Daniele Volpi spiega come Pentaqo affianca le aziende nel percorso di compliance alla normativa NIS2 con Logiquo, uno strumento di assessment che coinvolge direttamente le risorse interne e produce un remediation plan operativo.
Autore: Redazione SecurityOpenLab
La NIS2 non è una checklist da spuntare e archiviare. È un sistema di gestione della sicurezza che deve evolversi con l'organizzazione, adattarsi al contesto in cui opera e rappresentare in ogni momento una fotografia realistica del rischio. È con questa premessa che Daniele Volpi, Pre-sales Governance, Risk and Compliance di Pentaqo, apre l'intervista al Security Summit Milano 2026, presentando un'azienda nata nel periodo post pandemico, che ha trovato la sua identità nella consulenza come core business.
Pentaqo è una società di consulenza certificata ISO 27001, ISO 9001 e ISO 27701, che ha tra i suoi partner Net Studio, realtà del Gruppo Indra specializzata in cybersecurity e digital identity. Il suo core business si articola su due binari: l'affiancamento ai clienti nei framework volontari come quelli appena citati e il disegno della compliance rispetto alle normative obbligatorie, prima fra tutte la NIS2.
Volpi è esplicito sulla differenza concettuale che separa un approccio maturo alla NIS2 da uno superficiale: “non devo gestire la mia sicurezza come una checklist dove mi limito a fare la spunta. Devo gestire la sicurezza attraverso un sistema che muta con la mia organizzazione, con il contesto in cui è inserita e riesce ad adattarsi, in modo da rappresentare sempre un rischio il più possibile attuale”. Il passo successivo è la prioritizzazione: identificare gli interventi più urgenti sia sul piano operativo che su quello del budget, “che è sempre l'argomento un po' più spinoso”.
La direttiva introduce anche un obbligo di formazione diretto per i vertici aziendali, che non possono più limitarsi a trasmettere gli obblighi, ma devono “prendere parte in prima persona alla cultura di sicurezza che la direttiva richiama”. È un cambiamento di paradigma significativo, perché la sicurezza delle informazioni diventa una responsabilità del board, non più solo dell'IT.
Il prodotto tecnologico con cui Pentaqo opera si chiama Logiquo, ed è progettato per risolvere uno dei problemi operativi più comuni nei percorsi di compliance: la centralizzazione delle informazioni su una sola figura, tipicamente il CISO, che diventa collo di bottiglia nell'intero processo di assessment. Logiquo identifica direttamente le figure operative responsabili di ciascun dominio di sicurezza e le coinvolge in modo mirato.
L'esempio che Volpi porta riguarda uno dei temi più urgenti della NIS2 in questa fase, cioè la gestione degli incidenti e la loro notifica. “Queste funzioni sono spesso demandate a un incident manager che, etichettato come tale o con altra funzione, sostanzialmente gestisce le operazioni di notifica”. Logiquo censisce questa figura, la associa alla sua funzione aziendale e le invia direttamente i punti di controllo relativi all'incident management. Il CISO assume quindi il ruolo di campaign manager: mantiene una visione di alto livello sull'andamento della campagna, vede in tempo reale quante persone hanno risposto e qual è la percentuale di controlli gestita, senza diventare intermediario di ogni singola interazione.
Il risultato delle campagne di assessment è la postura di sicurezza dell'organizzazione, che Logiquo traduce in un remediation plan: “il percorso da seguire per concretizzare la compliance ha una duplice natura: tecnica, con interventi strutturali su hardware e infrastruttura, e di governance, con processi, documentazione e struttura organizzativa”, che diventano “una parte fondamentale e non sostituibile della compliance” e proprio per questo costituiscono il cuore dell'attività consulenziale di Pentaqo.
Infine, è importante notare che Logiquo non opera in isolamento. La piattaforma consente di inserire ticket per la gestione delle vulnerabilità, integra gli alert relativi alle vulnerabilità rilevate e comunica i report verso il SIEM in uso, permettendo di avere tutto sotto controllo in un'unica vista. “Si può integrare praticamente con tutto attraverso le API”, sintetizza Volpi, indicando un'architettura aperta pensata per adattarsi agli ambienti tecnologici già in uso dai clienti.