Risk Register IT — Gonzato Group (board-level)
Pacchetto onboarding IT Gonzato · Fase P1 · Strategic Advisor · v1 03/07/2026 · bozza da compilare in azienda
Scopo
Registro dei rischi IT in linguaggio comprensibile al CdA: impatto espresso in termini di business/€, probabilità, mitigazione e owner. Serve a rendere visibili al board rischi oggi impliciti e a giustificare gli investimenti IT come riduzione di rischio, non come costo. I rischi sono strutturali del contesto (gruppo family-led in split, IT non ancora strutturato) e non riflettono responsabilità individuali.
Scale
- Impatto: Basso / Medio / Alto / Critico (con stima €/business dove possibile)
- Probabilità: Bassa / Media / Alta
- Priorità = combinazione impatto × probabilità
Registro rischi
| # | Rischio | Impatto (business/€) | Probabilità | Mitigazione | Owner |
|---|---|---|---|---|---|
| 1 | Key-person / concentrazione conoscenza — sistemi e processi noti principalmente a una persona (il responsabile IT attuale); assenza prolungata o indisponibilità bloccherebbe operatività | Critico — fermo potenziale di sistemi core, [da compilare: € impatto/giorno di fermo] | Media | Continuità operativa: documentazione sistemi, ridondanza competenze, runbook (vedi bus-factor-map.md); framing resilienza, non handover | Aldo (Resp. IT Gruppo) |
| 2 | NIS 2 — non conformità — obblighi di sicurezza e notifica incidenti non presidiati; entità potenzialmente in perimetro | Alto — sanzioni, responsabilità organi direttivi, blocco commesse clienti regolati | Alta | Assessment perimetro NIS 2, gap analysis, piano di adeguamento, misure minime (MFA, backup testati, incident response) | Aldo + Dario/CdA |
| 3 | Split societario — rottura IT — sistemi/tenant/licenze condivisi fra entità che lo split separa; rischio di perdita accessi, dati, continuità email | Alto — interruzione operativa su una o più società, [da compilare: € commesse a rischio] | Media | Baseline entità (perimetro-gruppo-it-baseline.md), mappa sistemi condivisi, piano di separazione ordinata | Aldo + resp. legale/societario |
| 4 | Shadow IT — strumenti, cloud e dati fuori controllo gestiti dalle singole società/persone senza governance centrale | Medio — perdita dati, superficie di attacco, non conformità | Alta | Censimento applicazioni/servizi, policy uso strumenti, catalogo approvato | Aldo |
| 5 | Backup non testato — copie esistenti ma senza verifica di ripristino; falso senso di sicurezza | Critico — perdita dati irreversibile in caso di guasto/ransomware | Media | Test di restore periodico, regola 3-2-1, monitoraggio esiti backup | Aldo + team IT |
| 6 | [da compilare: cyber/ransomware — protezione endpoint, phishing] | [da compilare] | [da compilare] | [da compilare] | Aldo |
| 7 | [da compilare: dipendenza vendor critico / fine supporto software] | [da compilare] | [da compilare] | [da compilare] | Aldo |
| 8 | [da compilare: controllo di gestione debole — decisioni su dati non affidabili] | [da compilare] | [da compilare] | [da compilare] | Aldo + area finance |
Note di lettura per il CdA
- I rischi #1 e #5 sono classificati "critici" perché a impatto potenzialmente irreversibile: vanno affrontati per primi anche se la probabilità è media.
- #2 (NIS 2) è l'unico con vincolo normativo e responsabilità diretta degli organi direttivi: priorità di calendario.
- Ogni mitigazione va tradotta in una voce di roadmap con milestone (vedi
roadmap-trasformazione-digitale.md).
Prossimi passi
- ☐ Validare impatti e assegnare stime € dove mancano
- ☐ Confermare probabilità con evidenze dall'assessment
- ☐ Portare il registro (versione sintetica) al primo comitato IT / CdA
- ☐ Rivedere trimestralmente