Agosto 2024
Gli stati membri dell’Unione Europea sono ormai in procinto di approvare i decreti di recepimento della NIS 2 a livello nazionale (scadenza ultima 17 ottobre 2024).
Da dove cominciare per adeguarsi alla NIS 2?
Su quali principi si basa?
Quali peculiarità presenta un adeguato sistema di gestione per la sicurezza delle informazioni?
Partiamo dalla declinazione delle forme di responsabilità in capo alle organizzazioni obbligate ad adeguarsi alla NIS 2.
Accountability: responsabilità di garantire che le politiche e le procedure di sicurezza siano seguite e che i risultati siano documentati e verificabili.
Vale a dire che ogni organizzazione dovrà essere in grado di dimostrare la propria adeguatezza alla normativa in base ad analisi e procedure che siano documentate e per le quali si sia in grado di dimostrare l’allineamento e la proporzionalità della misura adottata rispetto al rischio rilevato, articolando altresì le modalità di calcolo del rischio stesso.
Responsibility: responsabilità operativa per la gestione quotidiana della sicurezza cibernetica.
Questo si traduce col fatto che l’entità dovrà dotarsi di tutte le risorse necessarie (siano umane e tecnologiche) affinchè l’impalcatura del sistema costruito funzioni in maniera ottimale.
Liability: responsabilità legale per eventuali violazioni delle misure di sicurezza.
L’analisi dei rischi e le misure adottate dovranno tenere di conto del fatto che l’azienda dovrà far fronte non solamente a rischi connessi al puro Business in termini di continuità operativa, mancati guadagni ecc. derivanti da una male gestione della sicurezza delle informazioni, ma soprattutto dovrà rispondere anche legalmente per le eventuali violazioni delle misure di sicurezza che possano scaturire da evidenti inadempienze legate alle linee guida della normativa, sempre tenendo conto del principio di accountability.
Quali sono invece gli obblighi specifici previsti da NIS 2?
- Analisi e Gestione dei Rischi: le organizzazioni devono condurre valutazioni regolari dei rischi informatici e implementare misure per mitigare tali rischi.
- Incident Reporting: le aziende devono segnalare tempestivamente qualsiasi incidente informatico significativo alle autorità competenti, seguendo le tempistiche stabilite dalla direttiva.
- Testing di Sicurezza: la direttiva richiede che le organizzazioni eseguano test regolari delle loro misure di sicurezza per garantire che siano efficaci e aggiornate (Vulnerability e Penetration test).
- Compliance con le Autorità: le entità soggette alla NIS2 devono essere pronte a collaborare con le autorità competenti, rispondendo a richieste di informazioni, partecipando a verifiche e audit, e implementando eventuali misure correttive.
- Accountability del Management: il management è direttamente responsabile della conformità alla NIS2, e può essere ritenuto personalmente responsabile in caso di negligenza grave
La complessità di questo quadro ed allo stesso tempo la non definizione di percorsi ultraspecifici definiti dalla normativa potrebbe portare una serie di preoccupazioni per gli addetti ai lavori.
In realtà ci corre a supporto lo standard ISO/IEC 27001.
La NIS2 infatti prevede l’adozione di un modello che consenta di raccogliere e documentare tutte le misure di gestione del rischio adottate, garantendo la sicurezza cibernetica all’interno dell’organizzazione;
La ISO 27001 è un fondamentale punto di riferimento a livello dal quale partire per adeguarsi a NIS 2.
Lo schema 27001 comprende già al suo interno le aree tipiche del sistema di gestione per la NIS 2 quali:
- Aree da sottoporre a controllo e tipologie dei controlli da effettuare. Si passa da controlli inerenti alla governance dei processi, a quelli relativi all’area delle risorse umane fino ai controlli IT.
- Analisi dei rischi (che comprende anche attività di testing della vulnerabilità dell’infrastruttura)
- Procedure e policies
- Piano di gestione degli incidenti
- Sicurezza della supplychain
- Formazione
- Definizione dei processi, delle responsabilità e delle risorse a presidio di ciascun processo
L’implementazione di un sistema ISO 27001 rappresenta quindi al momento lo schema esistente più accreditato per rispondere ai dettami della normativa nonché un potente strumento di gestione della sicurezza nelle mani del management, che sarà facilitato oltre che nella gestione degli aspetti di cybersicurezza anche nella rendicontazione delle misure adottate agli enti preposti.