Risk Appetite e Risk Tolerance: guida strategica alla definizione aziendale

In un contesto caratterizzato da attacchi alla supply chain, normative sempre più rigide (NIS2, DORA, AI Act) e pressioni crescenti da parte del board, molte aziende si confrontano con una domanda fondamentale: fino a che punto possiamo accettare il rischio?

Definire chiaramente il Risk Appetite (propensione al rischio) e la Risk Tolerance (soglia operativa del rischio) è oggi indispensabile per:

• Allocare risorse in modo efficace
• Giustificare decisioni strategiche con dati
• Dimostrare trasparenza e accountability nei confronti di auditor e stakeholder

Cos’è il Risk Appetite e come si differenzia dalla Risk Tolerance

• Risk Appetite: livello strategico di rischio che l’organizzazione è disposta ad assumere per raggiungere i propri obiettivi.
  → Livello di applicazione: board-level (strategico)
  
• Risk Tolerance: livello massimo di rischio accettabile in un singolo processo operativo o funzione.
  → Livello di applicazione: operativo (process-level)

Esempio pratico: una banca può accettare un Risk Appetite “moderato” nell’adozione dell’IA, ma avere Risk Tolerance “molto bassa” per l’esposizione a dati personali sotto GDPR.

Perché definire Risk Appetite e Tolerance è cruciale

1. Compliance normativa: ISO/IEC 27001:2022, NIS2 e DORA richiedono evidenza della proporzionalità delle misure rispetto ai rischi identificati.
2. Consenso board: il management chiede decisioni guidate da una strategia di rischio, non solo da check-list tecniche.
3. Supporto al budget: è la base per argomentare investimenti e trade-off tra rischio residuo e costi di sicurezza.
4. KPI avanzati: questa base permette di calcolare metriche come Residual Risk Percentage, Control Effectiveness e Cyber Risk Exposure Ratio.

Roadmap operativa per definire Risk Appetite in azienda (5 fasi)

Definire il Risk Appetite non è un’attività teorica o da demandare solo al CISO: richiede un processo strutturato, multidisciplinare e supportato da evidenze. Per implementarlo efficacemente:

Fase 1 – Costruzione del team di lavoro

• Coinvolgi Risk Manager, CISO, CIO, Compliance Officer, DPO, CFO
• Includi sponsor del board o del comitato di rischio
• Definisci chi approva, chi scrive e chi misura

Fase 2 – Mappatura delle categorie di rischio

• Crea una risk taxonomy allineata agli obiettivi di business
• Esempi: rischio operativo, reputazionale, IT, legale, terze parti
• Per ciascuna categoria, mappa i principali eventi di rischio

Fase 3 – Raccolta di dati storici e stime quantitative

• Usa dati da incidenti interni, breach report, threat intelligence
• Integra con valutazioni FAIR o Expected Annual Loss
• Coinvolgi il team finance per la parte economica

Fase 4 – Definizione delle soglie

• Per ciascuna categoria, definisci:

1. Livello accettabile (appetito)
2. Livello tollerato (tolleranza)
3. Livello massimo (intollerabile)

• Utilizza intervalli economici o KRI percentuali

Fase 5 – Formalizzazione del Risk Appetite Statement

• Redigi un documento approvato dal board
• Collega le soglie ai processi di sicurezza, IT, business continuity
• Pubblica la policy interna e definisci i momenti di revisione: rivedi le soglie almeno una volta l’anno o dopo eventi critici/compliance: audit, incidenti, aggiornamenti normativi come NIS2/DORA.

Esempio sintetico di Risk Appetite Statement

“Accettiamo un livello moderato di rischio operativo legato all’adozione di strumenti AI, ma la perdita o esposizione di dati regolati è intollerabile. La massima esposizione annua tollerata è di €1,200,000.”

Questo documento deve essere approvato dal board e divulgato a tutte le funzioni aziendali.

Risk Appetite post-breach: cosa rivedere dopo un incidente

Uno degli errori più comuni nella gestione del Risk Appetite è considerarlo “immutabile”. In realtà, dopo eventi significativi come data breach, violazioni di policy o audit non conformi, è fondamentale rivedere le soglie di rischio.

Ecco cosa fare post-incidente:

• Riesaminare le metriche di Risk Tolerance compromesse (es. RTO superati)
• Analizzare le cause radice del breach e ridefinire i limiti per scenari simili
• Coinvolgere il board per ridefinire il Risk Appetite Statement alla luce dell’incidente

Questa attività è essenziale anche per rispondere a richieste regolatorie come la NIS2 (Articolo 21) o il Digital Operational Resilience Act (DORA), che richiedono evidenza di gestione del rischio dinamica e proporzionata.

Integrare Risk Appetite con la quantificazione del cyber risk (CRQ)

Per essere operativi, Appetito e Tolleranza devono confrontarsi con:

• Il rischio misurato (Expected Annual Loss calcolato con FAIR o CRQ)
• Il rischio residuo dopo mitigazioni
• Il rischio accettato formalmente (Risk Acceptance Register)

Un esempio numerico è:

• Risk Appetite annuale: €500,000
• Rischio attuale stimato: €900,000 → gap di €400,000

→ La decisione: mitigare con nuove misure o accettare temporaneamente integrando copertura assicurativa.

Come varia il Risk Appetite tra i settori principali

Finanza

Le banche definiscono Risk Appetite stringenti su downtime (>1h su infrastrutture core è intollerabile), termini compatibili con le disposizioni DORA per resilienza ICT.

Sanità

Provider sanitari impostano Risk Tolerance minima per esposizione dati clinici (GDPR/HIPAA), ma hanno Risk Appetite medio per soluzioni AI diagnostiche.

Manifattura

Nelle aziende industriali, Risk Appetite per downtime su linee non critiche può essere medio, ma rischio ransomware su sistemi OT è considerato intollerabile.

Mini checklist operativa (per Risk Appetite e Tolerance)

• Policy approvata dal board con valori economici
• Soglie operative definite per processo (Risk Tolerance)
• KRI collegati alle soglie di rischio
• Meccanismo di revisione periodica
• Integrazione con CRQ e Risk Register
• Evidenze documentate per audit (ISO, NIS2, DORA…)

Errori da evitare

• Copiare policy generiche senza adattarle al contesto aziendale
• Definire il Risk Appetite senza tradurlo in Risk Tolerance operative
• Non collegare a KPI quantitativi
• Non aggiornare dopo eventi rilevanti (breach, audit, nuove leggi)

❓FAQ

• Qual è la differenza tra Risk Appetite e Risk Tolerance?
• Il Risk Appetite è il livello strategico di rischio accettato dal board, mentre la Risk Tolerance è la soglia operativa definita per singoli processi o sistemi.
• Come si integra il Risk Appetite con la quantificazione del rischio?
• Si confronta il Risk Appetite con l’Expected Loss stimato tramite CRQ e il rischio residuo. Il gap determina nuove azioni o accettazioni formali.
• In che modo NIS2 e DORA richiedono la definizione del Risk Appetite?
• Direttive come NIS2 (Art. 21) e DORA richiedono la definizione e formalizzazione di soglie di rischio proporzionate ai controlli, responsabilità board, e revisioni periodiche.

Glossario tecnico

• Risk Appetite: quantità e tipo di rischio che l’organizzazione accetta per raggiungere gli obiettivi strategici
• Risk Tolerance: livello massimo di rischio accettabile a livello operativo
• Expected Loss: valore economico stimato del rischio annuo
• Residual Risk: rischio rimanente dopo l’adozione delle contromisure
• Risk Acceptance: processo documentato di accettazione consapevole del rischio residuo

📥 Risorse e supporto

• Scarica il modello editabile per il tuo Risk Appetite Statement (modello pronto all’uso)
• Quiz gratuito per valutare la maturità del tuo Risk Appetite
• Sessione consulenza con analisti ISGroup: costruisci una policy personalizzata in linea con ISO 27001, NIS2 e DORA

👉🏻 Prenota subito la tua consulenza gratuita