Da tempo la cybersicurezza è divenuta un elemento centrale per le organizzazioni a livello globale, principalmente a causa dell’aumento del numero e della qualità – in termini di maggiore sofisticatezza innanzitutto – delle minacce informatiche. In questo contesto, il National Institute of Standards and Technology (NIST) Cybersecurity Framework (CSF) si pone quale benchmark essenziale per chiunque desideri migliorare la propria cybersecurity preparedness.
Genesi e sviluppi del NIST CSF
Sviluppato originariamente nel 2014, il NIST CSF ha inteso da subito fornire un approccio quanto più possibile completo e flessibile per la gestione dei rischi di cybersicurezza.
Originariamente introdotto per aiutare le organizzazioni – in particolare nel settore delle infrastrutture critiche negli USA – a gestire e mitigare i rischi informatici fornendo le linee guida nel cui rispetto migliorare la gestione complessiva della cybersicurezza (offrendo “una tassonomia di risultati di alto livello in materia di cybersecurity che può essere utilizzata da qualsiasi organizzazione – indipendentemente dalle dimensioni, dal settore o dalla maturità – per comprendere, valutare, dare priorità e comunicare meglio i propri sforzi in materia di cybersecurity”)[1], il NIST CSF – inizialmente basato su un insieme centrale di attività di cybersecurity (Identifica, Proteggi, Rileva, Rispondi e Ripristina) – è stato recentemente rivisto e aggiornato alla versione “2.0”.
Funzione Govern e allargamento della platea del NIST CSF 2.0
In estrema sintesi, la versione 2.0 del NIST CSF ha visto la comparsa della nuova funzione Govern, finalizzata a stabilire e monitorare strategie e politiche di gestione del rischio informatico enfatizzando un approccio olistico alla cybersecurity. Ne deriva una rinnovata cultura della consapevolezza sul tema; oltre ad un allargamento della – già eterogenea – platea di addetti ai lavori che ne vengono interessati, ad ulteriore conferma del rilievo framework: ben potendone usufruire non solo i responsabili dello sviluppo e della gestione dei programmi di cybersecurity ma anche dirigenti, consigli di amministrazione, avvocati e – più in generale – chiunque sia professionalmente attivamente coinvolto nelle operazioni di cybersecurity e risk management.
NIST CSF 2.0 e direttiva NIS2: i punti di contatto
Il NIST CSF non è – tuttavia – l’unico standard riconosciuto a livello internazionale, né tantomeno – a ben vedere – l’unica fonte di riferimento sul tema, ed anzi: per coloro che hanno sede e/o un centro di interessi (in particolare commerciali) all’interno del territorio dell’Unione, il NIST CSF può ben fungere da benchmark di riferimento, ma rimane necessario fare i conti con una serie – invero sempre più nutrita, come ho avuto modo di specificare qui – di fonti regolamentari di hard law, tra cui naturalmente spiccano per rilievo nella materia il Regolamento n. 881/2019 (Cybersecurity Act) e in particolare la Direttiva NIS2 (quest’ultima come noto applicabile principalmente agli operatori di servizi essenziali e ai fornitori di servizi digitali, con un ampliamento rispetto alla NIS al fine di includere anche settori come telecomunicazioni e sanità).
Gli aspetti metodologici
Entrambe le fonti mirano a migliorare la sicurezza informatica e la resilienza delle organizzazioni di fronte a minacce informatiche sempre più sofisticate.
Tra i principali punti di contatto vi sono, innanzitutto, gli aspetti metodologici.
Gestione dei rischi
In primis l’indiscussa centralità riservata alle operazioni di risk management (a partire dalla funzione di identify nel NIST CSF e dalle misure di gestione dei rischi ex art. 21 NIS2; oltre che comunque nel solco dell’approccio cui si conforma la quasi totalità degli atti normativi della Strategia dell’UE per il digitale, non ultimo il recentissimamente pubblicato[2] AI Act).
Prospettive di ampio respiro
Entrambi i documenti adottano poi una prospettiva di ampio respiro, cercando di promuovere l’adozione delle migliori pratiche di sicurezza – a livello tecnico e organizzativo – in ottica sovranazionale (anche indipendentemente dalla vincolatività formale del documento: mentre il NIST CSF 2.0. si rivolge – per sua stessa natura ed estrazione – a tutti gli operatori di settore; la NIS2 – pur geograficamente limitata nella sua applicazione territoriale – va letta come ulteriore strumento di promozione del Brussels effect[3].
Cooperazione e condivisione dei saperi tra gli interessati
Entrambi i documenti favoriscono poi operazioni di cooperazione e condivisione dei saperi tra gli interessati (si vedano ad esempio i Community Profiles NIST gli accordi di condivisione delle informazioni sulla cibersicurezza ai sensi dell’art. 29 NIS2, nonché – ancora – perfino le misure di coordinamento e di cooperazione, anche con la Commissione europea e l’ENISA, previste dall’art. 22 della Direttiva).
Struttura modulare
Nel merito, entrambi i framework adottano in partenza una struttura modulare, strutturata per consentire agli operatori di servizi di adattare le best practices e/o gli adempimenti necessari alle proprie esigenze specifiche, dal punto di vista operazionale (la NIS2 permette agli Stati membri di implementare misure specifiche basate su esigenze nazionali) e organizzativo (i NIST organizational profiles semplificano il processo di adattamento del framework agli obiettivi di sicurezza e ai risultati attesi di un’organizzazione, con l’obiettivo di rendere più semplice colmare il divario tra la situazione di partenza e la postura di cybersecurity target).
Quale misura di chiusura, infine, entrambi pongono l’accento sull’imprescindibilità del miglioramento continuo della gestione del rischio di cybersecurity e delle pratiche di sicurezza e dunque di riflesso sull’importanza di una formazione specifica (funzione protect nel NIST CSF 2.0.; artt. 7; 9; 20 NIS2).
Le principali differenze tra NIS2 e NIST CSF 2.0
Ovviamente tra i due documenti vi sono anche rilevanti differenze.
Obblighi di conformità
NIS2 è una fonte legally binding (e alla quale gli Stati membri dovranno necessariamente conformarsi entro il perentorio termine del 17 ottobre 2024) mentre l’altra si limita a stabilire e incoraggiare l’adozione di un framework di cybersicurezza e cyberdifesa su base essenzialmente volontaria (utilizza standard e best practices per coadiuvare le organizzazioni nelle operazioni di risk management, ma non impone obblighi di adeguamento di alcun tipo: il framework stesso è descritto come un insieme di linee guida volontarie che “non prescrive come raggiungere i risultati” limitandosi piuttosto a fornire “indicazioni sulle pratiche e sui controlli che potrebbero essere utilizzati per raggiungere tali risultati”[4]).
Portata geografica
Conseguentemente, il portato della NIS2 è – pur al netto del sopramenzionato Brussels effect, ndr – territorialmente e settorialmente limitato (artt. 2 e 3), mentre il NIST CFS, inizialmente pensato specificamente per la gestione del rischio nelle infrastrutture critiche statunitensi, guarda ora – espressamente – ad una applicazione globale o, quantomeno, globalmente riconosciuta.
Differente gestione degli incidenti
Ne discende ovviamente una differente gestione degli incidenti, normativamente proceduralizzata per NIS2 (si vv. gli obblighi di segnalazione ex art. 23 e le sanzioni ex artt. 34-36), standardizzata nella funzione respond per il NIST CSF, che non prevede né obblighi di notifica né tantomeno sanzioni (tanto più mancando un’Autorità cui verrebbe riconosciuta tale competenza).
L’individuazione dei soggetti interessati
La maggiore rigidità di un impianto regolatorio rispetto ad uno più spiccatamente operativo si riflette infine nell’individuazione dei soggetti cui i medesimi si rivolgono: dove la NIS2 richiede governance strutturata e responsabilità chiare (prevedendo il coinvolgimento del top management e la definizione di ruoli e responsabilità chiari all’interno delle organizzazioni), il NIST CSF 2.0 promuove un’ottimizzazione della governance nelle operazioni di cybersecurity senza tuttavia richiedere l’attribuzione di specifiche responsabilità né il coinvolgimento di strutture ad hoc (così, la nuova funzione govern – cui come detto si deve la comparsa nel framework di un vero e proprio management della sicurezza, lascia ampia flessibilità su come implementarla (specificando che “un’organizzazione può decidere come gestire e affrontare i rischi secondo differenti modalità”[5]).
Il ruolo di NIST CSF 2.0 e NIS2 nella sicurezza informatica globale
Nel complesso, sia il NIST CSF 2.0 che la Direttiva NIS2 giocano un ruolo cruciale nel rafforzare la sicurezza informatica a livello globale e all’interno dell’Unione.
Il NIST Cybersecurity Framework 2.0 rappresenta un progresso significativo nello sforzo di standardizzazione e miglioramento delle pratiche di cybersicurezza a livello globale, e – per numerosi e non trascurabili aspetti – si presta ad un dialogo con i requisiti regolatori dell’UE.
Le sfide dell’integrazione con altri strandard
Permangono tuttavia, sullo sfondo, sfide come l’integrazione con altri standard, l’ottimale allocazione delle risorse per le PMI e – giocoforza – la necessità di una capacità adattiva continua. Quest’ultima, in particolare, non è facilitata dalle differenze rinvenibili tra le fonti normative, che riflettono differenti approcci al tema: il NIST CSF 2.0 offre flessibilità e adattabilità, utile in contesti internazionali e comunque espressione di un approccio più funzionale e goal-oriented; la Direttiva NIS2, con i suoi requisiti vincolanti e specifici, garantisce un livello minimo di sicurezza uniforme e condiviso tra gli Stati membri dell’Unione.
Due approcci diversi, stesso obiettivo
Appunto due approcci differenti, aventi il medesimo fine e – soprattutto – metafora della principale sfida cui la regolamentazione ci pone davanti: l’equilibrio tra flessibilità e vincolatività, tanto più quando trattasi di norme o misure rivolte al corporate (e come noto gran parte del tessuto imprenditoriale – europeo ma in specie italiano – è costituito da PMI), giocoforza attento alle complessità burocratiche che potrebbero derivare da un eccesso di regolamentazione (a non voler ricordare le possibili sovrapposizioni applicative tra norme intra-unionali, anche il NIST CSF 2.0 pone l’accento – sempre più marcato – sulla compliance integrata, anche con i principi di cui è espressione il GDPR).
Conclusioni
Trovare un’integrazione tra sistemi capace di combinare i punti di forza di entrambi i framework potrebbe rappresentare la soluzione ideale per ottenere una maggiore resilienza e sicurezza informatica a livello globale.
Note
[1] https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf .
[2] 12 luglio 2024.
[3] Come noto, quel processo di globalizzazione normativa unilaterale determinato dall’Unione europea che de facto (non necessariamente de jure) esterna le proprie leggi al di fuori dei suoi confini attraverso meccanismi di mercato e di influenze.
[4] https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf.
[5] “An organization may choose to handle risk in one or more ways” (NIST CSF 2.0., par. 5).
