La Commissione UE, con regolamento 2024/2690, fornisce indicazioni su come classificare un incidente “significativo” e su quali misure di gestione dei rischi cyber adottare.
Campo di applicazione e contenuto
Il presente regolamento si applica ai fornitori di servizi digitali (es. DNS, cloud computing, marketplace online, registri dei nomi di dominio, …) quindi non all’intera platea dei soggetti rientranti nella NIS2. All’allegato 1 elenca i requisiti tecnici e metodologici che permettono alle aziende soggette di allinearsi ai requisiti della norma:
- Adozione della politica di sicurezza dei sistemi IT: che definisca l’approccio e la strategia aziendale, gli obiettivi e gli indicatori, gli impegni al miglioramento continuo, i ruoli e le responsabilità, la documentazione e le procedure necessarie
- Definizione di ruoli e responsabilità: in materia di sicurezza informatica, di gestione delle comunicazioni interne, di attività operative
- Adozione di una procedura di gestione dei rischi: che identifichi la metodologia per la valutazione dei rischi, stabilisca il livello di tolleranza dell’azienda, identifichi e quantifichi i rischi di pertinenza, li valuti e definisca un piano di prevenzione o gestione del rischio , monitori l’evoluzione aziendale e individui dei soggetti da incaricare per la gestione del rischio
- Monitoraggio della conformità e miglioramento: che preveda un riesame periodico delle proprie politiche e procedure, che fornisca le informazioni utili ai supervisori per cogliere la reale situazione aziendale, che preveda disamine anche da parte di soggetti terzi esterni indipendenti
- Adozione di una procedura per la gestione degli incidenti: che stabilisca una categorizzazione degli stessi, un piano di comunicazione efficace, una tempestiva assegnazione di ruoli e compiti, una opportuna raccolta di evidenze; che verifichi periodicamente se vi son degli incidenti ricorrenti e che preveda un piano di emergenza da mettere in atto in caso di incidente, gestito da un team ben definito
- Monitoraggio dei sistemi: che preveda la registrazione delle attività che si svolgono sui propri sistemi con l’elenco delle risorse interessate e tutte le informazioni necessarie (il traffico di rete, la gestione degli utenti, l’accesso ai sistemi , le logiche di autenticazione, i back up, ecc) ; sulla base di queste informazioni devono essere definite delle soglie di allarme automatiche e i registri devono essere conservati e riesaminati periodicamente
- Adozione di un piano di continuità operativa: con chiara identificazioni di ruoli e responsabilità, canali di comunicazione, attività da mettere in atto in caso di ripristino e risorse necessarie, da testare e riesaminare periodicamente; procedure di backup con verifica della completezza e correttezza della copia, criteri e durata di conservazione, modalità di verifica dei supporti di backup
- Verifica della sicurezza della catena di approvvigionamento: che preveda la elencazione, categorizzazione e valutazione dei fornitori in ottica di cyber security; la valutazione della resilienza da questi garantita e la disponibilità di fornitori alternativi ; la formulazione di apposite clausole vincolanti che impongano ai fornitori regole specifiche in ottica di cyber security
- Gestione dei processi di acquisizione di servizi TIC e relativa manutenzione: che definisca i requisiti di sicurezza dei prodotti da acquistare , i criteri per lo sviluppo sicuro dell’applicativo e la relativa configurazione; le modalità di gestione delle modifiche e degli interventi di manutenzione; le modalità di effettuazione di test di sicurezza e della gestione delle patch di sicurezza; i criteri a garanzia della sicurezza delle reti IT e per implementare la segmentazione delle stesse; gli strumenti a protezione di SW malevoli e non autorizzati; le modalità di gestione e divulgazione delle vulnerabilità
- Valutazione dell’efficacia delle misure di sicurezza: con identificazione del perimetro da monitorare, modalità e tempistiche
- Sensibilizzazione sulla tematica: rivolta sia al personale interno che ai fornitori esterni, mirata a tematiche relative alla sicurezza dei sistemi IT, alle minacce presenti ed alle misure da adottare; tarato sui ruoli ricoperti e focalizzato sulle istruzioni di configurazioni e funzionamento sicuri, sulle minacce informatiche e sui comportamenti da mantenere
- Definizione dei protocolli di crittografia : con identificazione dei protocolli da adottare in base alla loro robustezza, e relativa gestione in termini di generazione, rilascio, distribuzione, conservazione, recupero, backup, distruzione, …
- Gestione delle risorse umane: in modo da evitare che diventino un rischio per la cybersecurity, attraverso l’implementazione di meccanismi di segregazione, profilazione, gestione degli utenti; verifica dei precedenti personali in base ai ruoli ricoperti ed alle responsabilità detenute; adozione di sistemi sanzionatori e disciplinari da attuare quando necessario
- Adozione di politiche per il controllo degli accessi: sia fisici che logici , sulla base di diritti predefiniti e costantemente monitorati, che preveda la registrazione degli accessi e il suo possibile monitoraggio; con la definizione di procedure chiare per l’attribuzione di privilegi e loro gestione e che permettano di identificare univocamente l’identità della persona; con la chiara definizione delle logiche e dei requisiti per l’autenticazione , eventualmente anche a più fattori
- Adozione di un sistema di classificazione e gestione delle risorse: grazie al quale, partendo dall’inventario generale, catalogare le risorse in base al livello di rischio e di rilevanza ed allineare a queste i requisiti necessari; nonchè definirne il ciclo di vita, e l’adozione di regole per l’utilizzo e la conservazione; con l’identificazione di misure di sicurezza specifiche per supporti rimovibili
- Identificazione di requisiti di sicurezza ambientale e fisica: che proteggano gli impianti da blackout o altre perturbazioni, che prevedano la ridondanza degli apparecchi, la sottoscrizione di contratti di fornitura di emergenza, il monitoraggio della infrastruttura pubblica di supporto, la progettazione che tenga in considerazione minacce fisiche e ambientali.
Incidenti significativi
Un incidente è considerato significativo nella misura in cui lo stesso abbia causato o sia in grado di causare:
- un danno finanziario diretto all’entità interessata superiore a 500 000 EUR o al 5 % del fatturato totale annuo dell’entità interessata nell’esercizio finanziario precedente, se inferiore;
- l’esfiltrazione di segreti commerciali;
- il decesso di una persona fisica;
- danni considerevoli alla salute di una persona fisica
- si sia verificato un accesso non autorizzato, sospetto di dolo e non autorizzato alla rete e ai sistemi informativi, che possa causare gravi perturbazioni operative;
Per valutarne gli impatti, la Commissione stabilisce che nel calcolare il numero di utenti interessati da un incidente i soggetti pertinenti devono considerare i seguenti elementi:
- numero di clienti stipulanti un contratto con il soggetto pertinente che concede loro l’accesso alla rete e ai sistemi informativi o ai servizi del soggetto interessato offerti da tali reti e sistemi informativi o accessibili tramite tali sistemi di rete e informativi;
- numero di persone fisiche e giuridiche associate a clienti commerciali che utilizzano la rete e i sistemi informativi o i servizi delle entità offerti da tali reti e sistemi informativi o accessibili tramite tali sistemi di rete e informativi.
Sulla base di queste indicazioni, nel Regolamento sono poi specificati, per ciascuna categoria di fornitore digitale, quali sono i criteri concreti per identificare un incidente rilevante.
Lascia un commento