Investire in sicurezza senza una valutazione del rischio significa comprare protezioni a caso: magari ottime, ma per i problemi sbagliati. Prima di costruire serve l’analisi del terreno: capire su cosa poggia l’azienda, dove può cedere e quali scosse deve aspettarsi. Da lì le decisioni di spesa smettono di essere scommesse e diventano scelte motivate.
I numeri dicono che il problema raramente è la mancanza di strumenti. Negli ultimi tre anni quasi una PMI italiana su quattro ha subito una violazione informatica (Cyber Index PMI 2025, Confindustria-Generali con Politecnico di Milano e ACN); al tempo stesso il 95% giudica sufficiente la propria infrastruttura IT. È un gap di percezione più pericoloso di molte vulnerabilità tecniche, perché nessuno corregge un problema che non vede. La valutazione del rischio serve prima di tutto a questo: sostituire la sensazione di essere protetto con la misura di quanto lo sei davvero.
Il lavoro si adatta alla scala dell’organizzazione: per una piccola impresa il perimetro tipico copre i sistemi essenziali, la protezione dei dati e gli adempimenti di base; per realtà più strutturate si estende a processi, scenari di rischio complessi e filiera.
NIS2 e fornitori: il rischio di filiera arriva con un questionario
Non serve rientrare tu stesso nella NIS2: basta vendere a chi ci rientra. I fornitori fuori dal perimetro della direttiva non hanno obblighi diretti, ma i soggetti NIS2 devono riversare requisiti di sicurezza nei contratti di fornitura (misura GV.SC-05 delle specifiche ACN): è la base normativa dei questionari di sicurezza che arrivano sempre più spesso alle PMI fornitrici dai loro clienti. A quel punto una valutazione del rischio documentata non è più solo prudenza: è ciò che ti permette di rispondere con dati, invece di prendere tempo.
E non è solo una questione di moduli da compilare: in Italia una compromissione della supply chain aggiunge in media 179.964 euro al costo di una violazione (IBM Cost of a Data Breach 2025). Un fornitore con accesso ai tuoi sistemi è un canale d’ingresso già fidato: se viene compromesso lui, l’attaccante entra dalla porta che hai lasciato aperta a un partner, non dal perimetro che difendi. È superficie d’attacco a tutti gli effetti, anche se non compare nell’organigramma.
Cosa facciamo
- Eseguiamo vulnerability assessment su sistemi, reti e applicazioni: scansioni e verifiche di configurazione che mappano le debolezze tecniche note. Le inquadriamo poi nell’analisi del rischio più ampia, che comprende anche processi e organizzazione.
- Costruiamo un’analisi del rischio basata sulle minacce reali per il tuo settore e la tua dimensione: gli scenari rilevanti per un’azienda manifatturiera non sono quelli di una struttura sanitaria o di un operatore logistico.
- Traduciamo i risultati in piani di remediation prioritizzati per impatto e costo: cosa correggere subito, cosa programmare, cosa accettare consapevolmente.
- Misuriamo la maturità della tua sicurezza con un framework strutturato, per avere un punto di partenza confrontabile nel tempo.
- Valutiamo il rischio della supply chain con una due diligence su policy, misure di sicurezza e conformità dei fornitori che hanno accesso ai tuoi sistemi o ai tuoi dati.
- Ripetiamo le valutazioni periodicamente: nuovi sistemi, nuovi fornitori critici, nuove normative.
Quando dall’analisi emergono debolezze da mettere alla prova, il passo successivo è un penetration test, che verifica sul campo se da lì si entra davvero.
Cosa ottieni
- Una fotografia del rischio chiara e difendibile, scritta per essere letta anche in consiglio di amministrazione.
- Una roadmap di interventi con priorità e ordini di grandezza dei costi, per decidere la sequenza della spesa invece di affidarti all’istinto.
- Un punteggio di maturità ripetibile, per misurare i progressi anno dopo anno invece di procedere a sensazione.
- La base documentale su cui poggiano gli adempimenti GDPR e NIS2: un approccio al rischio dimostrabile. Non è la conformità completa — per quella c’è la nostra consulenza di cybercompliance — ma è il punto da cui parte.
- Una risposta solida quando un cliente ti chiede garanzie sulla sicurezza della fornitura, questionario alla mano.
Se non hai mai fatto una valutazione strutturata, o l’ultima è ferma a un’azienda che nel frattempo è cambiata, questo è il punto di partenza naturale. Richiedi un primo assessment: definiamo insieme il perimetro e ti diciamo cosa aspettarti, prima di iniziare.
// domande frequenti
La valutazione del rischio è la stessa cosa di un audit di conformità?
No, e si completano. La valutazione del rischio parte dalle minacce: cosa può succedere all'azienda, con quale probabilità e impatto, e dove conviene intervenire per primo. Un audit di conformità parte dalle regole: verifica se l'organizzazione rispetta un requisito — GDPR, NIS2, uno standard — e dove se ne discosta. La prima orienta gli investimenti per priorità di rischio; il secondo misura la distanza da un obbligo. Si parte spesso dalla valutazione del rischio, perché un approccio al rischio dimostrabile è anche la base che la conformità presuppone.
La valutazione del rischio è obbligatoria per GDPR e NIS2?
Né il GDPR né la NIS2 impongono un metodo o un prodotto specifico, ma entrambe adottano un approccio basato sul rischio e chiedono di poterlo dimostrare: accountability per il GDPR, misure adeguate al rischio per la NIS2. Una valutazione strutturata è la forma più diretta di quell'evidenza, e la base su cui costruire gli altri adempimenti. Il perimetro esatto degli obblighi dipende dai dati che tratti e dall'eventuale inclusione tra i soggetti NIS2.
Un cliente ci ha mandato un questionario di sicurezza citando la NIS2: siamo obbligati a rispondere?
I fornitori che non rientrano nella NIS2 non hanno obblighi diretti ai sensi della direttiva, che però impone ai soggetti inclusi nel perimetro di trasferire requisiti di sicurezza nei contratti di fornitura: il questionario è lo strumento con cui lo fanno. L'obbligo è quindi contrattuale e commerciale più che normativo, ma non per questo meno concreto: rispondere male, o non rispondere, può costare il cliente. Una valutazione del rischio documentata permette di rispondere con dati verificabili invece che con rassicurazioni.
Quanto costa e quanto dura una valutazione del rischio?
Non esiste un listino unico: costo e durata dipendono dal perimetro — numero di sedi e sistemi, complessità dei processi, profondità del vulnerability assessment, inclusione o meno della supply chain — e dalla documentazione già disponibile. Per partire servono poche cose: un referente interno con mandato a coinvolgere chi serve, l'elenco dei sistemi e dei fornitori critici e l'eventuale documentazione esistente. Per questo CyberQuake definisce perimetro e impegno insieme al cliente prima di iniziare, così il preventivo riflette il lavoro effettivo e non una taglia standard.
Cosa comprende il report di una valutazione del rischio?
Tre cose. Un report con sintesi executive leggibile da chi decide gli investimenti, dalla proprietà alla direzione, e dettaglio tecnico per chi deve intervenire; una roadmap di remediation che ordina gli interventi per priorità, con stime di costo e il razionale di ogni scelta; un punteggio di maturità basato su un framework strutturato, confrontabile nelle valutazioni successive. È documentazione pensata per essere usata: per decidere gli investimenti, per i clienti che chiedono garanzie sulla fornitura, per GDPR e NIS2.
Ogni quanto va ripetuta la valutazione del rischio?
Come regola pratica, almeno una volta l'anno e a ogni cambiamento rilevante: nuovi sistemi o applicazioni, nuovi fornitori con accesso a dati o infrastrutture, fusioni e acquisizioni, novità normative che toccano l'azienda. Il rischio si muove: una valutazione ferma a tre anni fa descrive un'azienda che non esiste più. Il punteggio di maturità ripetibile serve proprio a misurare il percorso tra una valutazione e l'altra.