Alcune organizzazioni stanno affrontando le deliberazioni di ACN come un esercizio di produzione documentale. Cercano modelli, piani, scadenze, senza comprendere che la resilienza non nasce dalla carta, ma dalla conoscenza concreta della propria struttura operativa.

L’elenco dei fornitori critici, da qualcuno percepito come un adempimento amministrativo, è in realtà la prima radiografia della vulnerabilità di un’organizzazione.

Da quella mappa dipende la capacità di costruire un disaster recovery realistico e una business continuity credibile.

Questo secondo capitolo, di un’eptalogia dedicata alla sequenza degli adempimenti per costruire la resilienza richiesta dalla NIS 2, con focus sul legame tra fornitori, piano di BC e DS – spiega perché la resilienza autentica nasce solo quando si parte dalla realtà e non dai documenti.

Il grande equivoco della resilienza “di carta”

Negli ultimi mesi alcune organizzazioni hanno reagito alle deliberazioni di ACN cercando modelli, template, checklist. Hanno iniziato a scrivere piani prima ancora di capire cosa quei piani dovessero rappresentare.

È un riflesso condizionato che deriva da anni di compliance vissuta come produzione di documenti: più policy, più procedure, più registri.

Eppure una crisi reale non legge le procedure, non si ferma davanti a un organigramma ben impaginato né rispetta un template di business continuity.

La resilienza, quindi, non deriva dalla forma ma dalla sostanza e la sostanza è la conoscenza della propria realtà operativa.

La domanda fondamentale: da chi dipendiamo davvero

Ogni organizzazione vive immersa in una rete di dipendenze molto più ampia di quanto percepisca. Finché tutto funziona, questa rete rimane invisibile.

Poi arriva un incidente di sicurezza ed emerge la verità. Ci si accorge così che:

• un fornitore SaaS regge un processo essenziale;
• una connessione garantisce la produzione;
• un cloud provider diventa insostituibile;
• competenze critiche sono concentrate in poche persone.

In quel momento, si comprende quanto sia fragile l’idea di autonomia operativa. Ed è per questo che l’elenco dei fornitori critici non è un adempimento amministrativo: è la prima mappa della sopravvivenza dell’organizzazione.

La fungibilità come punto di verità della continuità operativa

Molte organizzazioni classificano i fornitori come fungibili semplicemente perché sul mercato esistono alternative teoriche, bisogna però considerare che la fungibilità non è un concetto astratto: ma la capacità effettiva di sostituire un servizio entro tempi compatibili con la continuità operativa.

Alcuni esempi:

• un software può avere concorrenti e non essere sostituibile nei tempi richiesti;
• il cloud provider può essere migrabile solo nell’arco di mesi;
• un outsourcer può detenere conoscenze non documentate;
• una piattaforma SaaS può essere replicabile tecnicamente ma non operativamente.

La domanda da porsi quindi non è “esistono alternative?”, ma “possiamo davvero sostituire questo fornitore senza compromettere la continuità?”. Questa è la domanda che rivela la vulnerabilità nascosta.

La dipendenza invisibile e la nuova geografia del rischio

Esiste una forma di fragilità particolarmente insidiosa: la dipendenza che non si vede più. Accade quando un servizio esterno diventa così integrato da sembrare parte naturale dell’organizzazione.

In quel momento il confine tra interno ed esterno si dissolve e proprio quando la dipendenza diventa invisibile, diventa anche più pericolosa. Perché nessuno si chiede più:

• se sia sostituibile;
• quali competenze interne rimarrebbero;
• quali vincoli contrattuali esistono;
• e quali tempi di uscita sarebbero necessari.

Ecco il motivo per cui la supply chain va vista come una delle principali strutture della vulnerabilità organizzativa, come riconosciuto da GDPR, NIS2 e DORA.

Perché tutto parte dai fornitori: la logica della sequenza per applicare le indicazioni dell’ACN

Non si può progettare un Disaster Recovery senza sapere da chi dipendono i servizi. Ogni parametro di recovery – tempi, priorità, sequenze, alternative – nasce dalle dipendenze operative.

Ignorare questa realtà porta a costruire piani teorici, basati su ipotesi irrealistiche, mentre comprendere le dipendenze agevola la predisposizione di piani che funzionano.

Per questo motivo, la sequenza metodologica corretta parte dall’elenco dei fornitori critici passa dal ripristino tecnologico e arriva solo alla fine alla continuità operativa complessiva.

Il Business Continuity Plan è il livello più alto della resilienza: riguarda decisioni, persone, priorità, comunicazioni, capacità di operare in modalità degradata.

Non può nascere nel vuoto. Deve poggiare su una base solida.

L’elenco dei fornitori critici è il primo esercizio di verità

La resilienza autentica non deriva dalla speranza che tutto continui a funzionare, ma dalla capacità di comprendere cosa accadrebbe se qualcosa smettesse improvvisamente di funzionare.

L’elenco dei fornitori critici è il primo esercizio di verità, perché mostra da chi dipende l’organizzazione, quali vulnerabilità esistono, quali servizi sono sostituibili e quali rappresentano punti di fragilità sistemica.

Solo dopo aver acquisito questa consapevolezza è possibile costruire un Disaster Recovery realistico e una Business Continuity credibile.

Quindi, prima conoscere, poi comprendere, poi organizzare e poi testare. Solo alla fine documentare.

Questo è il percorso che costruisce resilienza autentica.

Nel prossimo capitolo, esamineremo il vero significato del Disaster Recovery e comprenderemo perché ilripristino tecnologico rappresenta oggiuno dei principali punti di verità della resilienza organizzativa.