Lo scorso maggio 2025 il BCI – Business Continuity Institute ha rilasciato il “Operational Resilience Report 2025”, sponsorizzato da Riskonnect, leader di mercato nel settore delle piattaforme di resilienza.

Il rapporto 2025 evidenzia il crescente slancio globale a supporto della resilienza operativa. Di fatto, i risultati del sondaggio indicano un costante aumento del numero di organizzazioni che sviluppano e mantengono programmi di resilienza, spinti anche dai requisiti di compliance di quadri normativi quali: il Digital Operational Resilience Act (DORA) dell’UE e i requisiti FCA/PRA/Bank of England del Regno Unito. Di seguito alcuni dati interessanti contenuti nel report.

BCI – “Operational Resilience Report 2025”

Secondo quanto si evince dal report, il 70,9% delle organizzazioni intervistate ha un programma o un progetto di resilienza operativa. Un ulteriore 9,7% è in procinto di svilupparne uno. Inoltre, la crescita è evidente tra le organizzazioni attualmente non soggette a regolamentazione, sottolineando il crescente riconoscimento della resilienza operativa come priorità organizzativa.

Sebbene, la regolamentazione e la pressione dei competitor sembrano essere fattori determinanti per accettazione dei benefici della resilienza operativa, il report evidenzia che lo sviluppo di un programma di resilienza operativa scaturisce da cinque motivi principali, precisamente:

• 65,4% – Implementazione di good practices
• 64,0% – Requisiti normativi
• 36,5% Fabbisogno operazioni industriali
• 31,3% – Benefici commerciali e/o per soddisfare i clienti
• 26,7% – Adeguamenti alle normative che entreranno in vigore

Chi è responsabile della resilienza operativa?

Il report del BCI rivela che, a livello strategico, la C-suite assume un ruolo guida in materia di resilienza operativa e, in particolare, evidenzia che i primi tre ruoli con responsabilità generale per la resilienza operativa risultano essere:

• 21,5% – Amministratore Delegato
• 21,5% – Direttore Operativo
• 11,8% – Direttore Esecutivo

Purtroppo, a livello operativo, poche organizzazioni (12,9%) dispongono di un Operational Resilience Manager dedicato, ed è più comune che la resilienza operativa sia implementata da un Business Continuity Manager (19,7%). Mentre, nel 17,4% delle organizzazioni la responsabilità è detenuta dal Responsabile della Resilienza.

Sfide nell’implementazione della resilienza operativa

Il rapporto del BCI evidenzia le cinque principali sfide legate all’implementazione della resilienza operativa, ovvero:

• Numero di personale non adeguato, oppure, il tempo insufficiente a disposizione per attuare una politica realistica (48,5%)
• Difficoltà nell’integrare la resilienza operativa nell’organizzazione (46,9%)
• Fornitori terzi critici che fanno fatica a dimostrare la conformità alle normative (45,1%)
• Difficoltà nel comprendere, monitorare e gestire i rischi relativi alla catena di approvvigionamento: (40,4%)
• Incapacità ad affrontare le problematiche di legacy dell’infrastruttura (40,1%)

È interessante evidenziare che l’annosa questione della definizione di resilienza operativa persiste e il report rivela che una parte significativa delle organizzazioni (40,0%) considera la resilienza operativa e la resilienza organizzativa come separate.

Le organizzazioni che hanno contribuito al report sottolineano come la resilienza operativa comprende molteplici domini critici, tra cui la gestione del rischio, la continuità aziendale, l’IT e la cybersecurity. Tuttavia, sebbene questi elementi siano riconosciuti, ci sono sfide nel raggiungere la piena integrazione e collaborazione tra queste diverse funzioni. Di fatto, molte organizzazioni hanno ancora difficoltà con approcci a silos, in cui le varie funzioni di rischio e resilienza operano in modo indipendente piuttosto che in modo coordinato.

Inoltre, dal report si evince che la funzione di gestione del rischio, della continuità operativa e della resilienza, in altre organizzazioni, riportano tutte a un direttore del rischio e della resilienza, ma senza un quadro generale strutturato. Tuttavia, è doveroso evidenziare che, nonostante le sfide di cui sopra, si stanno compiendo progressi verso una maggiore collaborazione.

Ancora, alcune organizzazioni stanno lavorando a stretto contatto con i loro team di sicurezza informatica per sviluppare e implementare esercizi di continuità aziendale, comprese le simulazioni di attacchi informatici per i loro Consigli di amministrazione.

Interessante notare come un numero crescente di organizzazioni stiano allineando la resilienza operativa con quadri di governance del rischio più ampi, integrando i controlli di resilienza operativa nella gestione del rischio, oltre a adottare metodologie complete per l’analisi degli scenari, il monitoraggio degli eventi e la valutazione dei rischi.

Conclusioni

La resilienza operativa rappresenta una disciplina in evoluzione, ancora priva di una definizione univoca ma sempre più riconosciuta come elemento chiave per affrontare i rischi sistemici e le interdipendenze tra organizzazioni. Nonostante le incertezze terminologiche e la complessità regolatoria – come nel caso del DORA – emerge la necessità di andare oltre i tradizionali approcci alla business continuity, sviluppando competenze multidisciplinari, capacità di lettura strategica e una maggiore collaborazione tra funzioni. Solo attraverso una visione integrata, proattiva e adattiva sarà possibile costruire una resilienza non solo organizzativa, ma anche di sistema, in grado di rispondere efficacemente alle sfide di un contesto sempre più interconnesso e regolamentato.

Cybsec-news.it vi invita alla terza edizione della CYBSEC-EXPO, in programma a Piacenza dal 9 all’11 Giugno 2026.