01
Chi ci sta attaccando in questo momento?
Non chi potrebbe attaccarci. Chi sta tentando, ora, sui sistemi reali.
Persona · Proprietà · CdA · DG
Cyber non è un costo IT.
È governance.
Dal 2024 la NIS2 attribuisce responsabilità personale agli amministratori per l'inadeguatezza della postura cyber. Le polizze richiedono evidenza tecnica per pagare. La domanda non è più se ce ne occuperemo — è come e quando.
10 M€Sanzione NIS2 max
2%Fatturato · soggetti essenziali
72hNotifica CSIRT obbligata
4×Board report all'anno
§ 01 · 10 domande al CISO
Le domande che il CdA dovrebbe già fare.
Se il CISO non ha risposte concrete a queste domande, il problema non è il CISO: è il livello di esposizione informativa del board. Affianchiamo le imprese a costruire un dialogo tecnico-strategico in linguaggio di rischio.
02
Quanto durerebbe un nostro fermo da ransomware?
In ore di produzione, in fatturato, in clienti persi. Numeri, non sensazioni.
03
Siamo in scope NIS2? Essenziali o importanti?
La NIS2 attribuisce responsabilità personale agli amministratori. Sapete dove ricadete?
04
Le nostre back-up resisterebbero davvero?
Quando è stato l'ultimo restore completo testato? Non simulato — eseguito.
05
Abbiamo una polizza cyber? Cosa copre davvero?
Polizze stipulate prima del 2024 spesso escludono ransomware o richiedono postura minima oggi non garantita.
06
Chi risponde se accade alle 3 di notte?
Numero di telefono, persona, lingua, fuso orario. Specifico.
07
Quanto investiamo in cyber rispetto al settore?
Mediana settoriale: 2-4% del budget IT per banking/finance, 1-2% per manifatturiero. Voi?
08
I nostri fornitori critici sono difesi?
La supply chain è la prima superficie d'attacco moderna. NIS2 obbliga a vigilarla.
09
Cosa è cambiato dall'ultimo board cyber?
Threat landscape, regolatorio, postura interna. Se la risposta è 'niente', il monitoraggio è inattivo.
10
Cosa diremmo alla stampa domani?
Crisis communication preparata prima, non improvvisata durante l'incidente.
Vuoi un foglio di lavoro stampabile? Te lo mandiamo via email →
§ 02 · Confronto
SOC interno vs MDR esterno.
Confronto qualitativo su un'azienda mid-market (200-500 endpoint, 1-2 sedi). Un SOC interno richiede personale, stack tecnologico, intel, detection engineering, continuità, formazione. Il modello MDR Fortgale aggrega tutto in un servizio gestito, con un investimento relativo nettamente inferiore.
| Componente | SOC interno | Fortgale MDR |
|---|---|---|
| Personale SOC senior · 24/7 | Risorse dedicate full-time | Incluso · No HR |
| Stack EDR · SIEM · TIP | Da acquistare e gestire | Incluso · multi-vendor |
| Threat intel feed / abbonamenti | Abbonamenti aggiuntivi | Incluso · CTI proprietaria |
| Detection engineering | Team interno o consulenza | Incluso · regole peer-reviewed |
| Tabletop, formazione, certificazioni | A budget separato | Incluso (Silver+) |
| Continuità · ferie · turn-over | 30% imprevisto | Mitigato · team rotante |
| Time-to-value | 12-18 mesi | 30 giorni |
| Investimento relativo | €€€€€ | €€ |
Il rapporto €€€€€ : €€ rappresenta l'investimento relativo medio osservato sul mid-market italiano. Vuoi una comparazione sul tuo caso specifico? Parla con i nostri analisti.
§ 03 · Accountability NIS2
Sanzioni economiche e personali.
Il D.Lgs. 138/2024 (recepimento NIS2 in Italia) introduce sanzioni significative per l'azienda e per gli amministratori a livello individuale. La differenza con il GDPR: qui c'è anche la sospensione delle funzioni.
| Soggetto / violazione | Importo | Nota |
|---|---|---|
| Soggetti essenziali | fino a 10 M€ o 2% del fatturato globale | Si applica il maggiore tra i due valori |
| Soggetti importanti | fino a 7 M€ o 1.4% del fatturato globale | Si applica il maggiore tra i due valori |
| Amministratori | responsabilità personale | Sospensione delle funzioni in caso di gravi violazioni reiterate |
| Notifica omessa CSIRT | ulteriori sanzioni | Fino a 1 M€ aggiuntivi per omissione/ritardo nella notifica |
Esposizione personale degli amministratori.
La NIS2 obbliga il management a conoscere e approvare le misure cyber. La
formula "non lo sapevo" non costituisce esimente. La copertura D&O standard non sempre
risponde su omissioni in materia di cyber.
§ 04 · Assicurabilità
La polizza paga solo se.
Le polizze cyber del 2025-2026 hanno condizioni di postura tecnica per la sottoscrizione e la liquidazione del sinistro. Se la postura è inadeguata, il rischio è doppio: subire l'attacco e non essere indennizzati.
Pre-condizione
MFA obbligatoria
Senza MFA su accessi privilegiati la maggior parte degli underwriter non sottoscrive. Postura base 2026.
Pre-condizione
Backup immutable + DR test
Backup off-line/immutable provati nell'anno. Senza, esclusione ransomware nelle nuove polizze.
Pre-condizione
EDR/MDR su endpoint
Endpoint con detection moderna · 24/7 monitoring. Vendor non liste-bianca: il valore è la copertura, non il logo.
Premio premium
Tabletop annuale documentato
Le polizze top scontano 5-15% se è documentato un esercizio annuale di IR con report.
Premio premium
Vendor risk management
Processo strutturato di valutazione fornitori critici (NIS2 art. 23). Riduce il premio.
Lavoriamo con i broker della tua azienda per certificare la postura e ridurre il premio. Parlaci della tua polizza.
§ 05 · Cosa è cambiato
I quattro precedenti che ridisegnano la responsabilità.
Dal 2022 al 2026 quattro decisioni internazionali hanno spostato l'asticella della responsabilità in materia cyber dal team tecnico al board. Conoscerle non è opzionale: sono ormai citate dagli organi di vigilanza italiani ed europei come standard di diligenza atteso.
Ott 2022
USA · Federal Court · Northern District California
Caso Joe Sullivan / Uber
L'ex CSO di Uber condannato per occultamento di breach alle autorità federali. Primo precedente al mondo di responsabilità penale individuale di un dirigente cyber — non solo civile. Citato da ENISA come monito per i CISO europei dopo l'entrata in vigore della NIS2.
Ott 2023
USA · SEC · Securities Enforcement
SEC vs SolarWinds & CISO
Per la prima volta la SEC ha incriminato direttamente il CISO (Tim Brown) per dichiarazioni fuorvianti agli investitori sulla postura cyber pre-breach. La causa è ancora aperta ma ha già modificato la due diligence cyber pre-quotazione di tutte le aziende EU dual-listed.
Gen 2025
UE · NIS2 art. 20 · D.Lgs. 138/2024 art. 23
Accountability organi di gestione
La NIS2 (recepita in Italia con D.Lgs. 138/2024) obbliga esplicitamente gli organi di gestione a "approvare le misure di gestione dei rischi cyber" e a "vigilare sull'attuazione". Non delegabile al CISO: la responsabilità giuridica resta sul board e include la sospensione delle funzioni in caso di gravi violazioni reiterate.
Gen 2025
UE · DORA Regolamento 2022/2554 art. 5
DORA · ICT governance
Per banche, assicurazioni e fornitori critici di servizi ICT, il DORA art. 5 attribuisce all'organo di gestione la responsabilità ultima del framework di gestione rischio ICT. Sanzioni: fino al 1% del fatturato giornaliero medio per ogni giorno di infrazione (potenziale annuo: 365% del fatturato giornaliero). Vigilanza Banca d'Italia + IVASS + Consob.
§ 06 · Reporting board-ready
Cosa serve in un report cyber al board.
Un report cyber trimestrale per il CdA deve rispondere a cinque domande in linguaggio di rischio, non di tecnologia. Sotto è il template che Fortgale fornisce ai clienti Advisory — riadattabile sulla vostra dashboard interna o sul reporting del SOC.
01
Risk register · top 5
I cinque scenari di rischio più impattanti con likelihood × impact rispetto al trimestre precedente. Direzione (peggiorato/migliorato/stabile), owner, mitigazione in corso. Una pagina, cinque righe. No matrice 5×5 sullo schermo del CdA.
02
KPI postura · trend
MTTR, MTTD, coverage MFA, % patching SLA, % endpoint coperti EDR. Solo metriche con target approvato dal board e confronto con benchmark settoriale (Clusit, ENISA). Numeri, non semafori senza scala.
03
Incidenti del trimestre
Numero, severity, tempo di rilevamento e contenimento, impatto operativo. Per ogni incidente high/critical: lessons learned + azione correttiva chiusa o in piano. Anche zero incidenti va riportato — è un dato, non un non-evento.
04
Compliance status
NIS2, DORA, GDPR, ISO 27001, Perimetro (se applicabile). Punti aperti con scadenza, owner, esposizione residua se non chiusi. Eventuali audit/ispezioni in corso e relativo stato di risposta. Cosa firmerebbe oggi il CdA?
05
Investimenti · trimestre Q+1
CapEx/OpEx pianificati cyber, business case sintetico (rischio ridotto · costo · ROI), eventuali nuove minacce da threat intelligence che giustificano investimento straordinario. Decisione richiesta al board, con opzioni e raccomandazione.
+
Allegato · threat briefing
Profilo dei 3 attori più probabili contro il settore dell'azienda nel trimestre, con TTP osservate e copertura detection esistente. Mantiene il board consapevole dell'avversario, non solo dei controlli. Foglio tecnico opzionale per chi vuole approfondire.
Vuoi che prepariamo il primo board report sulla postura attuale della tua azienda? Richiedilo qui. Lo riceverai prima del prossimo CdA.
Per un briefing al CdA
Un briefing di 45 minuti per il vostro CdA.
Linguaggio di rischio, non di tecnologia. Risk register, postura, sanzioni, copertura. Pronti da presentare.