Negli ultimi anni il cyber risk è passato da rischio tecnologico a rischio strategico d’impresa.

L’entrata in vigore di DORA e NIS2 segna un cambio di paradigma a livello aziendale: la sicurezza informatica rafforzata dai due regolamenti europei non è più soltanto una questione IT, ma una componente centrale della governance aziendale e della continuità operativa.

Tuttavia, la nuova stagione regolatoria non è garanzia assoluta rispetto al cyber risk. Di fatto essere compliant non significa automaticamente essere protetti, né dagli attacchi né sul piano assicurativo.

Lo scenario cyber

I dati dimostrano come le minacce cyber continuino a dilagare.

In particolare, secondo l’Agenzia dell’Unione Europea per la Cybersecurity (ENISA), il ransomware resta uno degli attacchi più impattanti per le organizzazioni europee, mentre phishing, sfruttamento delle vulnerabilità e attacchi DDoS continuano a crescere.

Nel report ENISA Threat Landscape 2025 sono stati analizzati ben 4.875 incidenti cyber in Europa in un solo anno, con il 76,7% degli episodi legati ad attacchi DDoS e un forte incremento delle attività hacktiviste e dei rischi sulla supply chain digitale.

Anche l’Italia registra un’elevata esposizione a queste minacce. I dati dell’Associazione Italiana per la Sicurezza Informatica (Clusit) evidenziano infatti una crescita costante degli attacchi cyber gravi.

Il nostro Paese rappresenta ben circa il 10% degli incidenti globali censiti, con un aumento registrato del 42% rispetto al 2024. In particolare, la maggioranza degli incidenti italiani si riferisce alla categoria Cybercrime, con una percentuale pari a circa il 61%.

Cyber risk: tra DORA, NIS2 e clausole assicurative cresce il divario tra aziende conformi e quelle protette

In questo scenario l’introduzione di DORA e NIS2 rappresenta una svolta significativa.

La prima direttiva impone al settore finanziario europeo nuovi obblighi sulla resilienza operativa digitale: governance dei rischi ICT, test periodici, gestione degli incidenti, monitoraggio continuo dei fornitori tecnologici e responsabilità dirette del management.

La seconda, invece, amplia enormemente il perimetro delle organizzazioni coinvolte rispetto alla precedente direttiva NIS, includendo settori essenziali e importanti come energia, trasporti, manifattura, sanità, digitale, alimentare e pubblica amministrazione.

L’obiettivo europeo è chiaro: alzare il livello minimo di sicurezza e ridurre la vulnerabilità sistemica delle filiere digitali.

Tuttavia la compliance normativa non può più considerarsi una garanzia di copertura, bensì un’infrastruttura resiliente e quindi un prerequisito minimo di accesso al mercato, compreso quello assicurativo.

Il disallineamento tra requisiti normativi e condizioni assicurative

Sempre più compagnie cyber richiedono infatti il rispetto di standard avanzati per concedere o rinnovare una polizza: autenticazione multifattore, segmentazione delle reti, backup isolati, vulnerability management, procedure di incident response e controllo della supply chain.

Ciononostante, anche in presenza di piena compliance normativa, gli assicuratori possono limitare o escludere specifici eventi sulla base delle condizioni contrattuali o della valutazione tecnica del rischio.

Negli ultimi anni il mercato cyber insurance ha infatti ridotto i parametri dei criteri di underwriting.

L’aumento dei ransomware e di sinistri in tale ambito ha spinto molte compagnie a introdurre clausole più restrittive, franchigie elevate, limiti sui danni indiretti ed esclusioni relative a eventi sistemici, supply chain attack o atti di cyber warfare.

Il risultato è un crescente disallineamento tra requisiti normativi e condizioni assicurative.

Cyber risk, la compliance non basta: gap tra requisiti normativi e clausole assicurative

Un’azienda può essere formalmente conforme a DORA o NIS2, ma non avere una copertura realmente adeguata nel momento di un incidente.

La compliance restituisce un’istantanea del rispetto degli obblighi regolatori. Invece l’assicurazione valuta la probabilità concreta e dinamica che un evento produca un danno economico rilevante.

Questo cambiamento è evidente anche nelle modalità di valutazione del rischio. Le compagnie non si limitano più a verificare checklist o audit statici.

Oggi il rischio cyber viene monitorato in modo continuo attraverso vulnerability scan, threat intelligence e assessment periodici.

La valutazione diventa dinamica, perché il profilo di rischio di un’impresa cambia costantemente con nuovi fornitori, nuove vulnerabilità e nuovi modelli di attacco.

Il monitoraggio non è ancora uniformemente diffuso

Secondo ENISA, quasi un’organizzazione europea su tre non ha effettuato alcuna valutazione di cyber security negli ultimi 12 mesi, mentre il 28% impiega oltre tre mesi per correggere vulnerabilità critiche.

Inoltre, il 76% delle organizzazioni dichiara difficoltà nell’attrarre professionisti cyber security qualificati e il 71% fatica a trattenerli.

Questi elementi incidono direttamente anche sulla capacità delle imprese di ottenere coperture assicurative sostenibili.

Per le imprese cambia quindi il perimetro stesso del rischio. La cyber security non può più essere gestita come un semplice adempimento normativo affidato all’IT o alla funzione compliance; serve un approccio integrato che unisca governance, risk management, resilienza operativa e trasferimento assicurativo del rischio.

La compliance è necessaria, ma non sufficiente. Diventa la base minima da cui partire per costruire una strategia di resilienza più ampia.

CIO, CISO, risk manager e broker
assicurativo devono coordinarsi

Per questo motivo, diventa fondamentale il coordinamento tra CIO, CISO, risk manager e broker assicurativo.

Molte aziende scoprono troppo tardi che esiste un gap tra ciò che la normativa richiede e ciò che la polizza realmente copre, incorrendo in coperture economiche inadeguate, spesso proprio nel momento del sinistro.

In questo scenario, anche il ruolo degli intermediari assicurativi è destinato a evolvere profondamente. Broker e consulenti non possono più limitarsi a proporre coperture standard, ma devono aiutare imprese e professionisti a leggere il disallineamento tra compliance normativa e protezione effettiva, costruendo strategie aderenti al profilo di rischio reale dell’organizzazione.

La figura dell’intermediario nell’era di DORA e NIS2

Questo significa supportare le aziende nella valutazione delle vulnerabilità residue, nell’analisi delle esclusioni contrattuali, nella definizione dei massimali adeguati e nell’integrazione tra prevenzione, incident response e trasferimento del rischio.

In un contesto in cui gli attacchi diventano più sofisticati e interconnessi, la figura dell’intermediario assume un ruolo sempre più consulenziale e strategico.

DORA e NIS2 rappresentano quindi un passaggio fondamentale per rafforzare la resilienza digitale europea, ma non eliminano il cyber risk.

Al contrario, lo rendono più evidente, più misurabile e più strettamente collegato alla sostenibilità economica delle imprese.

In questo scenario, la compliance rappresenta solo un traguardo intermedio, verso un orizzonte di rischio sempre più complesso e stratificato.