L’Appendice C delle Linee Guida NIS – Specifiche di base individua i documenti che devono essere approvati dal vertice e li collega puntualmente alle sub-categorie del framework (GV.RR-02, GV.PO-01, ID.RA-05, ID.RA-06, ID.RA-08, ID.IM-01, ID.IM-04, PR.AT-01, RS.MA-01) come illustrato nel secondo articolo di questa pentalogia dedicata al tema. Se questi documenti rappresentano la proiezione formale del ciclo del rischio, è inevitabile riconoscere che essi stessi costituiscono informazioni strategiche.
La NIS 2 non disciplina espressamente i livelli di accesso, ma la natura dei contenuti rende necessaria una riflessione sulla governance dell’accesso alla documentazione.
Ecco perché occorre distinguere tra documenti ad ampio accesso e documenti ad accesso ristretto, come espressione di maturità organizzativa e misura implicita di sicurezza.
Indice degli argomenti
Anche l’accesso alla documentazione va governato
Nei precedenti articoli della nostra pentalogia abbiamo evidenziato come la NIS 2 chieda di costruire un sistema documentale coerente, deliberato dal vertice e fondato su sub-categorie precise.
L’Appendice C delle Linee Guida ACN “NIS -Specifiche di base” collega ogni documento a un segmento del ciclo della gestione del rischio, dalla governance alla resilienza.
Questi documenti assumono un rilievo tale da richiedere l’approvazione formale degli organi di amministrazione e di direzione. Devono inoltre essere aggiornati a intervalli prestabiliti e, in ogni caso, ogniqualvolta si verifichino incidenti significativi o mutamenti nel quadro delle minacce e dei rischi connessi.
Abbiamo visto come l’organizzazione della sicurezza (GV.RR-02), le politiche (GV.PO-01), la valutazione del rischio (ID.RA-05), il piano di trattamento (ID.RA-06), la gestione delle vulnerabilità (ID.RA-08), il piano di adeguamento (ID.IM-01), la continuità e la gestione delle crisi (ID.IM-04), la formazione (PR.AT-01) e la gestione degli incidenti (RS.MA-01) costituiscano insieme la mappa minima del governo del rischio.
Ma quando questa architettura prende forma, emerge una consapevolezza ulteriore: se quei documenti descrivono debolezze, priorità, strategie di mitigazione e modalità di risposta, essi stessi diventano informazioni sensibili.
Quindi, non sono solo strumenti di governo ma parte del patrimonio informativo da proteggere; la stessa esposizione di tali informazioni a malintenzionati diventa una possibile minaccia.
La NIS 2 non impone una classificazione formale dei documenti. Tuttavia, la logica della sicurezza rende inevitabile una scelta: governare anche l’accesso alla documentazione.
Qui la maturità organizzativa compie un salto di qualità.
Documenti ad ampio accesso: la trasparenza come misura di sicurezza (GV.RR-02, GV.PO-01, PR.AT-01)
Esiste una prima categoria di documenti la cui funzione è orientare, chiarire, rendere comprensibile la struttura del sistema.
L’organizzazione della sicurezza prevista dalla sub-categoria GV.RR-02 definisce responsabilità, deleghe e linee di riporto. Essa rende intelligibile la catena decisionale e consente a ciascun attore di comprendere il proprio ruolo.
Poi, la politica di sicurezza disciplinata da GV.PO-01 stabilisce il livello di protezione perseguito, il grado di tolleranza al rischio, l’indirizzo strategico che il vertice intende imprimere all’organizzazione.
Senza questa cornice, le decisioni operative resterebbero isolate e incoerenti.
Infine, il piano di formazione previsto da PR.AT-01 consolida la consapevolezza e diffonde cultura della sicurezza.
Questi documenti hanno una funzione culturale e orientativa. Pertanto, limitare eccessivamente la loro diffusione significherebbe indebolire la stessa governance.
Essi devono essere accessibili in modo ampio all’interno dell’organizzazione, perché rendono visibile l’indirizzo strategico e favoriscono l’allineamento.
La trasparenza, in questo caso, è una misura di sicurezza perché permette di costruire una cultura condivisa e di evitare che il sistema resti confinato in ambiti tecnici ristretti.
Documenti ad accesso ristretto: analisi, vulnerabilità e resilienza operativa (ID.RA-05, ID.RA-08, ID.RA-06, ID.IM-01, ID.IM-04, RS.MA-01)
Diversa è la natura dei documenti fondati sulle sub-categorie delle funzioni identificazione, miglioramento e risposta.
La valutazione del rischio prevista da ID.RA-05 descrive asset critici, minacce plausibili, vulnerabilità esistenti e livelli di esposizione.
Inoltre, il piano di gestione delle vulnerabilità fondato su ID.RA-08 può contenere dettagli tecnici su configurazioni non ancora ottimali o su punti di debolezza temporanei.
E ancora, il piano di trattamento richiesto da ID.RA-06 indica quali misure sono state adottate e quali sono in fase di implementazione.
Infine, il piano di adeguamento previsto da ID.IM-01 pianifica interventi per colmare scostamenti normativi o organizzativi.
Analogamente, i piani di continuità operativa e gestione delle crisi fondati su ID.IM-04, così come il piano di gestione degli incidenti disciplinato da RS.MA-01, descrivono modalità operative e priorità strategiche in caso di evento critico.
Tutti questi documenti contengono informazioni che, se diffuse senza criterio, possono aumentare l’esposizione perché rendono visibili le debolezze, le priorità, le soglie di intervento ed i piani in essere o da sviluppare.
Non possono essere trattati come semplici policy di indirizzo.
In questo scenario, interviene il principio di necessità (Need-to-know principle).
L’accesso deve essere consentito a chi ha responsabilità diretta nell’analisi, nel trattamento o nella supervisione.
Il vertice deve poter deliberare sulla base di informazioni complete, ma la consultazione operativa deve essere calibrata in funzione del ruolo.
Infatti, classificare significa riconoscere che la documentazione è parte dell’asset informativo dell’organizzazione.
Un repository documentale non protetto, che raccolga valutazioni dettagliate dei rischi e piani di risposta, può diventare esso stesso una superficie di attacco.
La governance matura non si limita a produrre documenti coerenti con le sub-categorie richiamate dall’Appendice C delle Linee Guida dell’ACN, ma governa anche l’accesso a tali documenti stabilendo chi può accedervi, con quali modalità e con quale tracciabilità.
Classificazione della documentazione nella NIS 2
Il sistema documentale richiesto dalla NIS 2 rappresenta la proiezione formale del ciclo del rischio, ma quando questo sistema si consolida, diventa evidente che la protezione deve estendersi anche alla documentazione stessa.
Distinguere tra documenti ad ampio accesso e documenti ad accesso ristretto è quindi una scelta di maturità.
Significa comprendere che il governo del rischio passa anche attraverso il governo delle informazioni che descrivono quel rischio.
A questo punto la riflessione si sposta su un ulteriore livello strutturale.
Se l’architettura documentale è complessa, articolata e differenziata anche nei livelli di accesso, è preferibile integrarla in un unico modello organizzativo o mantenerla in documenti distinti e coordinati? Non è una semplice scelta redazionale ma una decisione che incide sulla flessibilità, sulla tracciabilità e sulla tenuta nel tempo della governance.
Questo è il passaggio che affronteremo nel prossimo capitolo della pentalogia.
