La resilienza operativa sta guadagnando slancio a livello globale, con un numero crescente di organizzazioni che sviluppano e mantengono programmi dedicati. Il “BCI Operational Resilience Report 2025” evidenzia che oltre il 70% delle organizzazioni dispone ora di un programma formale – il tasso di adozione più alto mai registrato.
Questo progresso è fortemente influenzato dai nuovi quadri normativi che entrano in vigore, come il Digital Operational Resilience Act (DORA) nell’UE e i requisiti della FCA/PRA/Bank of England nel Regno Unito. Il campione è costituito da 260 organizzazioni di 17 settori diversi e 39 Paesi nel mondo, intervistando i principali Ruoli toccati dai temi della Resilienza operativa (ad esempio, Business Continuity manager, Chief Risk officer, Chief Security officer).
La necessità di strategie di resilienza coese e lungimiranti non è mai stata così urgente, poiché le organizzazioni navigano in un panorama complesso e dinamico. Sebbene la conformità normativa rimanga anche quest’anno un driver primario, sono oggi di più gli intervistati che citano l’adozione di “best practice” come ragione principale per lo sviluppo dei loro programmi (65,4% per le best practice rispetto al 64,0% per i requisiti normativi).
Obiettivi e sfide per la resilienza
Le organizzazioni riconoscono sempre più il valore intrinseco dell’integrazione delle migliori pratiche non solo per rispettare gli standard, ma, soprattutto, per salvaguardare i servizi critici, proteggere la reputazione e raggiungere obiettivi strategici.
Tuttavia, definire la resilienza operativa a livello universale rimane una sfida, legata soprattutto alle evoluzioni in corso. Esiste da tempo un dibattito sul significato da attribuire a resilienza operativa e resilienza organizzativa, con una divisione quasi equa tra coloro che li considerano sinonimi (40%) e coloro che li vedono come distinti (40,5%). Per molti, la resilienza operativa è poi la naturale evoluzione della business continuity, o un suo componente chiave (72,9% ritiene la BC una componente fondamentale della resilienza operativa). Alcuni considerano la business continuity la base, con la resilienza operativa che rappresenta un approccio più olistico che include prevenzione, mitigazione del rischio e recupero. Molti partecipanti concordano poi sul fatto che la resilienza operativa è maggiormente incentrata sugli impatti verso i clienti e il mercato, distinguendosi quindi dalla business continuity, che era invece più focalizzata sui processi interni.
Nonostante l’aumento della consapevolezza e dell’impegno, le sfide persistono. I professionisti continuano a segnalare tra le principali problematiche:
- la mancanza di risorse dedicate e di personale (48,5%),
- le difficoltà nell’integrare la resilienza nelle funzioni aziendali (46,9%)
- la complessità nel garantire la conformità dei fornitori critici (45,1%).
Anche gestire l’infrastruttura legacy (40,1%) e la gestione dei rischi della supply chain (40,4%) sono preoccupazioni significative. “Embedding resilience into the everyday culture of the organisation is still a challenge“, ha osservato un Head of risk management.
La responsabilità complessiva per la resilienza operativa dovrebbe risiedere ai massimi livelli, con CEO e COO deputati a detenere l’ultima responsabilità: oggi questo avviene però solo nel 21,5% dei casi. La responsabilità quotidiana ricade invece sui Business Continuity Manager (19,7%), ma anche su altri ruoli specializzati come Head of Resilience (17,4%) e Operational Resilience Manager (12,9%). Quasi il 70% delle organizzazioni ha istituito comitati interni interfunzionali per migliorare l’integrazione degli sforzi tra discipline come la gestione del rischio e la cybersecurity.
Il rapporto che lega Resilienza operativa e cybersecurity
Il report contiene statistiche specifiche che dimostrano gli sforzi crescenti delle organizzazioni verso una maggiore integrazione della resilienza operativa con altre funzioni correlate, come la cybersecurity e la gestione del rischio. Un dato significativo è che quasi il 70% delle organizzazioni ha costituito comitati o strutture di lavoro interfunzionali interni per favorire la collaborazione tra diverse aree, incluse la cybersecurity, il rischio e la resilienza. Questo dato quantifica direttamente le azioni intraprese per abbattere i silos e lavorare in modo più integrato.
Questo sforzo di integrazione riflette un approccio più ampio, a livello di sistema, e sta aiutando ad abbattere i silos storici tra funzioni come cyber, IT, rischio e Business Continuity. I regolatori stessi si aspettano che le organizzazioni dimostrino come la resilienza si integri tra i diversi dipartimenti, dalla cybersecurity alle operazioni IT. Nonostante questi progressi, il report evidenzia anche che l’integrazione completa e la collaborazione tra le diverse funzioni di resilienza presentano ancora delle sfide.
Ruolo dei regolatori: la percezione è che servirebbe di più
Sebbene molti vedano la regolamentazione come un sviluppo positivo che innalza il livello e rende i vertici aziendali responsabili, quasi la metà dei rispondenti (43,3%) ritiene che i regolatori non abbiano fatto abbastanza per supportare le organizzazioni nell’implementazione della resilienza operativa. Le richieste comuni includono orientamenti più chiari e attuabili, esempi pratici, supporto per i fornitori e una maggiore collaborazione intersettoriale. Un Head of operational resilience ha notato che “Different regulations use different naming conventions, definitions and criteria… This creates confusion”. Preoccupazioni che la conformità diventi un mero esercizio di “tick-box” (44,6% lo ritiene possibile) permangono, potenzialmente minando il vero intento delle normative.
In sintesi, il report evidenzia che la resilienza operativa non è più un’aspirazione ma un’azione concreta per la maggior parte delle organizzazioni. Sebbene le normative abbiano aumentato la consapevolezza e spinto l’adozione, la disciplina è ancora in fase di sviluppo con definizioni variabili e sfide pratiche significative nell’integrazione e nell’assegnazione delle risorse. L’evoluzione del panorama normativo richiederà ai professionisti di ampliare le proprie competenze oltre la business continuity tradizionale, abbracciando una comprensione più profonda del rischio sistemico e delle interdipendenze.
Accedi al “BCI Operational Resilience Report 2025” completo.
