Articolo pubblicato su altalex
In consultazione pubblica la guida (Implementation guidance on security measures_FOR PUBLIC CONSULTATION) per l’attuazione del Regolamento di esecuzione (UE) 2024/2690 del 17 ottobre 2024 che stabilisce le modalità di applicazione della Direttiva (UE) 2022/2555, per quanto riguarda i requisiti tecnici e metodologici delle misure di gestione dei rischi di cybersicurezza.
Avevamo già parlato del Regolamento attuativo della Direttiva NIS 2. Si aggiunge, con le linee guida in commento, un utilissimo strumento per costruire una sorta di check list da cui partire che chiarisce i punti di intersezione con i controlli di framework internazionali come l’ISO 27001 e che mira a fornire indicazioni pratiche per aiutare i soggetti interessati nell’implementazione delle misure richieste, promuovendo al contempo un approccio armonizzato alla sicurezza informatica in tutti gli Stati membri dell’UE.
Sebbene il regolamento di attuazione si applichi ad alcune tipologie di operatori, tra cui i fornitori di servizi DNS, registri di nomi di dominio di primo livello (TLD), cloud computing, data center, piattaforme di marketplace online, motori di ricerca e social network, questa guida applicativa (seppur ancora in consultazione) offre comunque utili consigli e suggerimenti per l’implementazione di un sistema di gestione cyber security in ottica NIS2.
1. Sicurezza per i sistemi di rete e informazione
La guida di ENISA attribuisce una rilevanza cruciale alla definizione e implementazione di una politica di sicurezza per i sistemi di rete che deve rappresentare il documento strategico che regola l’approccio generale alla sicurezza dei dati e delle infrastrutture, stabilendo linee guida e obiettivi che devono essere allineati con la mission aziendale.
Questa politica di sicurezza deve essere formulata tenendo conto di specifici aspetti, tra cui l’allineamento con la strategia aziendale: ogni organizzazione deve fare in modo che la propria politica di sicurezza sia coerente con gli obiettivi strategici e con le attività critiche per assicurare che le misure di sicurezza siano progettate per sostenere e proteggere le operazioni e gli obiettivi aziendali senza limitare l’efficienza e la crescita.
Deve specificare gli obiettivi fondamentali, come la protezione della riservatezza, dell’integrità e della disponibilità dei dati e delle infrastrutture, e stabilire un livello minimo di sicurezza che tutti i sistemi devono rispettare.
Questo livello minimo può essere modulato in base alla criticità delle informazioni trattate ed al contesto operativo dell’organizzazione.
Deve essere inoltre esplicitato un impegno formale da parte dei vertici aziendali teso al miglioramento continuo della sicurezza dei sistemi di rete e informazione. Questo implica la revisione periodica della politica di sicurezza, l’adeguamento alle nuove minacce e l’integrazione delle ultime best practices di settore.
Viene ad assumere un ruolo centrale l’allocazione di risorse sufficienti, sia finanziarie che umane, destinate al miglioramento della postura cyber, per evitare che i sistemi di sicurezza possano risultare inefficaci. Andrebbe quindi previsto un budget specifico per la sicurezza e definiti i ruoli del personale incaricato per l’attuazione delle misure, assicurando che quest’ultimo disponga delle competenze e dei mezzi necessari per svolgere i propri compiti.
Un altro aspetto cruciale della politica di sicurezza è la formazione del personale, poiché gli errori umani rappresentano una delle maggiori vulnerabilità per la sicurezza.
Devono essere previsti programmi di formazione e sensibilizzazione, per assicurarsi che ciascun membro dell’organizzazione comprenda il proprio ruolo nella protezione dei sistemi e sappia come comportarsi in situazioni critiche.
Ogni ruolo associato alla sicurezza dovrebbe essere documentato e comunicato, includendo i requisiti per le attività di verifica e supervisione anche al fine di evitare conflitti di competenza e garantire la rapidità e l’efficacia delle risposte agli incidenti.
Risulta poi estremamente importante stabilire e documentare politiche specifiche su temi rilevanti come il controllo degli accessi, la gestione delle vulnerabilità e la sicurezza della supply chain, con procedure di monitoraggio e revisione per assicurarsi che siano applicate e rispettate in tutta l’organizzazione.
Una modalità suggerita per misurare il livello di maturità della sicurezza informatica dell’organizzazione è l’indicazione delle misure di monitoraggio e degli indicatori di implementazione. Tali indicatori possono includere metriche come il numero di incidenti rilevati e risolti, il tempo di risposta agli incidenti e il grado di conformità alle normative.
La politica di sicurezza deve essere rivista e, se necessario, aggiornata almeno annualmente o in seguito a modifiche significative delle operazioni o dei rischi aziendali. La revisione periodica consente di adeguare le misure di sicurezza alle minacce emergenti e di sfruttare le innovazioni tecnologiche.
2. Gestione del rischio cyber
La gestione del rischio cyber rappresenta una delle componenti essenziali per garantire la sicurezza dei sistemi di rete e delle informazioni. La guida di ENISA enfatizza l’importanza di un quadro completo e strutturato di gestione del rischio cyber, che consenta alle organizzazioni di identificare, valutare, monitorare e mitigare in modo sistematico i rischi legati alla sicurezza informatica. Questo approccio è cruciale in un contesto caratterizzato da una continua evoluzione delle minacce e dalla crescente complessità delle infrastrutture digitali.
Secondo le linee guida di ENISA, gli elementi principali di una gestione efficace del rischio cyber includono la definizione della metodologia di gestione del rischio: ogni organizzazione deve adottare una metodologia formalizzata per la gestione del rischio, che sia adeguata alla natura delle sue attività e all’ambiente in cui opera. La metodologia scelta dovrebbe comprendere strumenti e processi per identificare le minacce, valutare la probabilità e l’impatto degli incidenti potenziali e assegnare priorità alle risposte in base ai rischi più elevati.
Un primo passo essenziale nella gestione del rischio è l’identificazione dei possibili rischi per la sicurezza delle informazioni. Questo processo comprende l’analisi dei principali asset aziendali, come dati, sistemi e infrastrutture critiche, valutandone la vulnerabilità e le potenziali minacce. Ogni rischio identificato dovrebbe essere classificato in base alla probabilità di accadimento e all’impatto che potrebbe avere sull’organizzazione. È necessario stabilire un livello di tolleranza ai rischi in linea con gli obiettivi strategici e con la propensione al rischio dell’organizzazione. Ciò implica una valutazione della quantità di rischio che l’azienda è disposta ad accettare per raggiungere i propri obiettivi. Questa tolleranza al rischio diventa il parametro di riferimento per definire le soglie critiche e le priorità nella gestione delle vulnerabilità.
Di conseguenza, per ciascun rischio identificato, l’organizzazione deve sviluppare piani di trattamento specifici. Questi piani possono prevedere diverse opzioni di trattamento: mitigazione (riduzione del rischio), trasferimento (assegnazione del rischio a terzi, ad esempio tramite assicurazioni), accettazione del rischio residuo o riformulazione degli obiettivi aziendali, evitando di porre in essere l’attività da cui il rischio origina. Ogni piano di trattamento deve includere misure specifiche per ridurre la probabilità o l’impatto del rischio e assegnare responsabilità per l’attuazione delle misure.
I rischi residui, che sono quelli che permangono nonostante l’attuazione delle misure di mitigazione dovranno essere poi conosciuti e formalmente accettati dai vertici aziendali, i quali dovranno valutare se tali rischi siano tollerabili in base alle risorse disponibili e alla mission dell’organizzazione.
La guida in commento sovente invita alla necessità di monitoraggio e revisione continua dei rischi, proprio perchè la gestione del rischio cyber è un processo dinamico, che richiede un monitoraggio costante e una revisione periodica. La revisione annuale, o successiva a cambiamenti significativi nel contesto aziendale o nelle minacce esterne, consente di adattare la strategia di gestione del rischio alle nuove condizioni. Attraverso il monitoraggio continuo, è possibile valutare l’efficacia delle misure di trattamento del rischio e rilevare eventuali cambiamenti nei livelli di minaccia, intervenendo tempestivamente per adattare le strategie di risposta.
Nell’ottica del principio di accountability, tutte le attività di gestione del rischio devono essere adeguatamente documentate, incluse le valutazioni di rischio, i piani di trattamento e i risultati del monitoraggio continuo. Questa documentazione non solo facilita la tracciabilità delle decisioni, ma rappresenta anche uno strumento di comunicazione fondamentale per informare il personale e i responsabili aziendali sui rischi e sulle misure di protezione in essere.
3. Gestione degli incidenti, continuità operativa e supply chain
La gestione degli incidenti di sicurezza e la continuità operativa sono aspetti fondamentali nella protezione delle organizzazioni contro i rischi informatici. La guida ENISA enfatizza l’importanza di un sistema strutturato e reattivo che consenta alle organizzazioni di rilevare, analizzare, contenere e rispondere tempestivamente agli incidenti, limitandone l’impatto sulle operazioni aziendali e assicurando una rapida ripresa delle attività. Questo approccio non solo rafforza la resilienza delle infrastrutture digitali, ma garantisce anche la fiducia degli utenti e dei clienti nel sistema di sicurezza dell’organizzazione.
Elemento chiave per una gestione efficace degli incidenti e della continuità operativa è lo sviluppo di una politica di gestione degli incidenti che delinei chiaramente ruoli, responsabilità e procedure per la rilevazione, analisi, contenimento e risoluzione degli incidenti. Deve anche specificare i tempi e i metodi per la comunicazione degli incidenti ai vertici aziendali e ad altri attori rilevanti, come le autorità di vigilanza e i partner commerciali. La politica dovrebbe inoltre definire livelli di criticità per ciascun tipo di incidente, in modo da stabilire priorità e livelli di risposta differenziati a seconda della gravità.
Per garantire una risposta proporzionata ed efficace, è essenziale classificare e categorizzare gli incidenti in base a criteri predefiniti. Questi possono includere l’impatto sulle operazioni aziendali, il grado di sensibilità dei dati coinvolti, l’eventuale coinvolgimento di sistemi critici e le implicazioni legali. La classificazione degli incidenti consente di definire le priorità e i livelli di escalation appropriati, facilitando una gestione tempestiva e mirata.
Passo successivo è la preparazione di piani dettagliati di risposta, che comprendano le procedure per la gestione di varie tipologie di incidenti, dalla perdita di dati al malware, dal phishing all’attacco ransomware. I piani di risposta devono includere guide operative, flussi di lavoro e strumenti per la gestione degli incidenti, e devono essere accessibili a tutti i membri del team coinvolto. Questi piani devono anche stabilire tempi di risposta specifici, assicurando che ogni fase dell’incidente, dalla rilevazione alla risoluzione, venga completata in modo tempestivo.
Proprio perchè la business continuity ed il disaster recovery sono componenti essenziali per mantenere le funzioni aziendali critiche anche in situazioni di emergenza, la guida di ENISA raccomanda di preparare un piano di continuità operativa e un piano di disaster recovery, che devono essere integrati nella gestione degli incidenti.
Il Business Continuity Plan (BCP) stabilisce le procedure per garantire la continuità dei servizi essenziali durante un incidente, mentre il Disaster Recovery Plan (DRP) definisce i passi necessari per il ripristino dei sistemi e delle operazioni aziendali. Questi piani devono essere testati periodicamente attraverso simulazioni o esercitazioni per garantire che il personale sia preparato e che i processi siano aggiornati e funzionanti.
La Direttiva NIS 2 si caratterizza anche per l’attenzione che viene rivolta alla gestione della supply chain. Occorre infatti implementare un sistema di gestione della sicurezza rivolto ai fornitori che definisca i requisiti di sicurezza specifici e la valutazione periodica delle loro misure di protezione. La gestione della supply chain è cruciale per identificare e ridurre i rischi derivanti da fornitori critici e per garantire che l’intero ecosistema digitale sia protetto contro vulnerabilità esterne.
Una volta gestito un incidente, la fase di revisione post incidente è fondamentale per analizzare le cause dell’evento, valutare l’efficacia delle risposte e identificare aree di miglioramento. Queste revisioni devono essere documentate e utilizzate come base per aggiornare le politiche e i piani di risposta, rafforzando così la resilienza dell’organizzazione contro futuri incidenti. La guida suggerisce di prevedere apposite attività di formazione e sensibilizzazione del personale, affinché siano pronti a riconoscere segnali di allarme e a reagire in modo appropriato.
4. Monitoraggio della conformità e revisioni indipendenti
Il monitoraggio della conformità e le revisioni indipendenti rappresentano due pilastri centrali per garantire che le politiche e le procedure di sicurezza di un’organizzazione siano effettivamente applicate e aggiornate in base agli standard più recenti. La guida ENISA sottolinea l’importanza di implementare un sistema di monitoraggio sistematico della conformità e di condurre revisioni indipendenti per valutare l’efficacia delle misure di sicurezza, rafforzando così la capacità delle organizzazioni di fronteggiare i rischi cyber in continua evoluzione. Tale sistema dovrebbe includere procedure per verificare periodicamente l’aderenza alle politiche interne, alle normative di settore e agli standard internazionali. Questo sistema permette di individuare tempestivamente eventuali lacune rispetto agli standard di sicurezza, e fornisce dati per misurare l’efficacia delle pratiche di sicurezza adottate.
Al fine di coinvolgere i vertici aziendali, la guida ENISA suggerisce di stabilire una reportistica periodica che documenti lo stato della conformità alle politiche di sicurezza e che presenti indicatori chiave (KPI) per misurare l’efficacia delle misure implementate e di trasmetterli regolarmente ai vertici aziendali, includendo informazioni rilevanti come il livello di conformità, i rischi identificati, i tempi di risposta agli incidenti e le eventuali raccomandazioni. Questo flusso informativo consente ai responsabili di prendere decisioni basate su dati concreti e di allocare risorse per migliorare le aree critiche.
Il monitoraggio della conformità non si limita alla verifica documentale, ma deve includere procedure di testing delle misure di sicurezza. Questi test, che possono comprendere simulazioni di attacco (come penetration test) o esercitazioni pratiche di risposta agli incidenti, permettono di valutare l’efficacia delle policy e la prontezza del personale. Gli esiti dei test devono essere documentati e utilizzati per individuare eventuali debolezze nel sistema di sicurezza.
Oltre al monitoraggio interno, la guida raccomanda di implementare un processo di revisione indipendente, condotto da soggetti esterni all’organizzazione o da personale interno privo di conflitti di interesse. Le revisioni indipendenti forniscono un’analisi obiettiva delle misure di sicurezza, garantendo che le politiche siano aggiornate e conformi agli standard di settore. Le organizzazioni devono stabilire procedure specifiche per le revisioni, inclusi il calendario delle verifiche, gli standard di valutazione e i requisiti per i revisori.
5. Conclusioni
Sebbene la guida ENISA per l’implementazione del Regolamento UE 2024/2690 non sia ancora nella sua versione definitiva, rappresenta uno strumento utile per fornire un taglio
pratico, orientato alla gestione della sicurezza cyber secondo i principi sinora solo teorizzati dalla Direttiva NIS 2. La guida fornisce una struttura operativa chiara e dettagliata per supportare le entità interessate e anche per quelle fuori perimetro ma che forniscono servizi per i soggetti essenziali o importanti, favorendo un’armonizzazione delle pratiche di sicurezza e migliorando la protezione complessiva delle infrastrutture digitali critiche. In un contesto in cui le minacce cyber sono in continua evoluzione, l’approccio sistemico e integrato delineato dalla guida diventa cruciale per garantire la sicurezza delle reti e dei sistemi informativi, con un impatto positivo non solo sulle singole organizzazioni ma sull’intero ecosistema digitale dell’UE.