Si sente tanto parlare della Direttiva NIS2 , che peraltro è stata recepita con un decreto in fase di approvazione, ed è importante capire quali sono le principali implicazioni e sfide che si troveranno ad affrontare le imprese italiane. Di seguito riportiamo un sunto di quanto pubblicato a luglio 2024 in una memoria dalla Società di consulenza Deloitte.
Iniziamo dall’indicazione della serie di step che individuano essere necessari per farsi trovare pronti:
- Chiara identificazione dell’ambito – è previsto che le imprese si auto-dichiarino come soggetti essenziali o importanti, sulla base degli elenchi che dovranno essere emanati dai singoli governi. Questo significa che tutte le aziende dovranno tenere in considerazione il settore di appartenenza e la dimensione in termini di dipendenti e fatturato o bilancio annuo. Si ricorda che è necessario considerare anche società collegate e/o associate ma applicando il criterio dell’indipendenza dell’impresa in termini di sistemi informativi e di rete , fondamentale nel garantire la proporzionalità, l’adeguatezza e la coerenza del perimetro di conformità agli obiettivi specifici della Direttiva NIS2.
- Approcci e tempistiche di conformità differenti – considerato che la Direttiva NIS2 lascia comunque agli Stati Membri la libertà di definire specifiche modalità e tempistiche di attuazione, gruppi internazionali o anche gruppi multi-Business sul medesimo territorio potranno trovarsi con società chiamate ad ottemperare ai requisiti previsti con tempistiche diverse in base alla classificazione dell’impresa stessa
- Complessità per l’implementazione delle misure di sicurezza su tutti i sistemi IT, OT e IoT – l’estensione dell’ambito di applicabilità a tutti gli asset aziendali, (a differenza della NIS1 che circoscriveva unicamente alle risorse informatiche e ai servizi critici), implica un’importante impegno per tutti i soggetti coinvolti, in particolare per imprese di medie dimensioni, non ancora completamente mature sul fronte della cybersecurity. L’adozione delle misure di sicurezza sarà guidata dai principi di proporzionalità e adeguatezza direttamente richiamati dalla Direttiva, che richiederanno alle imprese coinvolte di:
- Completare valutazioni di impatto (i.e. BIA) su tutta l’organizzazione al fine di differenziare i sistemi in ragione della loro criticità;
- Definire, implementare e monitorare l’efficacia di soluzioni tecniche, organizzative, di processo adottate per rispondere alle misure richieste in maniera differenziata sulla base del rischio, sia sugli ambienti IT che su quelli OT.
Considerato poi che il decreto di recepimento dovrà portare con sè indicazioni pratiche e operative che diventeranno il riferimento per la compliance di tutte le aziende, la Società Deloitte continua l’approfondimento fornendo indicazioni pratiche in merito all’attuazione dei principi della direttiva.
Proposta per applicazione principio di Proporzionalità
La distinzione operata dalla Direttiva NIS2, e ripresa anche dal decreto di recepimento italiano, prevede due categorie di soggetti: essenziali e importanti. La differenza risiede:
- nel settore specifico di appartenenza del soggetto ( Allegati I, II, III e IV dello schema di d.lgs.)
- e nei criteri dimensionali (cioè, grandi imprese o medie imprese).
Rispetto a quanto previsto nel decreto di recepimento ed agli allegati operativi che successivamente verranno emanati, la società di consulenza raccomanda di estendere i criteri di proporzionalità anche agli obblighi ed alle misure di sicurezza da adottare, ad esempio prevedendo una maggiore e concreta considerazione della tipologia di soggetto (i.e. essenziale o importante) e/o del settore/sottosettore di appartenenza. La distinzione potrà essere eseguita applicando, ad esempio, uno o più dei seguenti criteri:
- Dimensione del soggetto, distinguendo tra grandi e medie imprese;
- Settore/Tipologia di appartenenza del soggetto, distinguendo fra settori/tipologie più e meno critici per la fornitura dei servizi e delle funzioni associati;
- Soglie di criticità per qualificare il grado di rilevanza delle imprese e dei rispettivi servizi erogati in funzione di criteri, quali ad esempio: copertura territoriale o dei cittadini serviti, soglie di produzione del pro- dotto/servizio, ecc.
Proposta per applicazione principio di Gradualità
Dovendo raggiungere un livello idoneo di tutela dei sistemi informatici e di rete rispetto ai rischi esistenti, si propone di adottare un approccio per fasi secondo il principio di gradualità:
- Una prima fase in cui applicare le misure solamente alle risorse informatiche specifiche o ai servizi critici forniti dal soggetto, ad esempio i sistemi già inclusi in NIS1 e/o PSNC e tutti quelli che caratterizzano il soggetto come essenziale. Le misure si presume siano più numerose ed articolate (ovvero, misure denominate come avanzate)
- Una seconda fase in cui prevedere l’implementazione di un insieme di misure ridotto – per numero e complessità – rispetto a quello indicato al punto precedente, da applicare a tutti i sistemi appartenenti ad un soggetto essenziale (applicazione dei principi c.d. di Cyber Hygiene a tutta l’organizzazione; misure denominate come di base).
- Una terza fase in cui prevedere l’implementazione di misure di livello intermedio rispetto a quelli definiti nelle due fasi precedenti, da applicarsi a sistemi non critici come quelli della prima fase ma neanche base come quelli della seconda (ovvero, misure denominate come intermedie).
Tale approccio può a sua volta esser declinato in modo differenziato tra soggetti essenziali e importanti prevedendo ad esempio fasi opzionali o un numero minore di queste.
Proposta per applicazione principio di Flessibilità
L’obiettivo della direttiva e del decreto di recepimento è che i soggetti adottino misure tecniche, operative e organizzative adeguate e proporzionate per:
- Gestire i rischi posti alla sicurezza dei sistemi informatici e di rete che gli stessi utilizzano per la fornitura dei loro servizi; nonché per
- Prevenire o ridurre al minimo l’impatto di possibili incidenti sui destinatari dei loro servizi e su altri servizi.
Il tutto tenendo però conto delle conoscenze più aggiornate in materia, nonché dei costi di attuazione. Questo bilanciamento esplicito tra raggiungimento dell’obiettivo e relativa fattibilità è alla base della proposta per l’applicazione di un principio di flessibilità.
La prima proposta è quella di dare la facoltà al soggetto di scegliere le metodologie e approcci che ritiene più idonei per la categorizzazione di rilevanza, sulla base di criteri di valutazione e scale identificate dallo stesso (e.g. metodologie di Business Impact Analysis proprietarie). Restano valide linee guida e indicazioni che potranno essere eventualmente fornite per un’armonizzazione dei criteri.
La seconda proposta è quella di dare la facoltà al soggetto di scegliere le metodologie e approcci che ritiene più idonei per la definizione, implementazione e verifica di efficacia delle misure di sicurezza definite per gestire il livello di rischio. L’approccio è coerente con quanto già previsto dai principali standard e best practice di settore (e. g. ISO 27001), e riconferma il principio di accountability del soggetto che ha la possibilità, sulla base di tecniche note, best practice, indicazioni condivise, di dimostrare che le misure di sicurezza adottate sono adeguate rispetto al rischio da gestire. Quindi la lista delle misure deve essere dettagliata in termini di modalità di applicazione della singola misura, ma non obbligatoria nella sua adozione.
Infine, in merito all’obbligo di garantire la cybersicurezza lungo la catena di approvvigionamento, si propone di lasciare ai soggetti la possibilità di definire un approccio per la valutazione delle terze parti che sia proporzionato al rischio (risk-based) associato a ogni fornitore, ponendo un’attenzione particolare ai fornitori di servizi e tecnologie la cui compromissione potrebbe comportare un impatto significativo sul soggetto e/o sul servizio da esso fornito.
Ulteriori proposte e considerazioni
Da ultimo il documento si conclude con ulteriori indicazioni indirizzate all’ente normatore, tra cui in particolare:
- Incentivi alle imprese: considerato che la conformità ai requisiti normativi comporterà importanti sforzi e costi per le imprese è auspicabile che vengano stanziati contributi alle imprese per l’adozione delle soluzioni tecnologiche necessarie
- Ruolo delle Certificazioni di settore: è opportuno chiarire quale sarà il ruolo di eventuali certificazioni sulla Sicurezza (es. ISO 27001, …) che devono necessariamente essere tenute in considerazione per poter dimostrare la Compliance alla direttiva.
Lascia un commento