Il ruolo del CISO sta attraversando una trasformazione profonda e irreversibile. Storicamente, il nostro mandato era relativamente circoscritto: proteggere i dati, salvaguardare la proprietà intellettuale e garantire l’integrità della rete aziendale. Negli ultimi cinque anni, tuttavia, sono emerse nuove dimensioni che hanno ampliato radicalmente le nostre responsabilità; il perimetro che siamo chiamati a difendere si è esteso ben oltre i confini tradizionali.
Non siamo più soltanto custodi delle informazioni digitali: siamo diventati i guardiani della sicurezza del mondo fisico. Le infrastrutture critiche che sostengono le nostre società – dalla logistica all’energia, dalla sanità ai servizi finanziari, fino ai vasti ecosistemi retail – hanno raggiunto livelli di digitalizzazione e interconnessione tali da costituire un unico tessuto di valore interdipendente. Ed è proprio questo valore a rappresentare il bersaglio finale di attacchi progettati per destabilizzare interi sistemi economici e sociali.
Il contesto normativo si adegua alla minaccia globale
Negli ultimi sei mesi, tra la fine del 2025 e il primo trimestre del 2026, durante i miei incontri regolari con responsabili della sicurezza informatica in tutta l’area EMEA, ho potuto osservare direttamente questa trasformazione. I legislatori, sotto la guida diretta dei governi, hanno esaminato con attenzione il ruolo delle Operational Technology all’interno della catena del valore. Il quadro normativo che ne è scaturito è stato progettato per contrastare l’impatto che gli attacchi cyber possono avere sulla stabilità nazionale.
L’ampliamento di questo mandato, insieme al ruolo che le infrastrutture critiche hanno assunto nell’ambito della difesa nazionale, ha modificato radicalmente il tono dell’ambiente regolamentare. Le autorità di vigilanza sono passate dall’emettere semplici “raccomandazioni” all’imporre veri e propri “obblighi stringenti”. Sono state introdotte normative specifiche che trasferiscono direttamente sui Consigli di Amministrazione l’onere della responsabilità e delle conseguenze legali.
Ruolo di leadership e obblighi normativi in aumento
Un esempio significativo è rappresentato dal SARB & FSCA Joint Standard 2 del 2024, entrato ufficialmente in vigore nel giugno 2025, che impone esplicitamente requisiti di cyber resilience per il settore finanziario. In base a questi framework, la responsabilità ultima della cybersecurity ricade sul Board.
- Le imprese sono obbligate a dotarsi di politiche di risposta agli incidenti.
- Devono mantenere un piano di ripristino operativo testato regolarmente.
- I dirigenti hanno un obbligo diretto, sotto giurisdizione legale, di comunicare incidenti gravi entro 72 ore.
Che si tratti del WAM di Casablanca, il più importante evento africano dedicato all’OT, del kick-off commerciale di Orange Cyber Defense durante il Mobile World Congress di Barcellona, oppure dei recenti eventi dedicati ai dirigenti dei settori finance e retail in Sudafrica, il dibattito sulla regolamentazione delle infrastrutture critiche non viene più considerato un mero esercizio di compliance locale.
Potenziali conseguenze per il management
Le implicazioni sono estremamente rilevanti e comprendono responsabilità personali, sanzioni, demansionamenti e persino possibili pene detentive nei casi di grave negligenza. Inoltre, normative moderne come la Sezione 19 del POPIA e la Sezione 54 del Cybercrimes Act impongono procedure di segnalazione rapide e rigorose, richiedendo spesso la notifica degli incidenti entro 72 ore e il rispetto di una regola stringente di ripristino entro due ore.
Quando un attacco informatico può provocare una situazione di “forza maggiore”, bloccando di fatto la logistica nazionale e causando una perdita di volumi commerciali che nessuna patch IT potrà mai recuperare, significa che il paradigma è cambiato.
La motivazione dietro le nuove normative
Questa ampia riforma legislativa non è nata nel vuoto. Ho potuto constatare come sia stata accelerata da un’impennata di attacchi cyber devastanti contro infrastrutture critiche verificatisi nello stesso periodo. Gli attori malevoli hanno compreso che paralizzare le operazioni fisiche genera un potere di pressione molto maggiore rispetto al semplice furto di dati.
Durante il mio intervento inaugurale a Città del Capo ho ricordato il devastante attacco ransomware che ha recentemente colpito una delle principali aziende di trasporto locali. L’evento non è stato considerato una semplice anomalia IT, ma è stato riconosciuto come una grave crisi di business continuity, gestita in modo efficace direttamente dal CEO.
L’interruzione delle attività operative ha costretto il Consiglio di Amministrazione a gestire le conseguenze su circa il 60% del commercio del Sudafrica. Di conseguenza, le imprese pubbliche considerano oggi correttamente le minacce cyber come questioni di sicurezza nazionale.
Un evento cyber è oggi considerato un evento materiale per l'azienda
Una violazione informatica è ormai universalmente riconosciuta come un “evento materiale”, in grado di influenzare significativamente la fiducia degli investitori e il valore per gli azionisti. Tuttavia, quando il management assume un ruolo di leadership, gli esiti possono essere diversi.
Ho osservato un esempio virtuoso di trasparenza a livello di board durante una grave violazione dei dati subita da una nota compagnia assicurativa. L’organizzazione ha assunto immediatamente la responsabilità dell’accaduto attraverso una risposta guidata dal CEO e ha rifiutato di pagare il riscatto richiesto dagli attaccanti. Questa scelta ha consentito di preservare la fiducia, la reputazione, e di recuperare rapidamente il valore sul mercato.
La convergenza tra IT e OT aumenta l'esposizione al rischio
La rapida espansione del perimetro di minaccia è strettamente legata alla convergenza tra Information Technology (IT) e Operational Technology (OT). In passato, i sistemi di controllo industriale, gli impianti produttivi e le reti logistiche operavano in ambienti isolati e separati dal resto delle infrastrutture digitali. Oggi, invece, la tecnologia rappresenta il principale motore dell’innovazione e ha trasformato questi sistemi un tempo isolati in reti integrate e accessibili.
Questo processo di convergenza non riguarda solo l'industria manifatturiera o gli ambienti produttivi: il settore del retail ha anch'esso vissuto una trasformazione radicale, evolvendo da modelli fisici tradizionali a ecosistemi omnicanale altamente integrati.
Il retail è in prima linea nel cyber threat landscape
Il retail è oggi sotto assedio. Nel 2025 il costo medio di una violazione dei dati ha raggiunto i 40 milioni di rand e il 79% dei consumatori considera la sicurezza dei dati un criterio prioritario nella scelta del punto vendita. In questo contesto, la protezione delle informazioni dei clienti è div