazioni sulle minacce informatiche, rischio ICT di terze parti e supervisione dei fornitori terzi critici di servizi ICT. Per le entità finanziarie identificate anche ai sensi del recepimento nazionale di NIS2, DORA opera come atto giuridico dell’Unione settoriale per le pertinenti materie di gestione del rischio ICT e segnalazione degli incidenti.
In termini pratici, una fintech non ha bisogno di cinque quadri di rischio scollegati. Ha bisogno di un unico modello di rischio integrato che mostri quale regime si applica, quali dipendenze esistono, quale esposizione finanziaria è plausibile e in che modo la direzione ha approvato e monitorato il trattamento.
GDPR aggiunge un ulteriore livello. Se sono coinvolti dati personali, un evento cyber può diventare una violazione dei dati personali, non semplicemente un incidente operativo. Il modello di rischio dovrebbe identificare il contesto del trattamento, il ruolo di titolare del trattamento o responsabile del trattamento, le categorie di dati, le categorie particolari di dati ove pertinenti, le misure di sicurezza, la logica di valutazione della violazione e le implicazioni di notifica.
Dalla heat map agli euro: il modello ibrido pratico
La domanda corretta non è: “Dobbiamo sostituire la valutazione qualitativa del rischio?” La domanda corretta è: “Quali rischi meritano una quantificazione finanziaria?”
Lo Zenith Blueprint, fase di Gestione del rischio, passaggio 12, “Metodi di valutazione del rischio: qualitativi e quantitativi”, fornisce una risposta pragmatica:
“La valutazione quantitativa del rischio tenta di stimare il rischio in termini numerici, ad esempio la perdita annua attesa in valuta. Spesso comporta:
✓ raccolta di dati storici sugli incidenti, ad esempio con quale frequenza si verifica una violazione e qual è il costo medio; ✓ utilizzo di modelli come Annualized Loss Expectancy (ALE = Single Loss Impact × Annual Rate of Occurrence) o quadri di riferimento come FAIR (Factor Analysis of Information Risk) per analisi più complesse.”
Lo stesso passaggio avverte che un’analisi puramente quantitativa può essere difficile per le PMI perché i dati storici possono essere limitati e il processo può richiedere molte risorse. La risposta pratica è un’analisi quantitativa “leggera” per i rischi principali.
| Elemento | Significato pratico | Esempio |
|---|---|---|
| Single Loss Impact | Impatto stimato se lo scenario si verifica una volta | €620.000 per un’interruzione di 12 ore della piattaforma di pagamento |
| Annual Rate of Occurrence | Frequenza stimata per anno | 0,3, ossia circa una volta ogni 3,3 anni |
| Annualized Loss Expectancy | Single Loss Impact moltiplicato per Annual Rate of Occurrence | €186.000 di esposizione annua attesa |
| Costo del trattamento | Costo del pacchetto di controlli | €74.000 per failover, monitoraggio e test |
| Perdita annua residua | Esposizione annua stimata dopo il trattamento | €62.000 |
| Decisione | Trattare, trasferire, evitare o accettare | Trattare e riesaminare il rischio residuo nel riesame della direzione |
I numeri non devono essere perfetti. Devono essere spiegati. Le ipotesi di impatto possono includere perdita di ricavi, crediti SLA, compensazioni ai clienti, risposta agli incidenti, consulenza legale, supporto forense, straordinari, supporto clienti, effort per notifiche regolatorie, churn e impatto reputazionale. Le ipotesi di frequenza possono derivare da incidenti interni, report di indisponibilità dei fornitori, informazioni sulle minacce, esperienza di settore, esposizione a vulnerabilità, risultanze dell’audit e maturità dei controlli.
Lo Zenith Blueprint, fase di Gestione del rischio, passaggio 10, “Definizione dei criteri di rischio e della matrice di impatto”, spiega perché il modello deve essere calibrato:
“Quando si definisce l’impatto, è opportuno correlare i livelli alla specifica scala dell’organizzazione. Ad esempio, ‘Impatto finanziario rilevante = perdita > $100k’ (da adattare al proprio contesto). Occorre considerare anche l’impatto regolatorio: ad esempio, una violazione di dati personali potrebbe essere automaticamente ‘Rilevante’ o ‘Grave’ a causa delle sanzioni GDPR e degli obblighi di notifica, anche se la perdita finanziaria diretta non è chiara.”
Questo è il ponte tra rischio qualitativo e quantitativo. “Rilevante” diventa significativo solo quando l’organizzazione definisce cosa significhi rilevante in termini finanziari, operativi, legali e di impatto sui clienti.
Esempio pratico: quantificare il rischio di interruzione cloud del fornitore
Immaginiamo un fornitore SaaS che serve clienti del settore finanziario. Dipende da un fornitore di hosting cloud, da una piattaforma di database gestita, da un gateway di pagamento e da un servizio di notifica ai clienti. Il team seleziona uno scenario per l’analisi quantitativa:
“Interruzione prolungata della piattaforma di database gestita che causa indisponibilità del servizio rivolto ai clienti e ritardi nell’elaborazione delle transazioni.”
Passaggio 1: definire scenario di rischio e proprietario
La Politica di gestione del rischio SME richiede descrizione, probabilità, impatto, punteggio, proprietario e piano di trattamento del rischio. La Politica di gestione del rischio Enterprise, sezione “Requisiti di governance”, clausola 5.2.2, aggiunge che il registro:
“Include titolari del rischio, punteggi di impatto e probabilità, piani di trattamento del rischio, scadenze e riferimenti ai controlli”
Il proprietario non è “IT”. Il proprietario responsabile è il responsabile del servizio, supportato da CISO, CTO, responsabile della conformità, responsabile dei fornitori e funzione finanza.
Passaggio 2: stimare l’esposizione finanziaria
Il team stima:
- €35.000 all’ora in ricavi da transazioni persi e crediti SLA
- €8.000 all’ora in costi di supporto, escalation e gestione dell’incidente
- €60.000 in costi di remediation e comunicazione ai clienti
- €120.000 di potenziale churn o impatto commerciale
- 10 ore come interruzione grave plausibile sulla base della storia del fornitore e del riesame dell’architettura
Il Single Loss Impact è:
10 × (€35.000 + €8.000) + €60.000 + €120.000 = €610.000
La probabilità attuale è stimata a 0,25 per anno. L’Annualized Loss Expectancy è:
€610.000 × 0,25 = €152.500
Il pacchetto di trattamento proposto include progettazione di failover multi-regione, ripristino da backup testato, riesame degli SLA del fornitore, monitoraggio sintetico, un’esercitazione tabletop e l’aggiornamento del piano di uscita. Il costo del primo anno è €82.000, con €34.000 ricorrenti.
Dopo il trattamento, la probabilità residua è stimata a 0,10 per anno e l’impatto residuo della singola perdita a €350.000 grazie a un ripristino più rapido. L’ALE residua è:
€350.000 × 0,10 = €35.000
La riduzione nel primo anno dell’esposizione annua attesa è di circa €117.500, prima di considerare resilienza regolatoria, fiducia dei clienti e benefici contrattuali.
Passaggio 3: scegliere il trattamento e documentare il razionale
Il trattamento del rischio non è sempre pura mitigazione. La Politica di gestione del rischio SME di Clarysec, sezione “Requisiti di applicazione della politica”, clausola 6.1.3, stabilisce:
“Trasferimento: utilizzare contratti, Accordi sul livello di servizio o assicurazioni per trasferire il rischio all’esterno.”
Per questo scenario, l’organizzazione sceglie un trattamento misto: ridurre tramite resilienza tecnica, trasferire in parte tramite SLA e rimedi contrattuali, e accettare il rischio residuo con approvazione della direzione.
Passaggio 4: mappare il trattamento alla Dichiarazione di Applicabilità
La Politica di gestione del rischio Enterprise, sezione “Allineamento alla Dichiarazione di Applicabilità (SoA)”, clausola 6.5.1, stabilisce:
“Le decisioni sui controlli risultanti dal processo di trattamento del rischio devono essere riflesse nella SoA.”
È qui che il modello finanziario diventa pronto per l’audit. Lo scenario di interruzione del fornitore si collega ai controlli dell’Annex A di ISO/IEC 27001:2022 relativi a fornitori, cloud, continuità, incidenti e interruzioni. Si collega inoltre alla sicurezza della catena di fornitura e alla continuità operativa NIS2, al rischio ICT di terze parti e ai test di resilienza DORA, alla sicurezza e alla valutazione della violazione GDPR se sono interessati dati personali, nonché agli esiti NIST CSF relativi a governance, catena di fornitura, risposta e ripristino.
Lo Zenith Blueprint, fase di Gestione del rischio, passaggio 13, “Pianificazione del trattamento del rischio e Dichiarazione di Applicabilità”, spiega la tracciabilità:
“La SoA è di fatto un documento ponte: collega la valutazione e il trattamento del rischio ai controlli effettivamente presenti. Completandola, si verifica anche se sono stati omessi controlli.”
Una giustificazione SoA solida potrebbe affermare: “Applicabile perché l’interruzione del database gestito incide su un servizio cliente critico, sulla dipendenza ICT da terze parti, sugli obblighi contrattuali verso i clienti, sugli impegni di continuità e sulla potenziale disponibilità dei dati personali. I controlli sono selezionati per ridurre un’esposizione annua quantificata di €152.500 e supportare il rischio residuo approvato dalla direzione.”
Passaggio 5: attivare l’escalation in base alle soglie
La Politica di gestione del rischio Enterprise, sezione “Requisiti di governance”, clausola 5.6, richiede:
“La Matrice delle deleghe di rischio deve definire chiaramente le soglie per l’escalation all’alta direzione o al consiglio di amministrazione.”
Un’esposizione annua di €152.500 può superare la tolleranza della gestione locale. Un rischio di valore inferiore può comunque richiedere escalation se interessa una funzione critica o importante, attiva aspettative DORA, coinvolge dati personali, minaccia impegni verso i clienti o crea responsabilità dell’organo di amministrazione ai sensi di NIS2.
Mappatura cross-compliance: un rischio quantificato, molti obblighi
Un rischio cyber quantificato non dovrebbe essere copiato in cinque fogli di calcolo di conformità separati. Dovrebbe diventare un unico oggetto di rischio con più viste di conformità.
| Prospettiva di conformità | Cosa deve mostrare il rischio quantificato | Evidenza |
|---|---|---|
| ISO/IEC 27001:2022 | Criteri di rischio, proprietario, probabilità, conseguenza, trattamento, accettazione residua, mappatura SoA ed evidenze operative | Registro dei rischi, piano di trattamento del rischio, SoA, riesame della direzione, registrazioni di audit |
| NIS2 | Misure adeguate e proporzionate, approvazione e supervisione dell’organo di amministrazione, considerazioni su incidenti e continuità, misure sulla catena di fornitura | Verbali del consiglio di amministrazione, registrazioni della formazione, approvazioni del trattamento del rischio, flussi di lavoro per gli incidenti |
| DORA | Governance del rischio ICT, funzioni critiche o importanti, dipendenze ICT da terze parti, test, classificazione degli incidenti e strategia di resilienza | Quadro di riferimento del rischio ICT, registro delle informazioni, risultati dei test, classificazione degli incidenti, piano di uscita |
| GDPR | Ambito dei dati personali, misure di sicurezza, implicazioni di violazione, responsabilizzazione del titolare o del responsabile del trattamento, contesto del trattamento lecito | Collegamento al RoPA, DPIA ove applicabile, valutazione della violazione, evidenze di sicurezza |
| NIST CSF 2.0 | Propensione al rischio, prioritizzazione standardizzata, governance, rischio dei fornitori, esiti di rilevazione, risposta e ripristino | Profili Current e Target, piano d’azione, POA&M, registrazioni del rischio dei fornitori |
| COBIT 2019 | Obiettivi di governance, monitoraggio delle prestazioni, ottimizzazione del rischio, decisioni sulle risorse e assurance | Reportistica di governance, metriche di prestazione dei controlli, rapporti di assurance |
NIS2 Article 21 è particolarmente rilevante perché include analisi dei rischi, politiche di sicurezza, gestione degli incidenti, continuità operativa, backup, Disaster Recovery, gestione della crisi, sicurezza della catena di fornitura, sviluppo sicuro, trattamento delle vulnerabilità, valutazione dell’efficacia, igiene cyber, formazione, crittografia, sicurezza HR, controllo degli accessi, gestione degli asset e autenticazione.
DORA crea una disciplina analoga per le entità finanziarie, ma con un focus settoriale. Richiede un quadro interno di governance e controllo per il rischio ICT, con responsabilità ultima dell’organo di amministrazione. Si attende l’approvazione e la supervisione delle politiche ICT, dei ruoli, della strategia di resilienza operativa digitale, della tolleranza al rischio ICT, dei piani di continuità e risposta, dei piani di audit, dei budget, della formazione, delle politiche ICT verso terze parti e dei canali di segnalazione.
DORA attribuisce inoltre alla valutazione quantitativa del rischio un trigger operativo diretto: la classificazione degli incidenti. Gli incidenti rilevanti connessi all’ICT devono essere classificati mediante criteri quali clienti, controparti e transazioni interessati, durata, indisponibilità, diffusione geografica, perdite di dati che incidono su disponibilità, autenticità, integrità o riservatezza, criticità dei servizi interessati e impatto economico. Se il modello di rischio stima già downtime, impatto sui clienti, impatto sui dati e perdita economica, supporta la classificazione degli incidenti quando si verifica un evento reale.
La matrice di correlazione dei controlli che rende auditabile la responsabilità del consiglio di amministrazione
In Zenith Controls, Clarysec mappa il controllo ISO/IEC 27002:2022 5.4, “Responsabilità della direzione”, come presidio di governance per la responsabilizzazione sulla sicurezza delle informazioni. La guida lo tratta come controllo preventivo, a supporto di riservatezza, integrità e disponibilità, allineato al concetto di cibersicurezza “Identify”, con la governance come capacità operativa e governance più ecosistema come domini di sicurezza.
Questo è rilevante perché l’esposizione finanziaria cyber appartiene al processo decisionale della direzione. Zenith Controls collega il controllo ISO/IEC 27002:2022 5.4 a diversi controlli di supporto:
| Relazione con il controllo ISO/IEC 27002:2022 | Perché è rilevante per il rischio quantificato |
|---|---|
| 5.2 Ruoli e responsabilità per la sicurezza delle informazioni | Titolari del rischio, proprietari dei controlli e autorità di escalation devono essere definiti |
| 5.1 Politiche per la sicurezza delle informazioni | Le decisioni sui rischi quantificati devono essere allineate agli impegni approvati nelle politiche |
| 5.35 Riesame indipendente della sicurezza delle informazioni | Il riesame indipendente fornisce alla direzione assurance oggettiva sul trattamento del rischio |
| 5.36 Conformità alle politiche, alle regole e agli standard per la sicurezza delle informazioni | Il monitoraggio continuo della conformità mostra se i trattamenti operano come previsto |
| 5.8 Sicurezza delle informazioni nella gestione dei progetti | Nuovi prodotti e modifiche devono includere tempestivamente rischio cyber ed esposizione finanziaria |
Zenith Controls mappa inoltre le responsabilità della direzione alle clausole ISO/IEC 27001:2022 5.1, 5.2 e 9.3, collegando leadership, politica e riesame della direzione. Le mappa inoltre alle clausole ISO/IEC 27014:2020 6 e 7, che si concentrano sui quadri e sui processi di governance per valutare, indirizzare, monitorare e comunicare la sicurezza delle informazioni.
La catena delle evidenze è lineare:
- La direzione definisce propensione al rischio, tolleranza e soglie di escalation.
- I titolari del rischio quantificano i principali rischi cyber.
- I controlli sono selezionati e riflessi nella SoA.
- Le azioni di trattamento sono eseguite e monitorate.
- Il riesame indipendente e il monitoraggio della conformità testano l’efficacia.
- Il riesame della direzione valuta prestazioni, incidenti, risultati degli audit, risorse e azioni di miglioramento.
- Il consiglio di amministrazione riceve esposizione finanziaria, rischio residuo ed evidenze di responsabilizzazione in termini aziendali.
La Politica di gestione del rischio SME di Clarysec, sezione “Ruoli e responsabilità”, clausola 4.1.1, rafforza questo ruolo di governance:
“Definisce la propensione al rischio dell’organizzazione e approva il quadro per la gestione del rischio.”
Per una PMI può trattarsi del Direttore generale o del titolare dell’impresa. Per un’entità finanziaria regolamentata, può trattarsi dell’organo di amministrazione. Il principio di responsabilizzazione è lo stesso.
Come auditor e autorità di regolamentazione metteranno alla prova i numeri
La valutazione quantitativa del rischio cyber non sarà auditata come scienza attuariale perfetta. Sarà auditata per metodo, coerenza, tracciabilità, governance ed evidenze.
| Prospettiva dell’auditor o del valutatore | Cosa testerà | Evidenze attese |
|---|---|---|
| ISO/IEC 27001:2022 | Clause 6.1.2 valutazione del rischio, clause 6.1.3 trattamento del rischio, decisioni SoA, approvazione del titolare del rischio e clause 9.3 riesame della direzione | Criteri di rischio, registro, piano di trattamento del rischio, SoA, approvazioni, verbali del riesame della direzione |
| Autorità competente NIS2 | Approvazione e supervisione dell’organo di amministrazione, misure Article 21, proporzionalità, preparazione agli incidenti e formazione | Pacchetti per il consiglio di amministrazione, registrazioni della formazione, approvazioni del rischio, procedure per gli incidenti, evidenze di continuità |
| Supervisore DORA o audit interno | Quadro di riferimento del rischio ICT, tolleranza al rischio ICT, funzioni critiche o importanti, test, classificazione degli incidenti e rischio ICT di terze parti | Registro dei rischi ICT, strategia di resilienza, registro delle informazioni, risultati dei test, piani di uscita |
| Valutatore NIST CSF 2.0 | Esiti GOVERN, inclusi GV.RM-02 propensione e tolleranza al rischio e GV.RM-06 prioritizzazione standardizzata | Profilo Current, Profilo Target, piano d’azione, collegamento al rischio aziendale |
| Valutatore COBIT 2019 | Governance dell’IT aziendale, ottimizzazione del rischio, diritti decisionali, allocazione delle risorse e assurance | Reportistica di governance, metriche di prestazione, rapporti di assurance |
La Politica di audit e monitoraggio della conformità SME di Clarysec Politica di audit e monitoraggio della conformità - SME, sezione “Requisiti di governance”, clausola 5.4.3, rende esplicito il ciclo di audit:
“Le risultanze dell’audit e gli aggiornamenti di stato devono essere inclusi nel processo di riesame della direzione del SGSI.”
Questo è critico. Se il modello di rischio stima un’esposizione di €500.000 ma l’audit interno rileva che il test di ripristino è fallito, il rischio residuo deve cambiare. Se il piano di uscita dal fornitore non è testato, l’organizzazione non dovrebbe accettare il rischio residuo come se il controllo fosse maturo. Se i test DORA identificano una lacuna critica, tale risultanza deve alimentare trattamento, budget e riesame della direzione.
Lo Zenith Blueprint, fase Audit, riesame e miglioramento, passaggio 28, “Riesame della direzione”, supporta questo approccio raccomandando input per il riesame della direzione quali cambiamenti nei fattori interni ed esterni, requisiti regolatori, risultati degli audit, monitoraggio e misurazione, obiettivi, incidenti, non conformità, opportunità di miglioramento e necessità di risorse. In un programma di rischio cyber quantificato, il pacchetto per il riesame della direzione dovrebbe includere le principali esposizioni finanziarie, la tendenza dall’ultimo riesame, l’avanzamento del trattamento, le azioni scadute, il rischio residuo oltre la tolleranza e le decisioni richieste.
Costruire un pacchetto di rischio cyber pronto per il consiglio di amministrazione
Un pacchetto di rischio cyber pronto per il consiglio di amministrazione non deve sommergere gli amministratori con conteggi di vulnerabilità, variabili FAIR o ID di controllo. Deve tradurre il rischio cyber in decisioni.
Per ciascun rischio quantificato principale, includere:
- Nome dello scenario e servizio aziendale interessato
- Criticità del servizio o della funzione
- Indicatori relativi a dati personali, servizio regolamentato e dipendenza dal fornitore
- Stima attuale del Single Loss Impact
- Stima attuale dell’Annual Rate of Occurrence
- Annualized Loss Expectancy attuale
- Ipotesi e livello di confidenza
- Controlli attuali e lacune note
- Opzioni di trattamento e costo
- Esposizione residua attesa dopo il trattamento
- Rilevanza per ISO/IEC 27001:2022, NIS2, DORA e GDPR
- Titolare del rischio e decisione richiesta
- Riferimenti alla SoA e alle politiche
- Scadenza e data di riesame
Una vista semplificata per il consiglio di amministrazione può apparire così:
| Scenario di rischio | ALE attuale | Costo del trattamento | ALE residua | Driver regolatorio | Decisione |
|---|---|---|---|---|---|
| Interruzione del database gestito che incide sull’elaborazione delle transazioni | €152.500 | €82.000 | €35.000 | Rischio ICT DORA, trattamento del rischio ISO, continuità dei fornitori | Approvare il trattamento |
| Ransomware che interessa la piattaforma dati dei clienti | €372.000 | €100.000 | €95.000 | Rischio di violazione GDPR, gestione degli incidenti NIS2, controlli ISO sugli incidenti | Approvare EDR e backup immutabili |
| Compromissione degli accessi privilegiati nella console amministrativa cloud | €260.000 | €58.000 | €72.000 | Controllo degli accessi ISO, autenticazione NIS2, integrità dei dati DORA | Approvare il rafforzamento di MFA e PAM |
| Rischio di concentrazione su fornitore SaaS critico | €190.000 | €45.000 | €95.000 | Rischio di terze parti DORA, catena di fornitura NIS2, controlli ISO sui fornitori | Approvare il test del piano di uscita |
I numeri sono stime, ma il valore di governance è reale. Il consiglio di amministrazione può confrontare le priorità. Il CISO può giustificare la spesa. La funzione finanza può validare le ipotesi. La conformità può collegare le decisioni agli obblighi. Gli auditor possono seguire la traccia delle evidenze.
Errori comuni nella quantificazione del rischio cyber
Il primo errore è la falsa precisione. Un modello che dichiara una perdita di €487.239,17 senza ipotesi chiare è meno credibile di un intervallo con basi documentate. Usare intervalli dove appropriato e riesaminare le ipotesi dopo incidenti, audit, cambiamenti dei fornitori e decisioni architetturali rilevanti.
Il secondo errore è conteggiare solo il costo tecnico. Un grave incidente cyber può comportare perdita di ricavi, compensazioni ai clienti, interruzione operativa, segnalazioni regolatorie, consulenza legale, supporto forense, costi di comunicazione, penali contrattuali, churn, tempo della direzione e impatto reputazionale.
Il terzo errore è ignorare la gravità regolatoria. Una violazione dei dati personali può essere rilevante anche quando la perdita operativa diretta appare modesta. Un incidente DORA può essere significativo per criticità del servizio, downtime, perdita di dati o clienti interessati. Un incidente NIS2 può essere rilevante perché causa grave interruzione operativa, perdita finanziaria o danno considerevole ad altri.
Il quarto errore è non aggiornare la SoA. Se le decisioni di trattamento selezionano monitoraggio dei fornitori, pianificazione dell’uscita dal cloud, raccolta delle evidenze sugli incidenti, prontezza ICT per la continuità operativa o controlli sulle interruzioni, la SoA deve riflettere i controlli applicabili e lo stato di attuazione.
Il quinto errore è escludere la funzione finanza. La valutazione quantitativa del rischio cyber è più solida quando sicurezza, finanza, legale, operations, prodotto e conformità concordano sulle ipotesi di impatto. Il CISO non dovrebbe inventare da solo i numeri relativi alla perdita di ricavi.
Il sesto errore è trattare l’assicurazione come trasferimento completo del rischio. L’assicurazione può ridurre l’impatto finanziario, ma non elimina la responsabilità regolatoria, l’interruzione del servizio, il danno alla fiducia dei clienti o la responsabilità della direzione.
Dove si inserisce Clarysec
Clarysec aiuta le organizzazioni a costruire un programma di gestione del rischio cyber sufficientemente pratico per le PMI e sufficientemente rigoroso per gli ambienti regolamentati.
Lo Zenith Blueprint guida l’organizzazione dal campo di applicazione e dal contesto fino ai criteri di rischio, alla valutazione qualitativa e quantitativa, alla pianificazione del trattamento, alla tracciabilità SoA, all’audit, al riesame della direzione e al miglioramento. Zenith Controls aiuta a mappare le aspettative dei controlli ISO/IEC 27001:2022 e ISO/IEC 27002:2022 ad altri quadri di riferimento, audit e obblighi di governance. Le politiche Clarysec forniscono il linguaggio atteso dagli auditor, inclusi propensione al rischio, matrici delle deleghe, opzioni di trattamento, registri di conformità, allineamento SoA e integrazione nel riesame della direzione.
La Politica di conformità legale e normativa SME Politica di conformità legale e normativa - SME, sezione “Requisiti di governance”, clausola 5.1.1, parte da un obbligo semplice:
“Il Direttore generale deve mantenere un registro di conformità semplice e strutturato che elenchi:”
Quel registro semplice è importante. Gli obblighi legali, regolatori e contrattuali devono essere visibili all’interno del SGSI. Per il rischio quantitativo, ciò significa che NIS2, DORA, GDPR, contratti con i clienti, SLA, obblighi di outsourcing, obblighi di segnalazione degli incidenti e impegni di audit influenzano impatto, priorità di trattamento ed escalation.
La Politica di gestione del rischio Enterprise, sezione “Standard e quadri di riferimento”, clausola 11.9.1, riflette inoltre direttamente la governance in stile DORA:
“Article 5: impone un quadro di gestione del rischio ICT documentato, pienamente coperto dalla struttura di questa politica, inclusa la mappatura SoA e i KRI.”
Questo è il modello Clarysec in una frase: gestione del rischio ICT documentata, mappata ai controlli, misurata tramite indicatori, riesaminata dalla direzione ed evidenziata per l’audit.
Prossimi passi: rendere finanziariamente difendibile il registro dei rischi cyber 2026
Se il tuo registro dei rischi cyber attuale indica ancora “elevato” senza spiegare esposizione finanziaria, economia del trattamento o impatto regolatorio, avvia cinque azioni in questo trimestre:
- Selezionare i primi 5-10 scenari di rischio cyber in base all’impatto sull’attività.
- Definire soglie di impatto finanziario per minore, moderato, rilevante e grave.
- Stimare Single Loss Impact, Annual Rate of Occurrence e Annualized Loss Expectancy per ciascuno scenario principale.
- Mappare ogni decisione di trattamento ai controlli ISO/IEC 27001:2022, alla SoA, agli obblighi NIS2 o DORA ove applicabili, alle implicazioni GDPR e agli esiti di governance NIST CSF.
- Presentare rischio residuo, costo del trattamento e soglie di escalation nel riesame della direzione.
Clarysec può aiutarti a trasformare tutto questo in un sistema di evidenze ripetibile utilizzando lo Zenith Blueprint Zenith Blueprint, Zenith Controls Zenith Controls, la Politica di gestione del rischio Enterprise Politica di gestione del rischio, la Politica di gestione del rischio SME Politica di gestione del rischio - SME e i template di supporto per audit e conformità.
L’obiettivo non è rendere il rischio cyber perfettamente prevedibile. L’obiettivo è renderlo spiegabile, comparabile, finanziariamente significativo e auditabile.
Scarica i template Clarysec per le politiche di rischio e conformità, esplora lo Zenith Blueprint oppure prenota una valutazione Clarysec per trasformare il tuo registro dei rischi cyber 2026 in evidenze pronte per il consiglio di amministrazione per ISO/IEC 27001:2022, NIS2, DORA e GDPR.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
