Appurato che il rischio cyber è di fatto un rischio di business diretto, capace di bloccare produzioni, interrompere servizi e richiedere interventi straordinari per evitare effetti a catena su interi ecosistemi produttivi, il backup si prefigura oggi come requisito operativo e normativo. La direttiva NIS2, ormai in avanzata fase di applicazione e verifica, impone alle organizzazioni soggette l'adozione di misure tecniche e organizzative adeguate alla gestione dei rischi, tra cui la continuità operativa, il ripristino dei sistemi e la gestione delle crisi. Per la precisione, il quadro normativo di riferimento dedica specificatamente uno dei suoi dieci ambiti di misura obbligatorie proprio alla continuità operativa, articolandola in tre elementi distinti: la gestione dei backup, il ripristino in caso di disastro e la gestione delle crisi.

Non si tratta di un riferimento generico alla sicurezza informatica: il decreto chiede che per i sistemi informativi e di rete rilevanti siano definiti, attuati, aggiornati e documentati sia un piano di continuità operativa che un piano di disaster recovery, con indicazione esplicita delle risorse necessarie, backup e ridondanze inclusi. Peraltro, l’integrazione con i criteri operativi precisa ulteriormente le condizioni che rendono un incidente significativo (tra cui gravi perturbazioni operative e perdite finanziarie dirette superiori a 500.000 euro) alzando l'asticella di ciò che le organizzazioni devono essere in grado di prevenire e documentare. Quanto alla compliance formale, un piano non testato è considerato inadeguato, motivo per il quale i registri dei test di ripristino devono essere puntualmente compilati e custoditi, a disposizione di ACN che potrebbe richiederne la verifica, e in caso di irregolarità applicare sanzioni significative.

Il problema è che tra l'obbligo normativo e la resilienza operativa reale il divario rimane ampio e le sue radici sono più profonde di quanto non appaia a prima vista. La lacuna più comune, infatti, riguarda proprio l’inefficacia delle copie nel momento del bisogno. Molte aziende hanno migliorato le proprie strategie di protezione del dato, adottando immutabilità e isolamento, ma questo risolve solo una parte del problema. Ciò che manca è la certezza che i backup siano effettivamente ripristinabili in condizioni di attacco reale, non in scenari di test controllati dove la connettività è integra e l'infrastruttura funziona normalmente. Gli incidenti raramente si verificano in condizioni ideali: il ripristino deve funzionare con visibilità parziale, sistemi parzialmente compromessi, pressione operativa e decisionale elevatissima.

Una seconda lacuna strutturale riguarda la visibilità e la raggiungibilità delle copie. Troppe aziende conservano ancora backup accessibili direttamente dall'ambiente di produzione, su reti prive di segmentazione logica o fisica. In uno scenario ransomware moderno, dove gli attaccanti tendono a colpire le copie di sicurezza prima ancora di cifrare i sistemi primari per massimizzare il potere di ricatto, questa configurazione equivale a non avere backup. L'adozione della regola 3-2-1-1-0 (tre copie dei dati, su due supporti diversi, con una copia offsite, una immutabile e zero errori nei test di ripristino) resta ancora parziale, in particolare nelle PMI dove i vincoli di budget spingono verso soluzioni open source potenti ma che richiedono competenze avanzate per essere gestite correttamente.

C'è poi una ulteriore dimensione del problema: la frammentazione organizzativa. Protezione del dato, sicurezza e procedure operative sono ancora gestite in compartimenti stagni in molte realtà. Il risultato è un rilevamento più lento, ritardi nel processo decisionale e procedure di ripristino non allineate all'effettivo evolversi dell'attacco. Quando l'incidente è in corso, il fallimento spesso non dipende dal backup in sé ma da tutto ciò che lo circonda: compromissione delle identità non rilevata in tempo, mancanza di visibilità sui movimenti laterali, incapacità di contenere l'intrusione prima che raggiunga i sistemi di recovery. La resilienza, in questo senso, non è una funzione del backup ma dell'integrazione tra prevenzione, rilevamento, contenimento e ripristino: tutti e quattro i livelli devono funzionare in modo coordinato affinché il recovery abbia esito positivo.

A queste difficoltà si aggiunge il fatto che le PMI in Italia rappresentano la quota maggioritaria delle aziende soggette alla NIS2, ma sono al contempo quelle con minori risorse da destinare alla protezione, e si trovano a dover adottare architetture di resilienza sofisticate senza disporre di team interni adeguatamente strutturati. Si sta consumando quindi una sfida organizzativa e di competenza, in cui il ruolo del partner diventa determinante, nella misura in cui quest’ultimo abbandona il vecchio modello della fornitura di storage o software e si riqualifica come esperto di progettazione di strategie end-to-end che coprano l'intero ciclo, dalla valutazione del rischio alla risposta all'incidente, fino al ripristino operativo in condizioni controllate e documentate.

Le soluzioni e i trend presentati in questo Speciale da Acronis, QNAP, Ready Informatica con OpenText Cybersecurity e Synology offrono una mappa concreta degli approcci disponibili: backup immutabile e air gap, orchestrazione del recovery, protezione degli ambienti SaaS, gestione centralizzata e alta disponibilità. Tecnologie mature che, integrate in una strategia coerente e supportate da partner certificati, permettono di trasformare un obbligo normativo in una capacità operativa misurabile.