La Direttiva NIS2 insieme ad atri regolamenti europei in materia di cybersicurezza ha lo scopo ultimo di rafforzare la resilienza operativa e migliorare le capacità di risposta dell'Unione Europea contro le minacce informatiche, garantendo un livello elevato di sicurezza delle reti e dei sistemi informativi tra gli Stati membri.
Il 17 ottobre 2024 è scaduto il termine ultimo per la ricezione e l’adeguamento obbligatorio da parte degli Stati e, dunque, delle aziende coinvolte, che devono adeguarsi attraverso una serie di azioni specifiche. In tale scenario, è plausibile e diffusa un po’ di confusione, dal capire se si è coinvolti (la segnalazione di tale eventualità vede le aziende soggetti proattivi nell’autosegnalarsi all’autorità competente, che provvederà a confermare o meno caso per caso e nel caso di conferma, a stabilire se il soggetto rientra nella categoria essenziale o importante) all’individuare i passi necessari al rispetto della Direttiva.
L’articolo 24 del decreto legislativo italiano del 4 settembre 2024, n. 138 definisce quelli che sono i requisiti tecnici e metodologici che i soggetti essenziali e importanti (coloro che operano in settori altamente critici o critici per la sicurezza e l'economia dell'Unione Europea) devono rispettare per essere conformi agli obblighi della direttiva.
Per facilitare la roadmap delle aziende verso la Compliance, l’Agenzia dell’Unione Europea per la Cybersecurity (ENISA) ha condiviso le linee guida tecniche per la gestione delle misure di sicurezza informatica, in conformità alla Direttiva NIS2 e al Regolamento di esecuzione (UE) 2024/2690.
La prima delle dieci misure, riportate negli obblighi normativi, riguarda “policy di analisi dei rischi e di sicurezza dei sistemi informativi e di rete”.
Policy analisi rischi e sicurezza dei sistemi informativi e di rete: cosa bisogna sapere
La misura Policy di analisi dei rischi e di sicurezza dei sistemi informativi e di rete all’art. 24, comma 2, lettera a) del decreto legislativo si articola in 5 elementi:
Le aziende coinvolte, tenendo conto della NIS2 e dei chiarimenti sull’implementazione degli obblighi riportati nelle linee guida ENISA, devono adottare tutte le misure previste e di seguito elencate, al fine di raggiungere e mantenere un adeguato livello di cybersecurity e data protection.
Per garantire una gestione efficace della sicurezza dei sistemi informativi e di rete, è necessario che i soggetti pertinenti adottino un approccio strutturato e allineato alla strategia aziendale e agli obiettivi organizzativi. La sicurezza informatica deve, cioè, essere parte integrante delle strategie e non limitarsi ad interventi puntuali e/o occasionali.
Questo approccio implica:
E’, dunque, essenziale che il management sia coinvolto nel facilitare l’implementazione dell’approccio strategico alla sicurezza informatica, facilitando la messa a disposizione di risorse e mezzi e assicurando un impegno in prima linea per cambiare l’approccio culturale dell’azienda alla sicurezza informatica.
Questo passaggio è particolarmente delicato: la gestione della sicurezza deve essere comunicata, compresa e applicata in modo efficace da dipendenti e stakeholder esterni; devono essere definiti ruoli e responsabilità, bisogna identificare la documentazione da conservare, la durata della conservazione e indicare formalmente la data di approvazione della strategia da parte degli organi di gestione competenti; devono, poi, essere elencate le politiche specifiche per tematica e stabiliti KPI per un monitoraggio costante, che ne assicuri l’aggiornamento e il miglioramento continui.
Infine, è fondamentale che la policy sulla sicurezza informatica sia conforme ai requisiti legislativi, normativi, contrattuali, aziendali e agli obiettivi strategici di business; deve essere di facile implementazione e controllo, e deve essere protetta in termini di riservatezza, integrità e disponibilità e gestita correttamente in modo che le informazioni siano complete, corrette, comprensibili, facilmente identificabili e recuperabili.
Occorre, inoltre, che sia rivista almeno una volta all'anno o in caso il contesto aziendale subisca alterazioni rilevanti.
Per garantire una gestione efficace della sicurezza dei sistemi informativi e di rete, i soggetti pertinenti devono definire e assegnare in modo chiaro responsabilità e autorità in materia di sicurezza, adattandole alle esigenze dell’organizzazione e comunicandole agli organi di gestione. Tutto il personale, compresi i terzi coinvolti, deve rispettare le politiche di sicurezza, le procedure e le tematiche specifiche definite dall’organizzazione.
Ma cosa significa, nel concreto?
Se la presa di coscienza da parte dell’azienda del cambiamento di approccio alla sicurezza informatica è il primo tassello per interpretare correttamente l’intenzione del Regolatore e quindi della Direttiva NIS2, il piano dei rischi è, probabilmente, la prima attività propedeutica a tutti gli altri requisiti tecnici, che l’azienda deve mettere in atto.
Il piano di risposta ai rischi deve essere chiaro, adeguato e sostenibile rispetto al business dell’azienda.
Nel creare il piano, l’azienda può decidere di utilizzare il framework di gestione del rischio in uso o adottarne uno nuovo, che tenga conto di tutte le specifiche richieste dalla NIS2. In caso è consigliabile attenersi a framework europei o internazionali riconosciuti.
È bene sottolineare che le aziende dovrebbero integrare il processo di gestione dei rischi di cybersecurity con quello generale di gestione dei rischi dell’organizzazione. Tuttavia, quest’ultimo è auspicabile, ma non oggetto della Direttiva.
In ogni caso, i soggetti pertinenti, in conformità alla Direttiva (UE) 2022/2555, devono istituire e mantenere un quadro di gestione dei rischi per identificare, analizzare e affrontare le minacce alla sicurezza dei sistemi informativi e di rete. Questo processo prevede la realizzazione di una valutazione dei rischi, con risultati documentati, e la definizione di un piano di trattamento per mitigare i rischi individuati. I rischi residui e i risultati delle valutazioni devono essere approvati dagli organi di gestione o da figure autorizzate. Nel processo di valutazione vanno, poi, inclusi i rischi derivanti da terze parti, come violazioni dei dati, vulnerabilità non affrontate, non conformità normativa, affidamento eccessivo a una singola terza parte, ecc.
Nella scelta delle misure di trattamento, è necessario considerare i risultati della valutazione dei rischi, l’efficacia delle misure già in essere, i costi rispetto ai benefici attesi, la classificazione delle risorse e i risultati di una business impact analysis.
Infine, i risultati delle valutazioni dei rischi e il piano di trattamento devono essere rivisti e aggiornati periodicamente, almeno una volta l’anno o in seguito a incidenti o cambiamenti interni significativi.
I soggetti aderenti devono periodicamente riesaminare in modo indipendente il proprio approccio alla gestione della sicurezza dei sistemi informativi e di rete, valutando persone, processi e tecnologie coinvolti. I risultati dei riesami indipendenti (analizzati più avanti), insieme a quelli del monitoraggio della conformità e delle misurazioni operative, devono essere comunicati agli organi di gestione. Su questa base, si devono adottare azioni correttive oppure accettare i rischi residui in linea con i criteri stabiliti dall’organizzazione.
Adottare un modello di controllo e verifica della politica di sicurezza informatica, della gestione dei rischi, delle responsabilità e dei ruoli è di fondamentale importanza perché innesca un processo necessario a verificare che quanto ipotizzato, pianificato e realizzato (o si sta realizzando) sia coerente con le attese, strategie e premesse iniziali, ma anche per reagire opportunamente ai cambiamenti che incorrono naturalmente con il tempo.
Si suggerisce di sviluppare e adottare, rivolgendosi a enti indipendenti o che non abbiano conflitti di interesse:
I report devono essere generati e presentati agli organi di gestione almeno una volta all'anno.
Ultimo punto, ma non meno importante, il riesame indipendente della sicurezza dei sistemi informativi e di rete. Le parti interessate devono sviluppare e mantenere processi per condurre revisioni indipendenti, eseguite da soggetti in possesso di competenze adeguate in materia di audit. Nel caso in cui tali revisioni venissero effettuate da personale interno, è fondamentale che i soggetti incaricati non appartengano alla stessa linea gerarchica del settore oggetto del riesame, al fine di garantire imparzialità. Nel caso in cui le dimensioni dell’organizzazione non consentano tale separazione, devono essere adottate misure alternative per assicurare l’assenza di conflitti di interesse.
Ma come garantire una revisione indipendente efficace, che rispetti i vincoli della NIS2?
Innanzitutto, è essenziale che l'ente coinvolto assicuri:
È necessario, inoltre, definire un processo chiaro che includa scopo, obiettivi, metodologia, ruolo del comitato di revisione e frequenza delle verifiche. Per assicurare l’indipendenza di chi effettua le revisioni si possono utilizzare modelli standardizzati per i rapporti e adottare soluzioni di rotazione del personale, la creazione di comitati interdipartimentali o il ricorso a fornitori esterni.
I riesami devono essere effettuati a intervalli pianificati, in risposta a incidenti significativi o a cambiamenti rilevanti nelle operazioni o nel panorama dei rischi, assicurando, così, un aggiornamento costante e un miglioramento continuo della sicurezza.