Una breve guida pratica per le imprese chiamate a valutare la propria cyber-security posture(1) e prevedere un piano di azioni correttive per migliorare la sicurezza informatica.
Il primo adempimento dell’impresa? Come anticipato nel corso di una precedente pubblicazione alla quale si rinvia(2): registrarsi, ove necessario, sulla piattaforma dell’Autorità(3) in qualità di soggetto, pubblico, para-pubblico o privato, rientrante nel perimetro della NIS2(4).
Successivamente l’ente dovrà intraprendere un’attività di self-risk assessment per:
- valutare il grado di conformità della propria security posture rispetto alle disposizioni del Decreto(5),
- individuare, comprendere e gestire i rischi di cybersecurity, mediante un approccio multirischio(6).
- pianificare le azioni di miglioramento e/o adeguamento necessarie.
La valutazione del rischio rappresenta il punto di partenza per qualsiasi strategia di sicurezza informatica.
A tal proposito, si ricorda che l’Autorità declinerà(7), più nel dettaglio, misure e obblighi di sicurezza proporzionati alle realtà interessate, oltre a tempistiche graduali di implementazione.
Ciò non toglie, soprattutto con riferimento alle imprese meno strutturate, che le stesse debbano avviare, senza fretta ma senza sosta, un percorso di crescita per raggiungere un livello minimo di sicurezza. Prima di addentrarsi negli adempimenti, sarà inoltre fondamentale confrontarsi con gli uffici amministrativi per destinare un budget adeguato agli investimenti necessari.
Le organizzazioni incluse nel perimetro della NIS2 dovranno soddisfare requisiti che spaziano dalla governance(8) all’adozione di misure per la gestione dei rischi per la sicurezza informatica sia interna che lungo la catena di fornitura, fino alla gestione della continuità operativa e alla notifica degli incidenti.
Sarà poi l’Autorità a svolgere attività di vigilanza, monitoraggio ed esecuzione attraverso:
- analisi e supporto (richieste ai soggetti obbligati di autovalutazioni e rendicontazioni periodiche, audit, scansioni di sicurezza; emanazione di raccomandazioni e avvertimenti);
- verifiche, anche documentali, ispezioni, in loco o a distanza, audit;
- adozione di misure di esecuzione, anche intimando l’osservanza di istruzioni e raccomandazioni;
- irrogazione di sanzioni amministrative pecuniarie (ingenti) e accessorie.
L’art. 38(9) del Decreto prevede una specifica responsabilità nei confronti della persona fisica che ha la rappresentanza dell’ente in caso di violazione delle disposizioni normative, oltre alla sanzione accessoria della incapacità a svolgere funzioni dirigenziali all’interno del medesimo soggetto.
L’operazione inizia dall’alto. La Governance.
Affinché un progetto funzioni, è necessario che lo stesso sia compreso, accettato e condiviso.
Un Manager che guida l’azienda consapevole dell’importanza di creare un ambiente digitale più sicuro e resiliente, un’organizzazione più robusta di fronte alle minacce emergenti e compliant alla normativa è già a metà dell’opera.
Gli Organi amministrativi e direttivi sono responsabili dell’implementazione – e delle eventuali violazioni – delle misure di gestione dei rischi e di tutti gli obblighi derivanti dalla normativa. Per tale ragione, devono seguire in prima persona corsi di formazione e sensibilizzazione in materia di sicurezza informatica e promuovere la formazione dei loro dipendenti.
Il programma di formazione dovrà essere adeguato e specifico in base alla posizione ricoperta dai destinatari; il relatore deve essere competente e dotato di requisiti di professionalità; la partecipazione deve essere obbligatoria e possono essere definiti meccanismi di controllo per verificare il grado di apprendimento raggiunto (ad esempio, istituendo una finta campagna di phishing).
Il Risk Assessment
L’individuazione e la valutazione del rischio rappresentano un momento essenziale e imprescindibile, che – attraverso l’analisi del sistema di controllo e degli ulteriori fattori endogeni ed esogeni – guiderà verso l’identificazione, la pianificazione e l’attuazione delle azioni di intervento e adeguamento necessarie a colmare eventuali gap rilevati.
Il percorso è finalizzato al raggiungimento di un rischio – che un incidente possa comunque realizzarsi -ritenuto “accettabile”, laddove l’incidente è quell’evento che compromette la disponibilità, l’autenticità, l’integrità o la riservatezza dei dati conservati, trasmessi o elaborati o dei servizi offerti dai sistemi informativi e di rete o accessibili attraverso di essi.
Cosa deve intendersi per rischio?
Lo chiarisce il Decreto definendolo come la combinazione dell’entità dell’impatto di un incidente, in termini di danno o di perturbazione, e della probabilità che quest’ultimo si verifichi(10). Da tale inciso si può desumere che la metodologia di valutazione prescelta, ma non certo obbligatoria, tra le diverse diffuse nella prassi di settore(11), sia quella fondata su impatto X probabilità.
Le misure (minime) di gestione dei rischi.
I soggetti essenziali e importanti dovranno adottare almeno le seguenti misure(12) tecniche, operative e organizzative adeguate e non standardizzate, ma tailor-made: personalizzate e proporzionate rispetto al profilo di rischio e alle possibili minacce.
| N. | Misure | Cosa fare?(13) |
| 1. | Politiche di analisi dei rischi e di sicurezza dei sistemi informativi e di rete | definire obiettivi,individuare ruoli e responsabilità, stabilire una metodologia di valutazione/gestione dei rischi,prevedere una procedura di monitoraggio e revisione. |
| 2. | Gestione degli incidenti e delle notifiche | definire gli step in caso di incidente significativo, che abbia causato o possa causare perturbazioni gravi o perdite finanziarie per l’interessato o abbia avuto ripercussioni o possa averne su persone fisiche o giuridiche.Si potrebbe prevedere, riprendendo l’esperienza dal mondo SSL, in logica preventiva, la formalizzazione di un registro dei cd. near-miss informatici, per qualificarli come campanelli d’allarme di possibili eventi, prevenirne le cause ed evitare la ripetizione in futuro, fino al possibile incidente. |
| 3. | Continuità operativa | gestione di backup, ripristino in caso di disastro, modalità di gestione delle crisi. |
| 4. | Sicurezza della catena di approvvigionamento | Per tutti i fornitori per i quali un problema legato alla cybersicurezza possa portare un incidente:tenere conto delle vulnerabilità specifiche, verificare la qualità e resilienza dei prodotti e delle pratiche di cybersecurity, stabilire accordi contrattuali, prevedere due diligence e audit sui fornitori,valutare misure atte a garantire la sicurezza di infrastrutture, persone e dati associati ai servizi dati in outsourcing. |
| 5. | Sicurezza di acquisizione, sviluppo e manutenzione dei sistemi informativi e di rete | individuare i requisiti di sicurezza,implementare un sistema di cybersecurity by design,strutturare misure di tracciabilità, monitoraggio e revisione,prevedere sistemi di gestione e divulgazione delle vulnerabilità. |
| 6. | Politiche e procedure per valutare l’efficacia delle misure di gestione dei rischi | stabilire il perimetro di controllo,individuare metodi di monitoraggio e misurazione. |
| 7. | Pratiche di igiene e formazione | strutturare un percorso informativo e formativo a tutti i livelli,fornire istruzioni di utilizzo di tutti i sistemi. |
| 8. | Politiche e procedure relative all’uso della crittografia e cifratura | individuare i soggetti deputati alla gestione e conservazione delle chiavi,strutturare regole di gestione. |
| 9. | Sicurezza e affidabilità del personale, politiche di controllo dell’accesso e gestione dei beni e degli assetti | prevedere sistemi di selezione di personale qualificato,istituire regole di gestione degli accessi (anche fisici) e autenticazioni degli account,formalizzare i ruoli di amministratore di sistema,prevedere sistemi di sicurezza ambientale e fisica. |
| 10. | Altre misure | Uso di soluzioni di:autenticazione a più fattori e continua, comunicazioni vocali, video e testuali protette, anche istituendo sistemi di reporting interno,comunicazione di emergenza protetta. |
Il prossimo passo? Definire un programma d’azione preliminare, individuando obiettivi minimi, responsabilità specifiche e scadenze chiare per potenziare la resilienza informatica e garantire la continuità operativa.
LEGGI QUI l’articolo precedente 1/2, NIS2: senza fretta ma senza sosta. Una breve guida pratica
Intervento di Viviana BELLEZZA, Avvocato, Partner Studio Legale LP Avvocati
LP Avvocati è uno studio legale multidisciplinare di Roma.
Il Dipartimento di Compliance offre assistenza in materia di responsabilità da reato degli enti, anticorruzione, privacy, cybersecurity, salute e sicurezza sul lavoro, tutela dell’ambiente, whistleblowing, indagini interne e diritto dello sport. Gli avvocati ricoprono anche il ruolo di docenti presso Università, pubbliche e private; ISPRA; Camera Penale e altri Enti oltre a partecipare periodicamente, quali relatori, a convegni nazionali e internazionali.
Lo Studio si avvale di tecnologie avanzate e di strumenti di intelligenza artificiale per prestazioni di alto livello.
Per approfondimenti, consultare i seguenti link e/o riferimenti:
(1) Per cyber–security posture si intende l’insieme di dati che riguardano lo stato della sicurezza dell’organizzazione aziendale, la capacità di organizzarne le difese e l’efficienza nel rispondere ad eventuali attacchi, in funzione delle misure, delle politiche e delle tecnologie messe in campo.
(2) V. in questa stessa rivista V. Bellezza “NIS2: senza fretta ma senza sosta. Una breve guida pratica.” del 10 ottobre 2024.
(3) Ai sensi dell’art. 2, lett. d) del Decreto “Definizioni”, per «Autorità nazionale competente NIS» si intende l’Agenzia per la cybersicurezza nazionale.
(4) Direttiva UE 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022 relativa a misure per un livello comune elevato di cybersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2).
(5) Decreto legislativo 4 settembre 2024, n. 138, di “Recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cybersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (pubblicato in GU n.230 del 1 ottobre 2024)
(6) Art. 2 del Decreto, lett. dd), «approccio multi-rischio»: cosiddetto approccio all-hazards, l’approccio alla gestione dei rischi che considera quelli derivanti da tutte le tipologie di minaccia ai sistemi informativi e di rete nonché al loro contesto fisico, quali furti, incendi, inondazioni, interruzioni, anche parziali, delle telecomunicazioni e della corrente elettrica, e in generale accessi fisici non autorizzati”.
Considerando 79, della Direttiva NIS2: “Poiché le minacce alla sicurezza dei sistemi informatici e di rete possono avere origini diverse, le misure di gestione dei rischi di cybersicurezza dovrebbero essere basate su un approccio multirischio mirante a proteggere i sistemi informatici e di rete e il loro ambiente fisico da eventi quali furti, incendi, inondazioni, problemi di telecomunicazione o interruzioni di corrente, o da qualsiasi accesso fisico non autorizzato nonché dai danni alle informazioni detenute dai soggetti essenziali o importanti e agli impianti di trattamento delle informazioni di questi ultimi e dalle interferenze con tali informazioni o impianti che possano compromettere la disponibilità, l’autenticità, l’integrità o la riservatezza dei dati conservati, trasmessi o elaborati o dei servizi offerti da tali sistemi informatici e di rete o accessibili attraverso di essi. Le misure di gestione dei rischi di cibersicurezza dovrebbero pertanto affrontare anche la sicurezza fisica e dell’ambiente dei sistemi informatici e di rete includendo misure volte a proteggere detti sistemi da guasti del sistema, errori umani, azioni malevole o fenomeni naturali …”.
(7) Intanto, si potrà fare riferimento alla normativa di settore esistente; in primis, la norma internazionale ISO 27001:2022 e la versione italiana UNI CEI EN ISO/IEC 27001:2024; tra gli altri, raccomandazioni di ENISA, Cybersecurity Framework ideato dal NIST.
(8) Il medesimo approccio è rinvenibile in tutto il mondo della compliance che trova vero spazio e realizzazione dove l’impegno, la condivisione e la consapevolezza partono dall’Organo Amministrativo (“Commitment from the top”). Anche nelle norme ISO (Organizzazione internazionale per la normazione) e UNI (Ente di normazione italiano) in relazione ai sistemi di gestione, nei primi paragrafi vi è quello dedicato alla Leadership: si legge ad esempio nella UNI CEN EN ISO 27001:2024: “Leadership e impegno. L’alta direzione deve dimostrare leadership e impegno in riferimento al sistema di gestione per la sicurezza delle informazioni”.
(9) Art 38 del Decreto: Co. 5. Qualsiasi persona fisica responsabile di un soggetto essenziale o che agisca in qualità di suo rappresentante legale con l’autorità di rappresentarlo, di prendere decisioni per suo conto o di esercitare un controllo sul soggetto stesso, assicura il rispetto delle disposizioni di cui al presente decreto. Tali persone fisiche possono essere ritenute responsabili dell’inadempimento in caso di violazione del presente decreto da parte del soggetto di cui hanno rappresentanza.
Co. 6. Qualora il soggetto non adempia nei termini stabiliti dalla diffida di cui all’articolo 37, commi 6 e 7, l’Autorità ..può disporre nei confronti delle persone fisiche di cui al comma 5 del presente articolo, ivi inclusi gli organi di amministrazione e gli organi direttivi di cui all’articolo 23 dei soggetti essenziali e dei soggetti importanti, nonché di quelle che svolgono funzioni dirigenziali a livello di amministratore delegato o rappresentante legale di un soggetto essenziale o importante, l’applicazione della sanzione amministrativa accessoria della incapacità a svolgere funzioni dirigenziali all’interno del medesimo soggetto..”.
(10) Con riferimento al concetto di rischio e alla sua gestione si rinvia, per approfondimento, alla lettura della famiglia di norme ISO 27000, dove si legge che il rischio è l’effetto (ovvero una deviazione) dell’incertezza (carenza di informazioni, comprensione o conoscenza dell’evento, delle sue conseguenze o della sua probabilità) sugli obiettivi. Il rischio è spesso caratterizzato dal riferimento a potenziali “eventi” e “conseguenze” e della relativa “probabilità” o a una loro combinazione. Il rischio per la sicurezza delle informazioni è associato alla possibilità che le minacce sfruttino le vulnerabilità di un asset informativo o di un gruppo di asset informativi, causando così un danno all’organizzazione.
(11) Si pensi alle norme UNI ISO 31000:2018 (“Gestione del Rischio – Linee Guida”), UNI ISO 37301:2021 (“Compliance management system – Requirements with guidance for use”), UNI ISO 27001:2022 (“Information security, cybersecurity and privacy protection — Information security management systems — Requirements”), al “Methodology for sectoral cybersecurity assessments” report di ENISA, al Cybersecurity Framework ideato dal NIST, al Framework Nazionale per la Cybersecurity e la Data Protection, all’attività di risk assessment disposta ai sensi del d.lgs. 231/2001.
Nell’ambito dell’analisi del rischio aziendale, fondamentale è l’Entreprise risk management. Come evidenziato nelle guidance “Thought Leadership in ERM – Risk Assessment in Practice”, fornita dal “Committee of Sponsoring Organizations of the Treadway Commission” (CoSO) in riferimento alla valutazione del rischio in ambito ERM, una volta individuati i rischi aziendali, occorre sviluppare una metodologia di valutazione da applicare. A tal fine, la maggior parte delle organizzazioni utilizza i parametri di valutazione di seguito indicati:
- l’”impatto”, che si riferisce alla misura in cui un evento di rischio potrebbe influenzare l’impresa.
- La “probabilità”, intesa dall’ERM come la possibilità che un dato evento si verifichi. Può essere espressa utilizzando termini qualitativi (frequente, probabile, possibile, improbabile, raro), attraverso una percentuale di probabilità, ovvero come frequenza.
- La “vulnerabilità”, intesa come la suscettibilità dell’ente a un evento di rischio in termini di preparazione e adattabilità dell’organizzazione aziendale. La vulnerabilità è ritenuta strettamente correlata all’impatto e alla probabilità: più l’ente è vulnerabile al rischio, tanto maggiore sarebbe l’impatto qualora l’evento dovesse verificarsi; qualora le eventuali risposte al rischio e i controlli predisposti non fossero in atto, la probabilità che si verifichi un evento rischioso aumenterebbe. I criteri di valutazione della “vulnerabilità” richiamati dall’ERM sono:
- la capacità di anticipare gli eventi (panificazione di scenari);
- la capacità di prevenire eventi (risposte al rischio in atto);
- la capacità di rispondere e adattarsi rapidamente all’evolversi degli eventi;
- la capacità di resistere all’evento in termini di riserva di capitale e solidità finanziaria e strutturale.
- La “velocità di insorgenza”, intesa come il tempo necessario affinché un dato evento di rischio possa manifestarsi o, in altre parole, il tempo intercorrente tra il verificarsi di un evento e il momento in cui l’azienda avverte gli effetti.
(12) Il 17 ottobre 2024, la Commissione Europea ha emanato il primo regolamento attuativo della NIS2 (NIS2: Regolamento di esecuzione della Commissione relativo ai soggetti e alle reti critici | Plasmare il futuro digitale dell’Europa) che, sebbene dedicato solo a specifici soggetti digitali, illustra altri casi in cui un incidente deve intendersi significativo e, soprattutto, stabilisce requisiti tecnici e metodologici delle misure di gestione del rischio di cybersecurity comunque utili e interessanti anche per tutti gli altri soggetti obbligati dalla normativa.
(13) Si tratta di un elenco esemplificativo non esaustivo.
