Tra necessità operative e autonomia tecnologica, la spinta all’outsourcing rafforza la resilienza delle singole aziende, ma apre interrogativi sulla concentrazione del rischio, la natura delle dipendenze strutturali e la tenuta complessiva dell’ecosistema

I fornitori di servizi di sicurezza gestita (MSSP) si stanno affermando come attori chiave nel percorso di adeguamento alla NIS2, accompagnando le organizzazioni in una trasformazione che è prima di tutto culturale e organizzativa, oltre che tecnologica. Il loro ruolo non si limita a quello di fornitori di tecnologie e servizi di sicurezza, ma si estende alla capacità di tradurre un quadro normativo complesso in azioni concrete, sostenibili e coerenti con il profilo di rischio di ciascuna realtà aziendale e organizzativa.

Il punto di partenza è la definizione di una roadmap personalizzata, costruita in sinergia con il CISO o, in sua assenza, grazie alle competenze messe a disposizione dal provider. L’obiettivo è rendere la conformità un percorso progressivo, allineato alle priorità di business e ai vincoli di budget, evitando approcci standardizzati che rischiano di essere inefficaci. Gli MSSP svolgono inoltre una funzione essenziale di orientamento e formazione. La NIS2 fornisce infatti principi e indirizzi, ma lascia alle organizzazioni ampi margini interpretativi. Colmare questo spazio significa aiutare i clienti a comprendere davvero gli obblighi, attraverso programmi formativi mirati, casi concreti e metriche che rendano tangibili i benefici della compliance. Sul piano operativo, il contributo degli MSSP si traduce nella costruzione di un’infrastruttura di sicurezza robusta e resiliente. Ciò implica garantire che sistemi e dati siano protetti da controlli adeguati, dalla gestione degli accessi alla sicurezza della supply chain, fino alle capacità di rilevamento e risposta agli incidenti. Fondamentale è anche la capacità di condurre valutazioni di rischio approfondite, che abbracciano l’intero perimetro digitale dalle infrastrutture alle identità, dagli endpoint alle reti, fino alla catena di fornitura.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Gli MSSP non si limitano a identificare le vulnerabilità, ma le contestualizzano, ne valutano l’impatto sul business e definiscono strategie di mitigazione mirate, supportate da policy di sicurezza coerenti con i requisiti della direttiva. La conformità alla NIS2 richiede inoltre una vigilanza continua. In questo ambito, gli MSSP mettono in campo servizi di monitoraggio 24/7, capacità di risposta agli incidenti e piani di disaster recovery, garantendo non solo la sicurezza ma anche la continuità operativa. Allo stesso tempo, supportano le organizzazioni negli obblighi di notifica degli incidenti di sicurezza e favoriscono la condivisione delle informazioni sulle minacce, contribuendo a rafforzare la resilienza dell’intero ecosistema. Un ulteriore elemento distintivo è la gestione proattiva delle vulnerabilità, basata su attività di scansione continua e su una prioritizzazione che tenga conto degli asset più critici. Questo approccio consente di intervenire in modo mirato, ottimizzando le risorse e riducendo il rischio effettivo. Oltre la semplice erogazione di servizi tecnologici, gli MSSP rappresentano un partner strategico, capace di accompagnare le organizzazioni nel trasformare gli obblighi della NIS2 in un modello operativo concreto, integrato nei processi aziendali e orientato alla gestione dei rischi reali.

INFRASTRUTTURE DI DIFESA

In Italia si contano circa 1.800 provider di sicurezza gestita (alla fine del 2023 erano oltre 2.200), ma questo dato, più che descrivere un mercato maturo, restituisce l’immagine di un ecosistema estremamente frammentato, in cui convivono piccoli operatori locali e grandi system integrator globali. In Italia, secondo i dati dell’Osservatorio Cybersecurity & Data Protection – Politecnico di Milano il mercato complessivo della cybersecurity ha superato i 2,7 miliardi di euro nel 2025. Il giro d’affari complessivo della sicurezza gestita (MSSP, SOC as a Service, MDR) rappresenta una quota crescente tra il 15% e il 25%, stimabile tra 350 e 450 milioni di euro, all’interno di un mercato che continua a crescere a ritmi sostenuti. La NIS2, in questo scenario, a fronte di una continua crescita delle minacce agisce come un acceleratore. Alza l’asticella dei requisiti, impone capacità di monitoraggio continuo, gestione degli incidenti, valutazione della supply chain. Ambiti che richiedono competenze specialistiche, servizi e tecnologie evolute. Che, soprattutto per le organizzazioni di medie e piccole dimensioni incluse nel perimetro della direttiva, risultano in genere difficilmente sostenibili in-house. Da qui un ricorso crescente all’esternalizzazione: una scelta dettata non solo dalla convenienza, ma sempre più dalla necessità.

I provider di sicurezza gestita diventano così l’approdo naturale, offrendo economie di scala, operatività h24 e accesso a talenti altrimenti difficili da reperire. Una dinamica che richiama da vicino quanto già osservato nel cloud, dove la complessità ha favorito la concentrazione dell’offerta. Si tratta, senza dubbio, di una scelta razionale e in molti casi inevitabile. Ma, come spesso accade, la ricerca di efficienza genera anche nuove forme di dipendenza. Quando un numero crescente di organizzazioni si affida agli stessi pochi fornitori, emerge il rischio di un “single point of failure” sistemico: un nodo di concentrazione che, se compromesso, può generare effetti a cascata. Gli attacchi alle catene di fornitura digitali degli ultimi anni dimostrano con chiarezza come la compromissione di un singolo fornitore può propagarsi rapidamente lungo interi ecosistemi.

Il caso di SolarWinds nel 2020 resta emblematico. La cybersecurity si configura sempre più come un’infrastruttura abilitante. E, come tutte le infrastrutture, quando si concentra eccessivamente smette di essere solo un servizio e diventa un potenziale punto di vulnerabilità collettiva. Un rischio non soltanto tecnologico ma sistemico. E, paradossalmente, rischiamo di alimentarlo proprio mentre cerchiamo di rafforzare le nostre difese. La domanda è: esiste un rischio di concentrazione tra i fornitori di sicurezza gestita? Il tema è sul tavolo, ma non va letto in modo allarmistico. «Tra gli MSSP non vedo, la presenza dominante di grandi multinazionali generaliste come Alphabet, Amazon, Microsoft o Meta, che pure esercitano un peso enorme nell’ecosistema tecnologico» – osserva Mauro Cicognini, membro del comitato scientifico di CLUSIT. «I loro servizi incorporano una componente di cybersecurity molto rilevante, che fa parte di offerte con finalità più ampie. È vero che alcune di queste aziende erogano anche servizi specifici di sicurezza, ma quando penso agli MSSP mi riferisco a operatori specializzati, spesso nazionali o europei». In questo senso, la concentrazione appare ancora limitata e, almeno per ora, circoscritta. «Si intravede una tendenza verso alcuni provider di riferimento, ma si tratta di realtà italiane o europee. Il mercato, nel complesso, rimane ancora competitivo. In diversi ambiti verticali esiste una pluralità di attori qualificati, con livelli di servizio elevati e prezzi comparabili».

Leggi anche:  Le prospettive della cybersicurezza per il 2026: gestire il cambiamento e la complessità

La NIS2, innalzando gli standard di resilienza, rischia paradossalmente di favorire i provider più strutturati, alimentando dinamiche di concentrazione e possibili dipendenze sistemiche. Il punto, tuttavia, non è l’outsourcing in sé ma il grado di concentrazione che ne deriva. Quando la sicurezza di molti si affida a pochi attori, la resilienza complessiva può indebolirsi. Molti MSSP europei tuttavia dipendono, a loro volta, da tecnologie cloud e piattaforme extra-UE. La NIS2 parla di resilienza europea, ma la filiera tecnologica resta in larga parte globale. C’è una contraddizione tra l’ambizione di “resilienza digitale europea” della NIS2 e la dipendenza strategica da fornitori non europei lungo la catena del valore della cybersecurity? «La contraddizione esiste e probabilmente rimarrà a lungo perché l’uso di infrastrutture e tecnologie extra-UE è il percorso di minima resistenza» – risponde Cicognini. «Per quanto riguarda software e servizi, nella maggior parte dei casi esistono alternative europee credibili. Sul fronte hardware, invece, il quadro è molto diverso: in Europa si producono ormai pochissimi computer e smartphone e quasi nessun processore o GPU. Anche quando la progettazione di chip specializzati avviene ancora nel continente, la produzione viene generalmente delocalizzata in Asia, tra Cina, Taiwan e Corea del Sud. In questo scenario, appare necessario un ripensamento profondo della strategia industriale europea. Resta il nodo delle materie prime – a partire dalle terre rare – che continuerebbero in parte a dipendere da fornitori esteri. Ma senza un rafforzamento della capacità manifatturiera e della filiera dei semiconduttori, l’Europa rischia di restare strutturalmente esposta sul piano tecnologico e geopolitico».

È bene però evitare letture apocalittiche. La concentrazione è ancora in una fase iniziale e il mercato della sicurezza gestita non presenta ancora caratteristiche di oligopolio. I rischi sono reali, ma vanno osservati con attenzione, senza anticiparne gli esiti. È plausibile che il tema diventi sempre più rilevante nei prossimi anni, man mano che la domanda si orienterà verso operatori capaci di garantire qualità, continuità e scalabilità. Proprio per questo, si apre una questione più ampia: cosa accade quando questi operatori assumono, di fatto, un ruolo assimilabile a quello di infrastrutture critiche, pur restando soggetti privati? Stiamo dando forma a una nuova categoria di infrastrutture critiche non pubbliche ma di fatto essenziali per il funzionamento di interi settori economici? Cosa accadrebbe se uno di questi operatori subisse un attacco rilevante, o anche solo un’interruzione prolungata dei servizi? L’impatto potrebbe propagarsi rapidamente, coinvolgendo simultaneamente più organizzazioni, magari appartenenti allo stesso settore critico. Non è uno scenario così remoto, ma una conseguenza possibile di un sistema che, nella ricerca di efficienza, tende alla concentrazione. Ciò non implica che il modello sia sbagliato. Le economie di scala sono reali e in molti casi rappresentano l’unica risposta sostenibile a una complessità crescente. Ma ogni concentrazione è foriera di rischi. Dall’energia alla finanza passando per il cloud, la storia delle infrastrutture ce lo insegna: quando un servizio diventa sistemico, prima o poi emerge l’esigenza di riconoscerlo e governarlo come tale.

GOVERNANCE REALE

Una delle promesse più ambiziose della NIS2 è portare la cybersecurity fuori dai data center e dentro i consigli di amministrazione. Non più tema per specialisti, ma rischio d’impresa, al pari di quello finanziario o reputazionale. Eppure, tra il dettato normativo e la prassi si apre una faglia. È lì che si insinua il rischio di una “governance di facciata”, in cui il Board approva, delega e archivia senza una reale comprensione. La NIS2 introduce un cambio di paradigma che è prima di tutto culturale. Non prescrive solo controlli e strumenti, ma ridefinisce le responsabilità di chi prende le decisioni. I vertici aziendali sono chiamati ad approvare e supervisionare le misure di sicurezza, a promuovere la formazione del personale e ad acquisire competenze adeguate per comprendere il rischio cyber. Non è più sufficiente affidarsi agli specialisti. Chi guida un’organizzazione deve essere in grado di leggere, almeno nei suoi tratti essenziali, il rischio che governa. A questa responsabilità si accompagna un quadro sanzionatorio significativo (fino a 10 milioni di euro o al 2% del fatturato), che segna una rottura netta con il passato. Viene meno quella comfort zone che consentiva al management di rifugiarsi dietro la complessità tecnica.

Oggi la “plausible deniability” non è più sostenibile né giustificabile. Ma la direttiva compie un ulteriore passo avanti. Non chiede solo di agire, chiede di dimostrare. La sicurezza deve essere documentata, tracciata e verificabile. Verbali del consiglio di amministrazione, report periodici, evidenze di formazione, audit. Lo sguardo delle autorità si sposta nel luogo in cui le decisioni vengono prese, per valutare la qualità della governance, non solo l’efficacia delle difese tecnologiche. Ed è qui che emerge il primo vero cortocircuito. La NIS2 chiede ai Board di trattare il rischio cyber come un rischio strategico, ma nella pratica quotidiana la cybersecurity continua spesso a essere percepita come un tema tecnico, confinato agli specialisti. Una funzione che può essere legittimamente delegata. Una voce di costo o una funzione delegabile. Il rischio è che il cambiamento resti più formale che sostanziale, dichiarato, ma non compreso. Molti osservatori mettono in guardia dal rischio che il salto resti più formale che sostanziale, più dichiarato che compreso. I Board devono capire il rischio che stanno affrontando. La cybersecurity non può più essere “supervisionata” per delega: trattarla come un tema accessorio espone le aziende a un rischio sistemico, paragonabile per impatto ai rischi finanziari o regolatori.

Leggi anche:  Check Point presenta il rapporto “Lo stato della sicurezza informatica 2025”

Il concetto riemerge, quasi negli stessi termini, anche nelle analisi del World Economic Forum: la cybersecurity è un rischio di business, non un semplice tema IT. Un’affermazione che può risuonare alle orecchie come un luogo comune, ma che scardina una resistenza culturale ancora diffusa: quella di relegare il rischio cyber a questione tecnica. In realtà, le sue implicazioni di carattere economico, reputazionale e operativo incidono direttamente sulla strategia aziendale, sulla continuità operativa e, in ultima analisi, sul valore d’impresa. Governare il rischio significa prima di tutto comprenderlo, e su questo terreno molti Board si trovano in difficoltà. Spesso i vertici aziendali non dispongono di metriche realmente comprensibili, né di strumenti decisionali che traducano la complessità tecnica in impatti di business. A questo si aggiunge una carenza di competenze specifiche, che rende ancora più difficile orientarsi. Come emerge da numerosi report, i consigli di amministrazione non dispongono neppure di informazioni adeguate o di strumenti che traducano il rischio in un linguaggio comprensibile per le decisioni strategiche.

Il risultato in alcuni casi è una sorta di asimmetria informativa. Chi è chiamato a prendere decisioni resta, in parte, dipendente da chi quelle informazioni le produce e le interpreta. Gli amministratori sono formalmente responsabili, ma non sempre hanno pieno controllo del rischio che stanno governando. In questi casi la delega smette di essere una scelta tattica. Non tanto e non solo per mancanza di volontà, quanto per la difficoltà di colmare, in tempi brevi, un divario di conoscenza ampio. Eppure le interpretazioni operative della NIS2 sono chiare: la cybersecurity non è più un progetto IT delegabile, ma una responsabilità diretta del Board, che deve essere visibile, documentata e misurabile. Tuttavia, la norma può imporre il livello decisionale, non la qualità della comprensione. Il rischio diventa ancora più subdolo quando non coincide con l’assenza di governance, ma con la sua simulazione: policy approvate, report prodotti, audit superati. Tutti segnali di un’organizzazione formalmente conforme. Ma chi prende le decisioni ha davvero compreso il rischio oppure lo sta semplicemente certificando?

OUTSOURCING, ZONE D’OMBRA

Nello spazio sospeso tra necessità e incertezza si colloca il ruolo dei Managed Security Service Provider. Sgomberiamo subito il campo da equivoci. Nell’attuale ecosistema, gli MSSP rappresentano una componente imprescindibile. I requisiti introdotti dalla NIS2 presuppongono un livello di competenze e capacità operative che molte organizzazioni – soprattutto di dimensioni medio-piccole – difficilmente possono sviluppare al proprio interno. Il punto non è l’esternalizzazione. È ciò che rischia di diventare.

La direttiva ribadisce un principio non negoziabile: la responsabilità non si delega. È il consiglio di amministrazione a dover approvare le misure di sicurezza, supervisionarne l’efficacia, valutare i rischi, inclusi quelli legati ai fornitori. Si può esternalizzare l’operatività, ma non il governo del rischio. Nella pratica però il confine tra queste due dimensioni tende facilmente a sfumare. Lasciando spazio alla pericolosa illusione di poter “comprare” la sicurezza. Come se bastasse un contratto, per trasferire altrove anche la responsabilità. Ma acquistare un servizio non equivale a comprendere davvero il perimetro, i limiti, le aree di rischio che restano inevitabilmente scoperte. Ed è proprio in questo scarto, spesso nascosto, che l’outsourcing rischia di trasformarsi in un alibi. Una risposta apparentemente solida, che non sostituisce l’onere, ben più complesso, di governare il rischio in prima persona.

Non si tratta, nella maggior parte dei casi né di cattiva fede, né di comportamenti opportunistici fatti di scorciatoie più o meno consapevoli, una sorta di maquillage organizzativo costruito per ingannare il regolatore. Il problema sono una serie di condizioni strutturali che rendono quasi naturale scivolare verso una conformità più formale che sostanziale. La prima riguarda la natura stessa della NIS2. La direttiva, volutamente, non entra nel dettaglio delle soluzioni tecniche. Definisce obiettivi, principi, responsabilità. Offre flessibilità ma apre anche ampi margini di interpretazione. In assenza di indicazioni operative puntuali, diventa inevitabile cercare altrove punti di riferimento, costruire modelli, semplificare. E la semplificazione prende spesso la forma di checklist, policy, documenti. Strumenti rassicuranti perché tangibili. Non è un caso che da più parti si sottolinei come in mancanza di indicazioni pratiche molti aspetti si prestino a interpretazione. Il rischio è che la forma finisca per sostituire la sostanza.

A questo si aggiunge un secondo elemento. La NIS2 nasce con l’obiettivo di rafforzare la resilienza delle organizzazioni, ma nella pratica può essere vissuta come un adempimento. Quando la preoccupazione principale diventa quella di superare un audit o evitare una sanzione, cambia anche la logica decisionale. L’attenzione si sposta su ciò che è verificabile. Dalle policy approvate ai report prodotti, ai contratti formalizzati. Tutto ciò che può essere esibito come prova di conformità. Ma la resilienza reale – la capacità di reagire a un incidente, di prendere decisioni sotto pressione, di comprendere davvero il rischio – non si costruisce solo su carta. C’è poi un terzo fattore, l’asimmetria tra responsabilità e competenze. La direttiva chiede al management di comprendere per governare. Ma questo requisito si scontra con una realtà in cui le competenze sono spesso insufficienti e la formazione che dovrebbe colmarle discontinua. Il linguaggio della cybersecurity resta tecnico, difficile da tradurre in termini che parlino davvero al business. In questo contesto il CdA si trova in una posizione delicata. Formalmente responsabile, ma non sempre attrezzato per esercitare fino in fondo quella responsabilità. E così si innesca una dinamica pericolosa. Si firmano documenti che non si comprendono del tutto, si finisce per sovrapporre – senza accorgersene – la delega operativa con una sorta di trasferimento implicito del rischio. È in questo passaggio, spesso sottotraccia che la governance rischia di perdere profondità, trasformandosi in una rappresentazione ordinata, coerente, ma non necessariamente consapevole.

Leggi anche:  La direttiva NIS2 e il test delle 24 ore: andare oltre la conformità per costruire un business resiliente

«Premesso che sono molti i soggetti che stanno prendendo seriamente questa normativa e intendono coglierla come un’opportunità di miglioramento» – spiega Cicognini di CLUSIT. «Ed esclusa quella quota patologica di aziende che non rispetta alcuna regola, resta comunque concreta la possibilità che una parte dei soggetti NIS finisca per adottare una governance di facciata». Alla base di questo rischio c’è la scarsa consapevolezza da parte dei vertici aziendali della reale dipendenza dei processi dall’infrastruttura informatica e, di conseguenza, del livello di vulnerabilità in caso di incidente cyber. «La tentazione, in sostanza – conclude Cicognini – è di trasformare il tema nell’ennesima tassa, delegandolo a qualcuno disposto a firmare un contratto in cambio di un compenso adeguato, senza affrontarne davvero la portata strategica».

REGOLE E RISCHIO OPERATIVO

Una direttiva pensata per rafforzare la responsabilità del top management rischia di generare una forma più evoluta e sofisticata di deresponsabilizzazione. Non più il “non sapevamo” di un tempo, ma una narrazione più rassicurante e solo in apparenza inattaccabile: “Abbiamo un fornitore qualificato, abbiamo ottenuto le certificazioni, le policy di sicurezza sono state approvate. È tutto tracciabile, tutto formalmente conforme”. Il rischio è che la conformità documentale venga scambiata per reale presidio del rischio, trasformando un obbligo sostanziale in un esercizio prevalentemente formale. Ma la responsabilità, pur restando formalmente in capo al Board, si sposta altrove e si diluisce. Distribuita tra consulenti, provider, terze parti, che rende la governance meno incisiva proprio mentre sembra più strutturata. Il rischio che questo accada crediamo non sia né teorico, né marginale. Per certi versi inscritto in dinamiche più profonde. Che travalicano i comportamenti dei singoli e che si annidano tra struttura della direttiva e cultura organizzativa. Da un lato, la NIS2 spinge verso una maggiore formalizzazione, dall’altro le aziende, come spesso accade, tendono a concentrarsi sul rischio più immediato e tangibile, quello di non essere conformi. Così, l’attenzione si sposta verso ciò che è documentabile e verificabile. Mentre il rischio operativo, quello che si manifesta davvero quando un attacco va a segno, resta più sfuggente. «L’unica strada nel breve periodo è la vigilanza da parte dell’autorità» –  afferma Cicognini di CLUSIT.

«Potrà non piacere, ma finché non ci sarà una cultura diffusa e un’accettazione generalizzata della necessità di certe misure, l’applicazione delle sanzioni rimarrà il deterrente principale. Nel medio termine, l’inserimento sistematico di clausole di cybersecurity nei contratti finirà per trascinare verso la conformità anche gli attori più riluttanti. Ma si tratta di un processo graduale. Forse, sarà necessario persino un cambio generazionale perché la governance della sicurezza IT venga percepita come “attività pericolosa”, con tutti gli obblighi di diligenza che ne derivano. Del resto, tra l’introduzione dell’obbligo delle cinture di sicurezza e la loro piena accettazione come norma sociale – anzi come dovere – sono trascorsi quasi vent’anni».

CYBERSECURITY E BUSINESS

Esiste una linea di frattura sottile ma decisiva, che separa la governance autentica dalla governance di facciata. E passa, dalla qualità del dialogo tra cybersecurity e business. Quando resta superficiale, mediato da linguaggi che non si incontrano, il rischio è che la sicurezza venga percepita come qualcosa da affidare all’esterno. Un servizio da acquistare, più che un rischio da governare. Ma quando quel dialogo diventa maturo, quando la complessità tecnica viene tradotta in scenari comprensibili, allora cambia la prospettiva. Il consiglio di amministrazione smette di limitarsi a ratificare e inizia a interrogare, a mettere in discussione, a chiedere quali sarebbero le conseguenze economiche di un incidente, quali vulnerabilità si annidano nella catena di approvvigionamento, quanto l’organizzazione sia davvero pronta a reagire.

A quel punto cambierebbe anche la qualità delle domande. Non più il rassicurante “siamo conformi?”, ma il ben più impegnativo “siamo davvero in grado di comprendere e governare le conseguenze di un attacco? Abbiamo piena consapevolezza di ciò che accadrebbe se venissimo colpiti — sui processi, sui ricavi, sulla reputazione?”. La NIS2 nasce con un’ambizione che va ben oltre il perimetro normativo, quello di provare a cambiare una cultura. Ma le culture, per loro natura, non si trasformano per decreto. Possono essere orientate, sollecitate, persino forzate in una direzione, ma non imposte davvero. La direttiva ha il merito di aver reso la cybersecurity una materia che riguarda chi decide e non solo chi la implementa. Ma la sola obbligatorietà di una normativa non equivale alla immediata comprensione. Trasformare un obbligo normativo in consapevolezza è forse l’operazione più complessa che un’organizzazione possa affrontare. Richiede tempo, linguaggi nuovi, capacità di tradurre la tecnica in decisione. E soprattutto richiede una volontà che nessuna direttiva può imporre. Quella di voler capire davvero. In altre parole, chi vede la cybersecurity soltanto come costo e non come strumento di governance, finirà per pagare il prezzo più alto. Un prezzo che chiama in causa anche il ruolo dei MSSP.