Segmentazione obbligatoria, fallimento quasi certo: chi firma il piano?

Il 94% delle organizzazioni non riesce a segmentare le reti IT/OT. Ora la segmentazione è un obbligo di legge con scadenza e un nome sul registro di conformità.

La legge che nessun prodotto può risolvere

Il dato è netto: il 94% delle organizzazioni fallisce nella segmentazione di rete. Non in un esercizio teorico, ma nel tentativo concreto di separare ambienti IT e OT in modo operativo e verificabile. Fino a ieri questo era un problema tecnico, gestibile nei tempi del budget e della maturità organizzativa. Oggi non più. I regolatori hanno iniziato a chiudere decenni di conformità volontaria nel settore marittimo e delle infrastrutture critiche, imponendo la segmentazione come obbligo con deadline, negli Stati Uniti entro il 2027. Ogni entità coinvolta deve nominare un Cybersecurity Officer dedicato, sviluppare un piano di sicurezza approvato dal vertice, segmentare le reti e attivare l'incident reporting. Come ha osservato Elan Alvey, tra i maggiori esperti di sicurezza industriale, questo ruolo non va confuso con il tradizionale responsabile della sicurezza informatica: è una figura regolamentare, con responsabilità diretta su compliance e segnalazione degli incidenti. E non esiste un prodotto, una "scatola", che risolva il problema con un acquisto.

Quando il rischio tecnico diventa rischio di continuità

La segmentazione IT/OT non è un esercizio di architettura. È il punto in cui un'intrusione digitale si trasforma in un blocco fisico. Lo ha dimostrato NotPetya quando ha paralizzato le operazioni di una delle più grandi compagnie di trasporto marittimo al mondo, propagandosi dall'IT all'OT senza incontrare barriere. Il costo non fu una violazione di dati: fu l'arresto delle operazioni portuali, la perdita di visibilità su navi e container, la disruption della supply chain globale. Completare la segmentazione richiede un inventario completo degli asset, la mappatura dei flussi di comunicazione legittimi tra ambienti, il ridisegno architetturale di reti spesso cresciute in modo organico per decenni. Nessuno di questi passaggi è automatizzabile. Il board è direttamente coinvolto: il piano richiede approvazione al vertice, il Cybersecurity Officer ha accountability regolamentare personale, e la catena di fornitura rientra nel perimetro degli obblighi. Non si tratta più di un rischio delegabile alla funzione tecnica. È un rischio di continuità operativa con responsabilità gestionale esplicita.

Compliance senza soluzione: la frizione che nessuno vuole affrontare

Ecco il nodo che i consigli di amministrazione dovranno sciogliere. Il regolatore impone un obbligo, segmentazione IT/OT entro 18 mesi, per cui non esiste un approccio standard, non esiste una soluzione unica e il tasso di fallimento storico è quasi totale. Il Cybersecurity Officer eredita una responsabilità regolamentare pesante su un perimetro che il responsabile della sicurezza informatica tradizionale non ha mai governato per intero. L'IT e l'OT sono stati storicamente due mondi separati, con culture, fornitori e metriche diverse. Riunirli sotto un'unica accountability è un atto di governance, non di tecnologia. Trey Ford, figura di riferimento nella strategia di sicurezza, lo sintetizza con una formula che ogni dirigente dovrebbe interiorizzare: essere conformi non significa essere sicuri. La compliance chiude i gap più visibili, quelli che un auditor può verificare. Ma il rischio reale, la capacità di un attaccante di muoversi lateralmente tra ambienti, resta un traguardo mobile che nessun checkbox può catturare.

NIS2 e la convergenza regolatoria europea

Chi pensa che questo schema riguardi solo il mondo marittimo americano commette un errore di prospettiva. La Direttiva NIS2 (2022/2555) include il trasporto marittimo tra i soggetti essenziali nell'Allegato I e impone un pacchetto di obblighi strutturalmente sovrapponibile: designazione di un responsabile della sicurezza, misure di gestione del rischio che includono la segmentazione (art. 21), incident reporting obbligatorio, estensione alla supply chain e, il punto che cambia tutto, responsabilità diretta degli organi di gestione ai sensi dell'art. 20. Non si tratta di un'equivalenza giuridica, ma di una convergenza strutturale. Su entrambe le sponde dell'Atlantico, i regolatori stanno chiudendo la stessa era: quella in cui la sicurezza delle infrastrutture critiche era affidata alla buona volontà. Amer Akhter, tra le voci più autorevoli nella gestione dei prodotti di sicurezza di rete, conferma la traiettoria: questo modello si estenderà a ogni settore regolamentato. La domanda non è se, ma quando il vostro settore sarà il prossimo.

Il nome sul piano

La tensione è tutta qui. Se il 94% delle organizzazioni fallisce nella segmentazione in condizioni normali, senza vincoli di tempo, senza auditor alla porta, senza conseguenze personali, cosa accade quando la segmentazione diventa un obbligo di legge con una scadenza precisa? E soprattutto: cosa accade quando il vostro nome è sul piano di conformità? Il framework regolatorio non vi chiede di essere invulnerabili. Vi chiede di dimostrare che avete compreso il rischio, mappato il perimetro, separato gli ambienti e predisposto la capacità di rilevare e segnalare un incidente. Assume che verrete compromessi. La domanda che pone non è se riuscirete a impedirlo, ma se lo saprete prima che l'attaccante agisca. Nessun prodotto risponde a questa domanda. Nessun fornitore può firmare al posto vostro.

Il regolatore ha smesso di chiedere. Ha iniziato a pretendere. Ma la distanza tra l'obbligo e la capacità reale di adempierlo resta un vuoto che nessuna scadenza, da sola, può colmare.