L’avanzamento delle tecnologie e la crescente digitalizzazione hanno portato a un aumento delle interconnessioni e dei rischi condivisi, tanto da cambiare il concetto di “infrastruttura critica”. Questa iper-digitalizzazione ha reso più difficile definire ciò che è essenziale per un paese. Secondo Lucia Lucchini e Vittoria Durazzano di Deloitte, oggi è più appropriato parlare di servizi considerati essenziali non solo dai governi, ma anche dai cittadini. Inoltre, si sta passando da una difesa preventiva a una difesa “dinamica e proattiva” chiamata “resilienza”.

L’uso di strumenti digitali ha creato una forte interconnessione tra i servizi. I servizi critici non sono solo quelli che riteniamo indispensabili, ma anche quelli che “supportano e possono influenzare ciò che consideriamo essenziale per il funzionamento della società”.

Anche a livello normativo, c’è una spinta verso una visione meno rigida di ciò che è critico per il funzionamento di uno Stato. Ad esempio, il regolamento dell’UE 2022/2554, noto come Digital Operational Resilience Act (DORA), si riferisce non solo alle entità finanziarie, ma anche alle terze parti che forniscono loro servizi.

Secondo Lucchini e Durazzano, diventa importante adottare una prospettiva sulla sicurezza che si concentri sulla resilienza anziché sulla prevenzione. Gli Stati, le aziende e i cittadini dovrebbero concentrarsi non solo sui controlli per prevenire gli attacchi, ma anche su come riprendersi il prima possibile e limitare gli impatti e le conseguenze.

È fondamentale sviluppare una resilienza operativa efficace comprendendo i diversi tipi di rischio per un’entità o un intero settore.

Nonostante si stia cercando di superare il concetto di prevenzione, la previsione rimane comunque un elemento importante. È necessario promuovere una cultura che vada oltre le singole entità e che condivida informazioni tattiche e strategiche all’interno di un settore. Questo consentirebbe di avere una visione completa delle minacce e delle vulnerabilità quasi in tempo reale, migliorando la preparazione, la capacità decisionale e l’attuazione di misure correttive in caso di attacchi informatici o incidenti imprevisti.