In un'intervista del giugno 2026 concessa alla testata tecnologica francese Clubic, il direttore generale dell'ANSSI, Vincent Strubel, ha descritto un'agenda di governance cibernetica che colpisce meno per un singolo punto in essa che per quanti punti impegnativi vi convivano contemporaneamente (Belfiore 2026). Nella stessa conversazione ha affrontato il futuro della crittografia e dell'accesso legale, la qualificazione dei fornitori di cloud, una migrazione post-quantistica che si estende per anni fino al prossimo decennio, un organismo di coordinamento di nuova creazione per la governance digitale e una direttiva che moltiplicherà la popolazione delle entità regolamentate di un fattore venti o più. Letta con attenzione, l'intervista è meno un rapporto sullo stato delle cose che il ritratto di una posizione difficile tenuta con compostezza, e indica qualcosa di strutturale riguardo alla difesa cibernetica che vale la pena enunciare con chiarezza. L'applicazione delle regole e la remediation, per loro natura, agiscono a posteriori. Possono plasmare ciò che accade dopo, ma non possono annullare l'incidente che le ha provocate. Questa sola osservazione riformula l'intera questione di come una popolazione regolamentata molto più vasta verrà effettivamente difesa, e suggerisce che la risposta utile della capacità privata non è attendere di essere ingaggiata, bensì costruire capacità in anticipo rispetto al bisogno, verso un obiettivo che tutti nel settore già condividono.
Il panorama normativo, e chi detiene realmente ciascun mandato
La governance cibernetica francese e dell'Unione europea abbraccia ormai quattro strumenti giuridici che si sovrappongono e, cosa importante, nessuna autorità singola detiene tutti e quattro. La LPM (loi de programmation militaire) e NIS 2 (la seconda direttiva sulla sicurezza delle reti e dei sistemi informativi) rientrano nel mandato diretto proprio dell'ANSSI. La vigilanza su DORA (Digital Operational Resilience Act) in Francia spetta all'ACPR (Autorité de Contrôle Prudentiel et de Résolution) per banche e assicuratori e all'AMF (Autorité des Marchés Financiers) per gestori patrimoniali e infrastrutture di mercato (Autorité de Contrôle Prudentiel et de Résolution 2026; Autorité des Marchés Financiers 2026). La vigilanza del mercato ai sensi del CRA (Cyber Resilience Act) spetta all'ANFR (Agence Nationale des Fréquences), con l'ANSSI che agisce solo come autorità notificante responsabile dell'accreditamento degli organismi di valutazione della conformità, un ruolo distinto dalla vigilanza del mercato stessa (ANFR 2026; ANSSI 2026a). Come base operativa per la conformità a NIS 2, l'ANSSI ha pubblicato il ReCyF (Référentiel Cyber France, versione 2.5) il 17 marzo 2026, fissando venti obiettivi di sicurezza obbligatori (Ledieu-Avocats 2026).
Questa mappatura conta per una ragione pratica e una di equità. Sul piano pratico, un lettore che si muove tra quattro quadri normativi deve sapere a quale autorità rivolgersi per quale questione. Sul piano dell'equità, essa stabilisce che l'ANSSI coordina una postura nazionale attraverso regimi che non controlla individualmente, il che è parte di ciò che rende la sua posizione difficile anziché carente.
La forma di un mandato arduo e su più fronti
Il modo più accurato di leggere l'intervista a Strubel è come una descrizione di concorrenza. Diversi programmi impegnativi sono in corso nello stesso momento, ciascuno con il proprio orologio. La questione della crittografia e dell'accesso legale è una che Strubel stesso definisce in ultima analisi politica anziché tecnica, il che colloca la sua risoluzione fuori dal controllo ingegneristico di qualsiasi agenzia e dentro il meccanismo più lento della legislazione e del dibattito pubblico (Belfiore 2026). La migrazione post-quantistica è una transizione crittografica pluriennale che tocca ogni organizzazione che detiene dati riservati a lunga durata. La creazione di un nuovo organismo di coordinamento segnala un tentativo di consolidare la governance digitale anziché lasciarla frammentare ulteriormente. E sotto tutto ciò scorre l'ampliamento del perimetro di NIS 2, che Strubel colloca come un passaggio da circa 500 entità regolamentate a una stima di 10.000-15.000 (Belfiore 2026).
Uno solo di questi sarebbe di per sé un programma sostanziale. Portati avanti insieme, attraverso regimi di cui solo due sono sotto il controllo diretto dell'ANSSI, essi descrivono un mandato davvero difficile da reggere bene. L'ANSSI è stata schietta e coerente su come lo regge: attraverso una postura che privilegia l'accompagnamento, guidata dalla consulenza, anziché la finzione di un agente appostato dietro ogni server. È una scelta razionale sotto vincoli reali, e questo testo la prende esattamente per ciò che è, una strategia legittima per un mandato difficile, non la prova che manchi qualcosa.
L'applicazione delle regole è reattiva per costruzione
Da quel mandato discende un'osservazione strutturale anziché valutativa. L'applicazione delle regole e la remediation sono, per loro natura, cose che avvengono in seguito. Un rilievo di audit documenta uno stato che già esiste. Una sanzione risponde a una violazione già avvenuta. Un ordine di remediation ripristina un sistema già venuto meno. Ciascuno di questi strumenti ha valore, e ciascuno plasma il comportamento futuro, ma nessuno di essi può tornare indietro nel tempo per prevenire l'evento che lo ha innescato. Non è una proprietà dell'ANSSI né di alcun regolatore in particolare. È una proprietà dell'applicazione delle regole stessa.
Il corollario merita di essere enunciato direttamente, perché è facile trascurarlo. L'ANSSI non è, e strutturalmente non può essere, un'agenzia di remediation nel senso di un organo che difende i sistemi nel momento in cui un attacco è in corso. Nessuna autorità di applicazione può esserlo. La difesa cibernetica in tempo reale, l'effettivo rilevamento, contenimento e ripristino che avvengono mentre un incidente è in corso, è condotta all'interno delle organizzazioni colpite e dai professionisti e dagli strumenti che esse hanno a disposizione in quel momento. L'applicazione delle regole fissa lo standard a cui quelle organizzazioni sono tenute. Non si sostituisce, e non può sostituirsi, alla capacità di cui esse hanno bisogno quando lo standard viene messo alla prova. Riconoscere ciò non è una critica a quanto chiunque applichi le regole. È un chiarimento su a cosa serve l'applicazione delle regole.
Cosa richiede difendere un ecosistema venti volte più grande
Mettete insieme i due punti precedenti. La popolazione delle entità che dovrebbero difendersi cresce di un fattore venti o più, e lo strumento principale che lo Stato può mettere in campo, l'applicazione delle regole, è per costruzione incapace di svolgere la difesa in prima persona. La difesa in pratica dipende dunque da qualcosa che l'applicazione delle regole non può fabbricare a comando: la capacità. Persone in grado di attuare e operare i controlli. Strumenti che rendono la prova continua anziché assemblata in fretta prima di un audit. Formazione che raggiunge un'organizzazione prima che si trovi nel perimetro anziché dopo. E tutto ciò deve esistere in anticipo rispetto al bisogno, perché una capacità costruita dopo un incidente è, per definizione, costruita troppo tardi per quell'incidente.
La consulenza pubblica è una parte reale di questa risposta e va riconosciuta come tale. Gli stessi materiali di accompagnamento dell'ANSSI nell'ambito del ReCyF, tra cui documenti di consulenza, webinar e un obbligo di formazione scritto nel referenziale, mirano direttamente ad aiutare le organizzazioni a costruire capacità prima dell'arrivo delle scadenze di applicazione (ANSSI 2026b). Ma l'aritmetica di un'espansione ventuplice è implacabile, e nessuna singola istituzione, per quanto ben gestita, può fornire l'intera curva di formazione, strumenti e personale per un ecosistema di quelle dimensioni nei tempi che la normativa fissa. Non è colpa di nessuno. È un problema condiviso, ed è meglio trattarlo come tale.
Dietro questo problema di tempistica esiste un corpo di scienze del management ben sviluppato. Lavorando nella tradizione della dinamica dei sistemi (Sterman 2000), John Sterman e Nelson Repenning, al Massachusetts Institute of Technology, hanno formalizzato ciò che chiamano la trappola della capacità: un'organizzazione che investe nella costruzione di capacità vede le proprie prestazioni calare prima di migliorare, il percorso del peggio-prima-del-meglio, mentre una che si limita a lavorare più intensamente ottiene un sollievo di breve termine prima che le prestazioni si erodano, il percorso del meglio-prima-del-peggio, una divergenza che il loro modello traccia come due curve di capacità che si separano nel tempo (Repenning and Sterman 2002). Il loro studio precedente enuncia l'ostacolo umano già nel titolo: nessuno riceve mai credito per aver risolto problemi che non sono mai accaduti (Repenning and Sterman 2001). A fronte dell'imminente ampliamento del perimetro di NIS 2, l'implicazione è diretta. La capacità di difendere un ecosistema venti volte più grande deve essere costruita lungo il percorso del peggio-prima-del-meglio, in anticipo rispetto agli incidenti che previene e proprio quando nessuna crisi visibile giustifica ancora la spesa. Chi desidera osservare da sé la dinamica può percorrerla in modo interattivo nel modulo 13 del corso CCI di dinamica dei sistemi, sulla trappola della capacità.
Il partner benevolo: costruire capacità senza attendere che lo si chieda
È qui che la capacità privata ha un ruolo che non dipende dall'essere assunta per svolgerlo. Un'impresa dotata di contenuti formativi, di strumenti o di professionisti qualificati ha una ragione per investire nella costruzione e nella condivisione di quella capacità fin da ora, indipendentemente da qualsiasi contratto, incarico di audit o innesco normativo specifico, per una ragione semplice: l'obiettivo comune, una difesa cibernetica che funzioni davvero attraverso un ecosistema venti volte più grande di prima, è servito da quell'investimento a prescindere da chi in ultima analisi paghi per cosa. Un partner che agisce secondo questo ragionamento, contribuendo capacità perché il problema è reale anziché perché una transazione è sul tavolo, è ciò che questo testo intende per partner benevolo. La parola è da intendersi letteralmente, non in modo decorativo. La sua prova è se il contributo sia utile a un'organizzazione, che essa diventi un giorno cliente o no.
Cambridge Cyber International (CCI) intende agire come uno di tali partner, ed è schietta nel riconoscere di essere un contributore tra i molti che potrebbero e dovrebbero esserlo. La sua posizione è deliberatamente semplice: educare, formare e dotare di strumenti, anziché attribuire responsabilità. In pratica ciò si risolve in due cose che ha già costruito. La prima è la sua Academy, la cui formazione è utile a qualsiasi organizzazione che sviluppi le competenze cibernetiche di cui le sue squadre avranno bisogno, a prescindere da dove quell'organizzazione si procurerà poi il resto della propria capacità. La seconda è la suite CySSURANCE, che porta la stessa idea sul versante degli strumenti riunendo in un unico luogo una gamma di funzioni di prontezza: raccolta automatizzata di prove, modellazione dell'architettura d'impresa, calcolo della resilienza, valutazione delle perdite finanziarie, valutazione del personale, esercitazioni sulle tecnologie dell'informazione e della comunicazione (ICT), remediation prioritizzata, gestione dei fornitori, preparazione agli audit e cruscotti a livello del consiglio di amministrazione. Prese insieme, educazione, formazione e strumenti rispondono agli oneri di prontezza all'audit e di forza lavoro che l'ampliamento del perimetro moltiplica, che è precisamente il lavoro da svolgere in anticipo rispetto al bisogno anziché dopo un incidente. Questi elementi sono nominati qui come un'istanza dell'argomento, non come il suo scopo. L'argomento regge sia che il lettore ingaggi CCI, sia che ingaggi uno dei suoi pari, sia che costruisca la capacità interamente in casa.
Contro-argomenti e limiti
L'obiezione ovvia è che un'impresa che descrive le proprie offerte come contributo benevolo stia semplicemente facendo pubblicità con modi migliori. L'obiezione merita una vera risposta anziché una rassicurazione. La risposta è una prova che il lettore può applicare: il contributo aiuta un'organizzazione che non compra mai nulla? Una formazione che eleva la prontezza di una squadra a prescindere dal fatto che porti a un contratto, una consulenza accurata a prescindere dal fatto che sia monetizzata, e l'onestà su quando un concorrente o una costruzione interna siano la scelta migliore, superano tutte questa prova; una risorsa inutile a meno di essere acquistata la fallisce. I lettori hanno diritto di tenere questo testo, e CCI, a tale standard.
Una seconda obiezione è che la capacità privata non può sostituire l'autorità pubblica, e non dovrebbe provarci. Ciò è corretto, e nulla qui lo propone. L'argomento è complementare, non sostitutivo. Il mandato dell'ANSSI, la fissazione degli standard e il coordinamento sono precisamente le cose che gli attori privati non possono e non dovrebbero fornire. L'affermazione è più ristretta: che la difesa in tempo reale che l'applicazione delle regole non può svolgere si costruisce a partire da capacità, e che tale capacità può e dovrebbe essere apportata da più di una direzione.
Un terzo limite, più prosaico, riguarda la fonte. Un'intervista non è uno strumento giuridico, e cifre e date specifiche, compresi i numeri esatti del perimetro e lo stato della legge di recepimento di NIS 2, dovrebbero essere verificate a fronte dei testi primari una volta che questi siano definitivi. Il calendario di recepimento in particolare spetta al Parlamento francese anziché a una qualsiasi agenzia esecutiva. Nulla di ciò cambia l'argomento strutturale, che non poggia su alcuna data singola, ma è una ragione per verificare i particolari prima di agire in base a essi.
Implicazioni per la pratica o la politica
Per un consiglio di amministrazione o un CISO, la conseguenza pratica di trattare la difesa come qualcosa costruito in anticipo rispetto al bisogno anziché imposto a posteriori è un cambiamento di sequenza. Le decisioni di capacità, chi viene formato, quali strumenti rendono la prova continua, come il personale scala, si spostano più a monte, prima della scadenza di applicazione anziché in risposta a essa. Concretamente, ciò significa avviare la prontezza della forza lavoro prima che l'inclusione nel perimetro sia confermata, trattare la raccolta continua di prove come una capacità permanente anziché come uno sprint pre-audit, e pianificare il personale a fronte di un mercato del lavoro che sarà più teso proprio quando la coorte più numerosa di entità di nuova regolamentazione si contenderà le stesse competenze.
Per gli attori privati dotati di capacità pertinenti, l'implicazione è un invito a contribuire in anticipo rispetto alla domanda: rendere educazione, formazione e strumenti utili indipendentemente da una vendita, e dirlo con chiarezza. L'Academy di CCI e la sua suite CySSURANCE sono offerte in questo spirito, come opzioni tra diverse anziché come l'unica via, e la scelta del fornitore conta assai meno del fatto di costruire capacità prima che siano necessarie.
Per la relazione pubblico-privato nel suo insieme, l'implicazione è un cambiamento di registro. Il quadro produttivo è un obiettivo comune, una difesa cibernetica che funzioni in pratica, anziché un libro mastro di chi ha fatto o non ha fatto abbastanza. La sua espressione pratica è semplice: educare, formare e dotare di strumenti in anticipo rispetto al bisogno, anziché ripartire le responsabilità a posteriori. Applicazione delle regole e contributo non sono concorrenti. Sono parti diverse della stessa impresa.
Conclusione
L'ANSSI regge un mandato davvero difficile, quattro regimi giuridici, un dibattito politico che non può risolvere da sola, una migrazione crittografica pluriennale, un nuovo organismo di coordinamento e una popolazione regolamentata che si moltiplica di venti volte, e regge quel mandato con una strategia coerente, che privilegia la consulenza, scelta sotto vincoli reali. Leggere la sua posizione onestamente conduce a una conclusione strutturale anziché critica: poiché l'applicazione delle regole può agire solo dopo un incidente, la difesa che conta nel momento si costruisce prima, a partire da capacità che devono esistere in anticipo rispetto al bisogno. Quella capacità è un problema condiviso, più vasto di qualsiasi singola istituzione, ed è meglio affrontata da tutti coloro che sono in grado di contribuirvi, da più di una direzione, al servizio di un obiettivo che l'intero settore già tiene in comune. La postura utile per la capacità privata, dunque, non è attendere di essere ingaggiata bensì costruire e condividere in anticipo rispetto alla domanda, senza aspettarsi nulla di particolare in cambio, perché un ecosistema meglio difeso è il ritorno. La difesa cibernetica si costruisce prima dell'incidente. Il lavoro che vale la pena fare è la costruzione.
Da dove iniziare
Se le vostre squadre stanno costruendo prontezza cibernetica per ciò che sta arrivando, CCI Academy è un punto di partenza aperto, che poi lavoriate o meno ulteriormente con CCI. La sua formazione è utile in sé. Consideratela una porta aperta anziché una destinazione.
Riferimenti
Agence Nationale des Fréquences (2026). Cyber Resilience Act. https://www.anfr.fr/proteger/equipements-radio-electriques/cyber-resilient-act
ANSSI, cyber.gouv.fr (2026a). Cyber Resilience Act. https://cyber.gouv.fr/reglementation/cybersecurite-des-produits/cyber-resilience-act/
ANSSI, cyber.gouv.fr (2026b). NIS 2 : l'ANSSI poursuit et renforce sa dynamique d'accompagnement. https://cyber.gouv.fr/actualites/nis-2-lanssi-poursuit-et-renforce-sa-dynamique-daccompagnement/
Autorité de Contrôle Prudentiel et de Résolution (2026). FAQ sur la directive et le règlement DORA. https://acpr.banque-france.fr/fr/reglementation/focus-sur-la-reglementation/transverse/digital-operational-resilience-act-dora/faq-sur-la-directive-et-le-reglement-dora
Autorité des Marchés Financiers (2026). The Regulation on Digital Operational Resilience in the Financial Sector (DORA). https://www.amf-france.org/en/news-publications/depth/dora
Belfiore, G. (2026). Chiffrement vs Police : "Le choix sera politique", prévient le patron de l'ANSSI. Clubic. https://www.clubic.com/dossier-618682-interview-anssi.html
Ledieu-Avocats (2026). ANSSI, projet de décret NIS2 "mesures techniques" v2.5, ReCyF du 17 mars 2026. https://ledieu-avocats.fr/anssi-projet-decret-nis2-mesures-techniques-v2-5-recyf-du-17-mars-2026/
Repenning, N. P., and Sterman, J. D. (2001). Nobody ever gets credit for fixing problems that never happened: creating and sustaining process improvement. California Management Review, 43(4), 64 to 88. https://doi.org/10.2307/41166101
Repenning, N. P., and Sterman, J. D. (2002). Capability traps and self-confirming attribution errors in the dynamics of process improvement. Administrative Science Quarterly, 47(2), 265 to 295. https://doi.org/10.2307/3094806
Sterman, J. D. (2000). Business Dynamics: Systems Thinking and Modeling for a Complex World. Boston: Irwin McGraw-Hill. https://systemdynamics.org/product/business-dynamics-systems-thinking-and-modeling-for-a-complex-world/