Ogni grande incidente informatico degli ultimi anni condivide un elemento imbarazzante: la vulnerabilità era nota. Non sofisticata. Non segreta. Non scoperta da un attore statale con mezzi illimitati. Nota. Pubblica. Documentata. Patch disponibile. Eppure non corretta.
È qui che il vulnerability management smette di essere un processo tecnico e diventa un indicatore di maturità organizzativa.
La direttiva NIS2 non parla semplicemente di “fare sicurezza”. Parla di gestione del rischio, di resilienza operativa, di responsabilità del management. In altre parole, sposta il focus dal perimetro tecnico al comportamento sistemico dell’organizzazione.
Il vulnerability management, in questo contesto, non è la scansione. È il tempo.
Non è la lista delle vulnerabilità trovate. È la loro permanenza.
Molte organizzazioni possiedono scanner, dashboard, report automatici, penetration test periodici. La tecnologia è diffusa. Il dato è abbondante. Ma la vulnerabilità non si misura in quantità. Si misura in esposizione temporale.
Ogni vulnerabilità critica aperta è una finestra. E la finestra non è il CVSS. È il numero di giorni in cui quella vulnerabilità resta sfruttabile.
La NIS2 introduce implicitamente una responsabilità nuova: non basta rilevare. Bisogna dimostrare controllo continuo, proporzionalità al rischio, tempestività nella mitigazione. Il problema è che molte aziende si fermano alla rilevazione. Producono un report settimanale, lo condividono, lo discutono. Ma la discussione non chiude le porte.
La distanza tra rilevazione e remediation è il vero terreno dove si gioca la resilienza.
L’illusione del “tutto sotto controllo”
Un dashboard con 1.200 vulnerabilità aperte può non spaventare nessuno se il numero è normalizzato, se è abituale, se non viene tradotto in esposizione reale. I numeri grandi anestetizzano. L’attenzione si concentra sulle percentuali, sui grafici, sulle medie. Ma raramente qualcuno chiede: quante vulnerabilità critiche sono aperte da oltre 30 giorni? Quante superano i 60? Quante ricompaiono dopo essere state chiuse?
Il vulnerability management diventa fragile quando è trattato come un processo lineare. In realtà è un sistema dinamico in cui entrano in gioco variabili organizzative, priorità di business, backlog tecnici, dipendenze tra team.
La NIS2, a differenza di altri framework più tecnici, rende il management corresponsabile. Non si limita a prescrivere controlli. Richiede dimostrabilità.
E la dimostrabilità non è nel numero di scansioni eseguite. È nella coerenza tra criticità rilevata e tempo di risposta.
Se una vulnerabilità con CVSS 9.8 resta aperta per 45 giorni su un sistema critico, la compliance formale può esistere. La resilienza no.
Quando la vulnerabilità diventa metrica di governance
Un programma di vulnerability management maturo non si limita a classificare. Correlaziona.
Correlaziona vulnerabilità con asset critici.
Correlaziona asset con impatto di business.
Correlaziona impatto con priorità di remediation.
E soprattutto misura la deriva nel tempo.
Vediamo cosa accade quando iniziamo a osservare i numeri non come volumi ma come tempo cumulativo di esposizione.
Scenario simulato: organizzazione soggetta a NIS2
- 1.800 asset totali
- 420 asset classificati critici
- 2.350 vulnerabilità totali rilevate nell’ultimo trimestre
- 160 vulnerabilità classificate “critiche” (CVSS ≥ 9)
- 45 vulnerabilità critiche aperte oltre 30 giorni
- 18 vulnerabilità critiche aperte oltre 60 giorni
- Tempo medio di remediation per criticità: 37 giorni
A prima vista il numero 2.350 potrebbe sembrare allarmante. Ma non è quello che conta. Conta il tempo.
Esposizione temporale cumulativa
Calcoliamo l’esposizione cumulativa delle vulnerabilità critiche aperte oltre 60 giorni.
18 vulnerabilità × 60 giorni = 1.080 giorni di esposizione critica.
Se consideriamo che almeno il 70% insiste su asset classificati critici:
1.080 × 0,70 = 756 giorni di esposizione su sistemi core.
Questo è il dato che un board dovrebbe vedere.
Copertura reale del perimetro critico
Asset critici: 420
Asset effettivamente inclusi in scansione continua: 360
360 / 420 = 85,7%
Il 14,3% degli asset critici non è monitorato in modo continuo.
Un controllo documentale potrebbe considerare il processo attivo.
Un controllo operativo vede che una parte del perimetro resta cieca.
Deriva di remediation
Tempo target definito internamente: 14 giorni per criticità.
Tempo medio reale: 37 giorni.
Deviazione media = +23 giorni.
Se applichiamo un indice semplice di deviazione relativa:
37 / 14 = 2,64
La remediation avviene in media 2,6 volte più lentamente rispetto allo standard dichiarato.
Questo dato è più significativo del numero totale di vulnerabilità.
Comparazione: compliance formale vs resilienza reale
| Indicatore | Compliance formale | Resilienza operativa |
| Scansioni periodiche | Eseguite | Continue e correlate |
| Classificazione CVSS | Presente | Integrata con impatto business |
| SLA remediation | Definiti | Monitorati e automatizzati |
| Alert su ritardi | Manuali | Automatici con escalation |
| Reporting | Statico | Trend + deviazione + esposizione cumulativa |
L’indice di esposizione NIS2
Possiamo sintetizzare la maturità di vulnerability management con una relazione semplificata:
Indice esposizione ≈ (Vulnerabilità critiche aperte × Tempo medio di remediation × Peso asset critici) / Copertura monitoraggio
Applicando i dati simulati:
(45 × 37 × 0,70) / 0,857
= (1.165,5) / 0,857
≈ 1.360 unità di esposizione relativa
Il valore assoluto non è il punto. È il trend.
Se il trimestre successivo scende a 900, il sistema migliora.
Se sale a 1.800, la resilienza sta degradando.
Questo è ciò che NIS2 implicitamente chiede: la capacità di dimostrare governo dinamico del rischio, non semplice presenza di strumenti.
La vulnerabilità non è il bug. È il tempo che impieghiamo a correggerlo.
NIS2 non è un esercizio tecnico. È un test di maturità manageriale.
Le aziende che trattano il vulnerability management come report sopravvivono agli audit.
Le aziende che trattano il tempo di esposizione come metrica strategica sopravvivono agli attacchi.
La differenza non è nello scanner. È nel cronometro.
📘 Approfondisci il metodo completo nel libro:
🇮🇹 https://www.amazon.it/dp/B0GJCYHP76
🇫🇷 https://www.amazon.fr/dp/B0GJD7T6XG