Articolo pubblicato su altalex
L’implementazione di misure di sicurezza informatica è cruciale per garantire la resilienza dei sistemi critici, soprattutto per i soggetti inclusi nel perimetro NIS 2. Le linee guida in commento delineano un insieme di misure basate sul Framework Nazionale per la Cybersecurity e la Data Protection (FNCS). Queste misure sono suddivise in ambiti specifici che coprono governance, gestione del rischio, protezione delle informazioni e continuità operativa, riconducibili agli obblighi normativi previsti dalla legge 90/2024 e alla Direttiva del Presidente del Consiglio dei Ministri del 29.12.23.
Introduzione
Le linee guida in commento, richiamate dall’8 c. 1 lett f) legge 28 giugno 2024, n. 90, indirizzano i soggetti verso il rafforzamento della propria resilienza tramite l’individuazione di misure di sicurezza, forniscono indicazioni per la loro implementazione e costituiscono un utilissimo strumento che coadiuva le “strutture” (di cui all’ art. 8 L 90/2024 nello svolgere i compiti loro assegnati dalla norma.
Queste ultime devono essere individuate, nell’ambito delle risorse umane, strumentali e finanziariedisponibili. Al loro interno opera il referente per lacybersicurezza, individuato in ragione di specifiche e comprovate professionalità e competenze in materia di cybersicurezza. Qualora i soggetti rientranti nel perimetro (art. 1 c. 1 L 90/2024 non dispongano di personale dipendente fornito di tali requisiti, possono conferire l’incarico di referente per la cybersicurezza a un dipendente di una pubblica amministrazione, previa autorizzazione di quest’ultima ai sensi dell’art. 53 del decreto legislativo 30 marzo 2001, n. 165, nell’ambito delle risorse disponibili a legislazione vigente.
Il referente per la cybersicurezza svolge anche la funzione di punto di contatto unico dell’amministrazione con l’Agenzia per la cybersicurezza nazionale. A tale fine, il nominativo del referente per la cybersicurezza è comunicato all’Agenzia per la cybersicurezza nazionale.
Chi ha già provveduto alla comunicazione del punto di contatto ha già preso confidenza con questa nuova figura, introdotta dall’ art. 7, comma 1, lettera c), del decreto legislativo 4 settembre 2024 n. 138. È possibile procedere alla comunicazione entro il 28 febbraio 2025.
La struttura e il referente di cui ai commi 1 e 2 possono essere individuati, rispettivamente, nell’ufficio e nel responsabile per la transizione al digitale previsti dall’ articolo 17 del codice dell’amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82 oppure essere svolti in forma associata.
Per ragioni di chiarezza espositiva, a ciascuna misura di sicurezza viene associato il codice misura indicato nelle Linee guida.
Misure di sicurezza previste in applicazione della Legge 90/2024
Alla struttura per la cybersicurezza sono affidati, in nome e per conto dell’organizzazione cui fanno capo o per conto della quale agiscono una serie di compiti a cui le Linee guida in commento affiancano le rispettive misure di sicurezza da adottare, tra cui:
Sviluppo di politiche e procedure di sicurezza: Questo ambito riguarda la definizione di un quadro di riferimento per la gestione della sicurezza informatica, che includa policy, standard e procedure operative. La misura di sicurezza ID.GV-1 si inserisce perfettamente in quest’ambito, richiedendo la definizione di politiche e processi di cybersecurity per diversi ambiti. Nello specifico, la misura prevede che vengano definite politiche e processi per la governance della sicurezza, la gestione del rischio, la gestione degli asset (sistemi, apparati, flussi di dati), la gestione delle vulnerabilità, la continuità operativa e il disaster recovery, la gestione delle identità digitali e del controllo degli accessi, la sicurezza dei dati, la manutenzione e riparazione dei sistemi, la protezione delle reti, il monitoraggio degli eventi di sicurezza, la risposta e il ripristino dagli incidenti e la formazione del personale. (cfr. pag. 20)
Analisi preventiva e gestione del rischio: Quest’area si concentra sull’identificazione, l’analisi e la valutazione dei rischi informatici, nonché sulla predisposizione di piani per la gestione del rischio. Le misure ID.GV-4, ID.RA-5, ID.RA-6, DE.CM-1 e DE.CM-4 sono tutte essenziali per una corretta gestione del rischio.
– ID.GV-4: Richiede la definizione di un piano aggiornato per la gestione del rischio informatico, che includa linee guida, obiettivi e azioni concrete per identificare, valutare e trattare i rischi. Un modello che può essere usato come riferimento per la redazione del piano di gestione del rischio informatico è quello indicato dalla norma ISO/IEC 27005 gestione dei rischi per la sicurezza delle informazioni.
– ID.RA-5: Prevede l’esecuzione di una valutazione del rischio che consideri minacce interne ed esterne, vulnerabilità, probabilità di accadimento e impatti. La valutazione deve includere le fasi di identificazione, analisi e ponderazione del rischio. – ID.RA-6: Richiede l’identificazione e la prioritizzazione delle risposte al rischio, documentando le scelte operate in merito al trattamento di ciascun rischio e definendo il rischio residuo. – DE.CM-1: Prevede l’implementazione di sistemi di rilevamento delle intrusioni (IDS) e il monitoraggio di traffico in ingresso e in uscita, attività dei sistemi perimetrali, eventi amministrativi e accessi alle risorse, al fine di rilevare tempestivamente potenziali eventi di cybersecurity. – DE.CM-4: Richiede l’adozione di sistemi di protezione per le postazioni di lavoro (endpoint) e l’utilizzo di strumenti di analisi e filtraggio del traffico in ingresso (mail, download, dispositivi removibili) per rilevare il codice malevolo. |
Definizione di ruoli e responsabilità: Quest’ambito sottolinea l’importanza di assegnare ruoli e responsabilità specifiche in materia di cybersicurezza, garantendo una chiara struttura organizzativa. La misura ID.AM-6 risponde a questa esigenza, richiedendo la definizione e la comunicazione di ruoli e responsabilità. Nello specifico, la misura prevede la definizione di una struttura organizzativa per la cybersecurity, con l’individuazione di una struttura dedicata che si occupi di attività come lo sviluppo di politiche di sicurezza, la gestione del rischio, la pianificazione di interventi di sicurezza e il monitoraggio delle minacce. Inoltre, la misura richiede la nomina di un referente per la cybersicurezza, con specifiche competenze in materia, e la comunicazione del suo nominativo all’ACN.
Piano programmatico per la sicurezza: Quest’area prevede la creazione di un piano programmatico che definisca le strategie, gli obiettivi e le attività da intraprendere per garantire la sicurezza di dati, sistemi e infrastrutture. Le misure PR.AC-1, PR.AC-3, PR.AC-4, PR.AT-1, PR.AT-2, PR.IP-9, PR.DS-1, PR.MA-1 e PR.PT-4 contribuiscono alla realizzazione di un piano di sicurezza completo ed efficace.
– PR.AC-1: Richiede l’amministrazione, la verifica e la revoca delle identità digitali e delle credenziali di accesso per utenti, dispositivi e processi. La misura prevede che le identità digitali siano individuali e che le credenziali di accesso siano robuste e aggiornate con una frequenza adeguata al livello di privilegio dell’utente.)
– PR.AC-3: Prevede l’amministrazione degli accessi remoti alle risorse, con il monitoraggio degli accessi, la definizione delle attività consentite da remoto e l’implementazione di misure di sicurezza per l’accesso remoto, come l’autenticazione multi-fattore. – PR.AC-4: Richiede l’amministrazione dei diritti di accesso alle risorse secondo il principio del privilegio minimo e della separazione delle funzioni. Gli utenti devono avere accesso solo alle informazioni e ai sistemi necessari per il loro ruolo. La misura prevede anche la distinzione tra utenze con e senza privilegi per gli amministratori di sistema. – PR.AT-1: Prevede la formazione e l’addestramento di tutti gli utenti sulle tematiche di sicurezza informatica, con la definizione di un programma di formazione e la verifica dell’apprendimento. – PR.AT-2: Richiede una formazione specifica per gli utenti con privilegi (ad esempio, amministratori di sistema) sui loro ruoli e responsabilità in materia di sicurezza. – PR.IP-9: Prevede la redazione e l’aggiornamento di piani di continuità operativa e disaster recovery, per garantire la continuità delle attività in caso di incidenti o disastri. – PR.DS-1: Richiede la protezione dei dati memorizzati, con l’utilizzo di sistemi di cifratura, in particolare per i dispositivi portatili e removibili. – PR.MA-1: Prevede l’esecuzione di attività di manutenzione e riparazione delle risorse e dei sistemi, con l’utilizzo di strumenti controllati e autorizzati. La misura include anche l’aggiornamento dei sistemi all’ultima versione raccomandata dal produttore. – PR.PT-4: Richiede la protezione delle reti di comunicazione e controllo, con l’utilizzo di sistemi perimetrali come firewall e la loro costante manutenzione e aggiornamento. |
Potenziamento delle capacità di gestione del rischio: Questo ambito si focalizza sul miglioramento continuo delle competenze e delle risorse dedicate alla gestione del rischio informatico. Le misure ID.GV-4, ID.RA-5 e ID.RA-6, già citate in precedenza, sono fondamentali anche per il raggiungimento di questo obiettivo.
Monitoraggio e aggiornamento: Quest’area riguarda il monitoraggio costante delle minacce e delle vulnerabilità, al fine di garantire un pronto aggiornamento dei sistemi di sicurezza. Le misure ID.RA-1, ID.RA-5, PR.IP-12 e RS.AN-5 sono cruciali per un’efficace attività di monitoraggio e aggiornamento.
– ID.RA-1: Richiede l’identificazione e la documentazione delle vulnerabilità dei sistemi, con la definizione di un piano per l’identificazione delle vulnerabilità e l’esecuzione periodica di attività di analisi delle vulnerabilità (vulnerability assessment e penetration test).
– PR.IP-12: Prevede lo sviluppo e l’implementazione di un piano di gestione delle vulnerabilità, che includa la risoluzione tempestiva delle vulnerabilità identificate, l’adozione degli interventi di sicurezza segnalati dall’ACN e la definizione di politiche e processi per la gestione delle vulnerabilità. – RS.AN-5: Richiede la definizione di processi per ricevere, analizzare e rispondere alle informazioni sulle vulnerabilità provenienti da diverse fonti, come il CSIRT Italia, CERT e ISAC. La misura prevede anche la definizione di procedure, ruoli e responsabilità per la gestione delle informazioni sulle vulnerabilità. |
Misure di sicurezza previste dalla Direttiva del Presidente del Consiglio dei Ministri 29 dicembre 2023
La Direttiva si concentra sulla resilienza cibernetica del Paese, promuovendo protocolli di intesa per una risposta coordinata agli incidenti informatici. In linea con questa direttiva, le linee guida ACN individuano ulteriori ambiti di intervento, tra cui:
Censimento delle risorse: Questo ambito prevede un inventario completo di sistemi, apparati, piattaforme, applicazioni e flussi di dati, nonché dei fornitori e partner terzi coinvolti nella gestione dei sistemi informativi. Le misure ID.AM-1, ID.AM-2, ID.AM-3 e ID.SC-2 sono essenziali per una corretta mappatura delle risorse.
– ID.AM-1: Richiede il censimento di tutti i sistemi e gli apparati fisici in uso nell’organizzazione, con la creazione di un inventario che includa informazioni su server, postazioni di lavoro, soluzioni di sicurezza, apparati di rete, dispositivi mobili, ecc. L’accesso alla rete deve essere consentito solo ai sistemi e apparati approvati.
– ID.AM-2: Prevede il censimento di tutte le piattaforme e le applicazioni software installate nell’organizzazione, con la creazione di un inventario che includa informazioni su sistemi operativi, software di office automation, database, ecc. L’installazione deve essere consentita solo alle piattaforme e applicazioni approvate. – ID.AM-3: Richiede l’identificazione di tutti i flussi di dati e comunicazioni in ingresso e in uscita dai sistemi informativi, con la creazione di un inventario che includa informazioni su sorgenti, destinatari e protocolli utilizzati. Le comunicazioni devono essere consentite solo per i flussi informativi approvati. – ID.SC-2: Prevede la creazione di un inventario dei fornitori e partner terzi che forniscono sistemi informatici, componenti e servizi ICT, con informazioni sui contratti e sulle tipologie di forniture. |
Definizione di ruoli e responsabilità: Anche la Direttiva sottolinea l’importanza di definire ruoli e responsabilità in materia di cybersicurezza, individuando un punto di contatto cyber per le comunicazioni con l’ACN e un referente tecnico per la gestione operativa dei sistemi IT. La misura ID.AM-6, già analizzata in precedenza, si applica anche a questo ambito.
Piani di gestione: La Direttiva raccomanda la predisposizione di piani per la gestione delle vulnerabilità, dei backup, del ciclo di vita dei sistemi, delle identità e dei permessi di accesso. Le misure PR.AC-1, PR.AC-3, PR.AC-4, PR.MA-1, PR.IP-4, PR.IP-12 e RS.AN-5, già previste in relazione alla Legge 90/2024, sono rilevanti anche in questo contesto.
– PR.IP-4: Richiede l’esecuzione periodica di backup dei dati, garantendo la riservatezza delle informazioni contenute nei backup e verificando periodicamente la loro utilizzabilità tramite test di ripristino. |
Piano di risposta agli incidenti: La Direttiva prevede la creazione di un piano di risposta agli incidenti, che definisca le articolazioni interne responsabili della gestione degli incidenti e le loro competenze decisionali, finanziarie e tecniche. Le misure RS.RP-1 e RC.RP-1 sono fondamentali per garantire una risposta tempestiva ed efficace agli incidenti informatici.
– RS.RP-1: Richiede la creazione di un piano di risposta agli incidenti che includa la definizione delle articolazioni responsabili, le procedure per la notifica degli incidenti all’ACN e le procedure per la gestione degli incidenti.
– RC.RP-1: Prevede la creazione di un piano di ripristino per il ripristino dei sistemi a seguito di un incidente, con procedure specifiche per il ripristino del normale funzionamento dei sistemi. |
Conclusioni
Le linee guida per il rafforzamento della resilienza dell’ACN rappresentano un utilissimo strumento per l’applicazione pratica dei principi introdotti dalla Direttiva NIS 2. Conoscere le misure di sicurezza da applicare avendo per ciascuna di esse chiaro i requisiti di implementazione minima attesa e soprattutto le modalità di implementazione, costituisce un valido supporto per tutti coloro i quali sono chiamati a stabilirne le modalità di applicazione (governance), a darne concreta attuazione (referenti per la cybersicurezza e componenti della struttura in accordo con la supply chain) ed infine a sorvegliare sulla loro applicazione (DPO e consulenti).