NIS2: come rafforzare la cybersecurity attraverso la governance aziendale

La Direttiva NIS2 è specificata dalla Direttiva UE 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022 sulla sicurezza delle reti e delle informazioni e va ad abrogare la precedente Direttiva UE 2016/1148, chiamata Direttiva NIS.

La Direttiva NIS2: definizione e obiettivi

Obiettivo di NIS2 è sostanzialmente il medesimo della precedente Direttiva NIS: definire le misure di sicurezza digitale necessarie a livello di ogni paese membro della UE, così da uniformare, pur con una certa flessibilità, la risposta europea ai possibili attacchi digitali, soprattutto per le infrastrutture ICT critiche, quelle che supportano i “servizi essenziali” per ogni paese membro, così da poter avere misure volte a garantire un livello comune ed elevato di sicurezza digitale nell’Unione Europea (UE).

La necessità di aggiornare la NIS deriva dalla complessa attuazione delle misure previste, e soprattutto dal complesso loro controllo, che ha portato a forti differenze da uno Stato membro all’altro della UE in termini di tipo di obbligo, livello di dettaglio e metodo di vigilanza. NIS2 cerca di rafforzare i requisiti di sicurezza, migliorare la sicurezza delle supply chain, semplificare gli obblighi di segnalazione (rispetto al NIS), introdurre misure di supervisione più rigorose e requisiti di applicazione più severi.

NIS2, così come la precedente NIS, pone forti impegni per l’autorità nazionale, in Italia ACN, Agenzia Cybersicurezza Nazionale, che deve individuare le organizzazioni pubbliche e private considerate “essenziali” o “importanti” e supervisionare che effettivamente espletino quanto richiesto dalla Direttiva. In sintesi la fig. 1 evidenzia quali erano inizialmente i soggetti della NIS, e distingue quelli “essenziali” (in pratica tutti quelli del NIS) da quelli ”importanti”. L’elenco dei settori critici ed importanti sono dettagliato negli Allegati 1 e 2 della Direttiva NIS2.

L’impatto della Direttiva NIS2 sulle organizzazioni

Al di là dei soggetti individuati da ACN e che dovranno obbligatoriamente seguire, quali entità “essenziali” o “Importanti” (per la criticità dei loro sistemi informativi e dei servizi da loro erogati per il funzionamento del sistema paese), a giudizio dell’autore almeno una parte della Direttiva NIS2 dovrebbe essere seguita anche da tutte le altre aziende ed enti per un effettivo miglioramento e potenziamento della sicurezza digitale del loro sistema informativo , e più in particolare per:

• il coinvolgimento del vertice della azienda/ente nella governance^[1]del SI e della sua sicurezza digitale;
• la periodica e sistematica analisi e gestione dei rischi digitali il logico “multi-rischio”;
• l’implementazione delle idonee misure di sicurezza digitale correlate ed in funzione dell’analisi dei rischi.

Al punto 1 dell’art. 20, la Direttiva NIS2 specifica: “Gli Stati membri provvedono affinché gli organi di gestione dei soggetti essenziali e importanti approvino le misure di gestione dei rischi di cibersicurezza adottate da tali soggetti per conformarsi all’articolo 21, sovraintendano alla sua attuazione e possano essere ritenuti responsabili di violazione da parte dei soggetti di tale articolo.” Gli organi di gestione sono i vertici dell’azienda/ente, tipicamente il Consiglio di Amministrazione, il Presidente, l’Amministratore Delegato o Unico, etc.

Questo è un punto fondamentale che coinvolge direttamente chi gestisce l’azienda/ente ad essere responsabile anche della sicurezza digitale.

Direttiva NIS2: responsabilità del management

La sicurezza digitale non è più solo un tema di responsabilità per il CISO (Chief Information Security Officer) e/o per il CIO (Chief Information Officer), ma dell’organo che dirige e governa l’azienda/ente e che deve:

• approvare le misure per la gestione del rischio legato alla cybersecurity;
• supervisionare l’implementazione di tali misure;
• partecipare a formazioni specifiche su tematiche di cybersecurity, estendendo quest’opportunità anche ai collaboratori, al fine di valutare l’efficacia e l’adeguatezza delle misure di sicurezza adottate.

Questi tre punti elencano in pratica le fondamentali attività per la “governance” del sistema informativo e della sua sicurezza in carico a chi dirige e governa l’azienda/ente, e viene così ben evidenziato come la sicurezza digitale non sia solo un problema “tecnico” ma sia un reale problema per il business e per le attività dell’azienda/ente, che sono ormai praticamente tutte supportate dal sistema informativo. Se questo non funziona, o peggio, funziona male, l’azienda/ente non può più operare: senza l’idonea sicurezza digitale, non è garantita la continuità operativa; e questo è un tema di business che il top management deve porsi ed affrontare.

Per meglio chiarire il concetto di “governance”, distinguendolo da quello di “management”, la fig. 2 mostra i processi chiave inerenti le due aree secondo il framework COBIT^[2].

La fig. 3 elenca le principali attività tipiche della governance e del management per un sistema informativo e per la sua sicurezza.

L’approccio multirischio previsto dalla Direttiva NIS2

Il citato art. 21 della Direttiva NIS2 dettaglia logiche e criteri per l’adozione delle “misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi e per altri servizi. Nel valutare la proporzionalità di tali misure, si tiene debitamente conto del grado di esposizione del soggetto a rischi, delle dimensioni del soggetto e della probabilità che si verifichino incidenti, nonché della loro gravità, compreso il loro impatto sociale ed economico.” E soprattutto richiede che le misure di sicurezza idonee a prevenire e a contrastare i rischi digitali debbano essere individuate a seguito di un approccio multirischio, “mirante a proteggere i sistemi informatici e di rete e il loro ambiente fisico da eventi quali furti, incendi, inondazioni, problemi di telecomunicazione o interruzioni di corrente, o da qualsiasi accesso fisico non autorizzato nonché dai danni alle informazioni detenute dai soggetti essenziali o importanti e agli impianti di trattamento delle informazioni di questi ultimi e dalle interferenze con tali informazioni o impianti che possano compromettere la disponibilità, l’autenticità, l’integrità o la riservatezza dei dati conservati, trasmessi o elaborati o dei servizi offerti da tali sistemi informatici e di rete o accessibili attraverso di essi.”

L’approccio multirischio implica di considerare i seguenti punti:

• la valutazione completa dei rischi: si devono effettuare valutazioni dei rischi regolari e approfondite, considerando ogni possibile fonte di minaccia e vulnerabilità, sia tecnica che no;
• i rischi fisici e ambientali: devono considerarsi i rischi non digitali, come calamità naturali e guasti hardware, che possono impattare sulla sicurezza delle informazioni;
• le risorse umane e processi interni: costituiscono le vulnerabilità più critiche per la sicurezza digitale. L’errore umano, la mancanza di formazione sulla sicurezza digitale, la gestione inadeguata dei processi interni sono fattori di rischio significativi che devono essere affrontati;
• la gestione della catena di approvvigionamento (supply chain): le vulnerabilità nei prodotti o servizi forniti da terzi possono rappresentare un rischio per la sicurezza digitale, richiedendo un’attenta valutazione e mitigazione;
• la risposta agli incidenti: occorrono piani chiari ma dettagliati per rispondere efficacemente a incidenti di sicurezza di varia natura.
• adattabilità e resilienza: sono fondamentali per garantire la continuità operativa del sistema informativo e del funzionamento di qualsiasi organizzazione.

Da questo punto di vista NIS2 fornisce precise indicazioni che dovrebbero essere seguite da tutte le aziende/enti in Italia, indipendentemente dal loro obbligo, o non, a seguire la Direttiva.

NIS2 e la formazione specifica su tematiche di cybersecurity

Da un lato le guerre in atto e le forte tensioni geopolitiche ampliano enormemente il rischio attacchi digitali (siamo ormai in una guerra informatica permanente) e dall’altro la stragrande prevalenza di micro organizzazioni in Italia (dai dati Istat il 95% delle aziende è sotto i 10 dipendenti, e simili percentuali sono valide anche per le Pubbliche Amministrazioni, in particolare per quelle locali), richiedono, e presto, il potenziamento delle misure di sicurezza digitale indipendentemente dal loro livello di criticità per la nazione: questo, a sua volta, richiede il coinvolgimento del vertice decisionale dell’organizzazione, che deve essere (o divenire) consapevole della stretta correlazione continuità operativa-sicurezza digitale e prendere, o far prendere, i conseguenti provvedimenti, in primis lo stanziamento di un adeguato budget per la sicurezza digitale.

Il tutto è facile a dirsi, ma ben più difficile realizzarlo proprio in Italia, dove la cultura informatica, e non parliamo di quella sulla sicurezza digitale, è minima e agli ultimi posti tra i paesi dell’Unione Europea, come anche dettagliato dall’indagine DESI^[3].

Il far riferimento a NIS2, in maniera intelligente e contestualizzando la Direttiva alla propria realtà, può essere (il condizionale è d’obbligo) un fattore leva per convincere il vertice dell’azienda/ente che la sicurezza digitale è vitale per la continuità operativa, e quindi per l’esistenza stessa dell’azienda/ente, e di conseguenza ad impegnarsi direttamente nel governo della sicurezza digitale, dall’attuazione dell’analisi dei rischi all’implementazione delle conseguenti idonee misure di sicurezza ed al loro continuo e sistematico monitoraggio.

La maggior parte delle organizzazioni, soprattutto quelle piccole e micro, non ha e non può avere competenze interne adeguate per svolgere direttamente questi compiti: deve (o dovrebbe) terziarizzare a società specializzate, utilizzando i così detti MSS, Managed Security Services^[4]: e questo richiede comunque il coinvolgimento del vertice, che deve scegliere quale outsourcer e/o consulente utilizzare, possibilmente con una scelta razionale. Non ci sono scappatoie: il vertice, per poter decidere, deve avere una conoscenza almeno di base, e per acquisirla, come indicato da NIS2, deve “partecipare a formazioni specifiche su tematiche di cybersecurity”.

Le attività formative di AIPSI e FIDAInform sulla sicurezza digitale

In questo ambito è significativa l’attività che AIPSI^[5] svolge (anche in collaborazione con altre associazioni no-profit in ambito ICT federate in FIDAInform^[6]) in merito alla formazione continua e al trasferimento di conoscenza sulla sicurezza digitale, in termini tecnici, organizzativi e legislativi-normativi. Lo fa attraverso specifici webinar riservati ai soli soci o aperti a tutti gli interessati, al supporto a corsi di formazione e alle certificazioni individuali, all’attuazione di specifiche iniziative, la più importante e più nota delle quali è l’Osservatorio Attacchi Digitali in Italia, OAD, giunto nel 2024 al diciassettesimo anno consecutivo di indagini. OAD è l’unica indagine in Italia sugli attacchi intenzionali ai Sistemi Informativi (SI), e alle loro misure di sicurezza digitale in essere, realizzata con una indagine anonima via web indirizzata a tutte le Aziende operanti in Italia, di ogni settore merceologico e dimensione, e alle Pubbliche Amministrazioni sia Locali che Centrali.

Di grande interesse per il vertice aziendale (e non solo!) è, anno dopo anno, il Rapporto finale, che presenta la situazione degli attacchi digitali e delle misure di sicurezza in Italia, così come emerge dall’elaborazione delle risposte al questionario on line, e la inquadra coi dati a livello nazionale forniti dalla Polizia Postale ed ora dall’ACN, a livello europeo coi dati di ENISA, l’Agenzia dell’ UE per la cibersicurezza a livello mondiale col rapporto annuo OECD e con i principali rapporti forniti da enti e da aziende dell’offerta ICT. Quale esempio, è liberamente scaricabile il Rapporto OAD 2023.

Formativo per il vertice, soprattutto delle micro aziende/enti, è anche la compilazione del questionario online e rigorosamente anonimo. Il rispondere alle varie domande, in particolare a quelle (opzionali) sulle misure di sicurezza tecnica ed organizzativa in essere, consente una veloce ma puntuale verifica dei possibili attacchi subiti o che si potrebbero subire, e delle misure di sicurezza in essere, rispetto ad un elenco di quelle possibili; in pratica un veloce ed efficace corso gratuito sulle misure di sicurezza e sugli attacchi digitali. Ma non solo: il questionario fornisce in tempo reale, alla conclusione della sua compilazione che includa le risposte opzionali sulle misure di sicurezza in essere, una valutazione qualitativa del livello di sicurezza digitale del SI considerato nel rispondere al questionario. Il Questionario OAD 2024 è on line, rigorosamente anonimo e sicuro.

Il lettore provi a compilarlo; potrà così verificare la correttezza di quanto affermato.

Bibliografia

• NIS2 – Direttiva UE 2022/2555: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A32022L2555
• Marco R. A. Bozzetti: “CyberSecurity as a Service e Managed Security Services: quali vantaggi per Pmi e PA”, Agenda Digitale, 30/03/2023 – https://www.agendadigitale.eu/sicurezza/cybersecurity-as-a-service-e-managed-security-services-opportunita-o-necessita-per-pmi-e-pa/

Webinar AIPSI-AIPSA del 21/11/2023: ”Le nuove direttive europee sulla sicurezza digitale: come affrontarle?” – https://www.aipsi.org/eventi/eventi-archiviati/900-save-the-date-12-10-2023-ore-18-webinar-aipsi-aipsa-sulle-nuove-direttive-e-regolamenti-ue-sulla-sicurezza-digitale.html

• Webinar AIPSI del 22/03/2022:”La prossima direttiva NIS 2: cosa c’è di nuovo e come si sta muovendo l’Italia?” – https://www.aipsi.org/eventi/eventi-archiviati/812-22-3-2022-ore-18-webinar-aipsi-con-avv-stefano-mele-su-nis-e-nis2.html?highlight=WyJuaXMiXQ==
• Le risposte ACN alle più frequenti domande su NIS, NIS2 e PSNC, Perimetro di Sicurezza Nazionale Cibernetica – https://www.acn.gov.it/portale/faq/nis-e-psnc
• Giuseppe Alverone, Monica Perego: “Il paradigma della Security Convergence nella NIS 2, per una gestione efficace dei rischi cyber”, Cybersecurity360 28/05/2024 – https://www.cybersecurity360.it/legal/il-paradigma-della-security-convergence-nella-nis-2-per-una-gestione-efficace-dei-rischi-cyber/

1. In ambito informatico, la governance è il processo che assicura che le esigenze, le condizioni e le alternative degli stakeholder siano valutate per definire obiettivi concordati ed equilibrati che l’organizzazione dovrà raggiungere; imposta la direzione mediante decisioni e assegnazioni di priorità; monitora prestazioni e conformità rispetto alla direzione e agli obiettivi concordati. Essa ha una valenza tipicamente a livello strategico. La governance non deve essere confusa, come spesso avviene, con il management, o gestione operativa. Il management pianifica, sviluppa, esegue e monitora le attività in linea con la direzione impostata dall’organismo di governance, al fine di raggiungere gli obiettivi dell’organizzazione. Esso ha una valenza tipicamente a livello operativo. ↑
2. COBIT, Control Objectives for Information and related Technology, è il modello di riferimento dei processi per il governo e la gestione di un sistema informativo creato da ISACA, Information Systems Audit and Control Association, l’associazione statunitense degli auditor e da IT Governance Institute. Attualmente COBIT è alla versione 2019. Si veda https://www.isaca.org/resources/cobit ↑
3. DESI, Digital Economy and Society Index, è un indice composito che sintetizza vari rilevanti indicatori sulle prestazioni digitali in Europa e traccia l’evoluzione dei vari membri EU nella competitività digitale. Le voci di questo indice includono il capitale umano, la connettività, l’integrazione delle tecnologie digitali (in particolare per la digitalizzazione del business e per l’e-commerce), i servizi pubblici digitali (con riferimento all’e-Government, ossia all’uso dell’ICT nei processi amministrativi delle PA). Si veda https://digital-strategy.ec.europa.eu/it/policies/desi ↑
4. Per approfondimenti si veda l’articolo dell’autore in https://www.agendadigitale.eu/sicurezza/cybersecurity-as-a-service-e-managed-security-services-opportunita-o-necessita-per-pmi-e-pa/ ↑
5. AIPSI, Associazione Italiana Professionisti Sicurezza Informatica (https://www.aipsi.org) è il Capitolo italiano della mondiale ISSA, Information Systems Security Association, (www.issa.org), la più grande associazione di professionisti della sicurezza digitale. Entrambe sono associazioni a politiche, a religiose e senza fini di lucro, alle quali possono aderire solo persone fisiche. Obiettivi principali di AIPSI sono: aiutare i propri Soci nella crescita professionale e delle loro competenze, tramite un insieme di servizi e di opportunità forniti da AIPSI a livello nazionale e da ISSA a livello internazionale; sensibilizzare sulla sicurezza digitale gli utenti dei Sistemi Informativi e dei servizi digitali ↑
6. FIDAInform è la Federazione Nazionale delle Associazioni Professionali di Information Management (https://fidainform.it/) che federa libere associazioni no profit di professionisti dell’ICT (Information and Communications Technology) che vi partecipano a livello personale e non aziendale. FIDAInform si propone come “nodo” attivo del Sistema-Paese per lo sviluppo del Settore ICT. ↑