NIS 2 e il “paradosso” dell’inventario: il valore strategico di una tassonomia nazionale

Per chi opera nel settore della cyber security in Italia, il passaggio dal Perimetro di Sicurezza Nazionale Cibernetica (PSNC) alla NIS 2 assomiglia a un cambio di paradigma disorientante.

Se nel Perimetro lo Stato ci ha fornito un “manuale di istruzioni” dettagliato, con codici e nomenclature univoche per ogni tipologia di risorsa (es. “Risorsa di calcolo e/o memoria”, “Apparato di rete”) e relativa Sotto-tipologia di Risorsa (es. “Controllo-Produttività”, “PdL presso presidi”, “HSM”), con la NIS 2 sembra averci consegnato una tela bianca dicendo “Dipingi la tua sicurezza, purché sia a regola d’arte”.

Ma per CISO o Responsabili della Sicurezza dei Soggetti NIS, questa libertà può trasformarsi rapidamente in un incubo burocratico e tecnico.

Cosa ci chiede davvero la NIS 2? Gli inventari obbligatori

Prima di chiederci “come” catalogare, dobbiamo capire “cosa” catalogare. La Direttiva NIS 2 (D.lgs. 138/2024) impone ai soggetti obbligati di avere una visibilità totale su ciò che definisce la propria superficie di attacco.

Gli inventari richiesti non sono una semplice lista della spesa, ma devono coprire:

• Hardware: non solo asset IT come server e workstation, ma tutta una serie eterogenea di device OT come PLC, sensori e sistemi di controllo industriale.
• Software: un censimento granulare degli applicativi, delle versioni e delle librerie (fondamentale per la gestione delle vulnerabilità).
• Servizi di rete e cloud: Tutto ciò che è esternalizzato ma critico per l’operatività (SaaS, PaaS, IaaS).
• Supply Chain: mappatura delle dipendenze dai fornitori terzi.

Senza una struttura solida, questi inventari diventano silos di dati inutilizzabili.

Il grande paradosso: PSNC vs NIS 2

Qui nasce l’incongruenza che molti professionisti avvertono:

• Nel PSNC (DPCM 81/2021) esiste l’Allegato 1, il quale contiene una tassonomia rigida e codificata (es. A.1.1 Server) per la creazione di un linguaggio comune tra aziende e ACN.
• Nella NIS 2 una nomenclatura unica ed universale per categorizzare sistemi informativi, sistemi di rete e asset – ad oggi – non esiste. Anche la nuova categorizzazione delle attività e dei servizi che ACN pubblicherà a breve, l’Agenzia ha fatto intendere che questa non conterrà nomenclature per una categorizzazione di dettaglio dei singoli sistemi informativi e di rete.

Vediamo la differenza. La NIS 2 nasce per essere “neutrale dal punto di vista tecnologico” e applicabile a settori vastissimi. Tuttavia, anche il PSNC si applica ad aziende strategiche di settori molto differenti.

Avere una tassonomia significa poter confrontare i dati, automatizzare i controlli e, soprattutto, parlare la stessa lingua delle autorità in caso di crisi. Allargando il discorso ad un livello più ampio che non riguardi solo la nomenclatura degli asset, l’assenza per la NIS 2 di un “vocabolario standard” porta inevitabilmente a disallineamenti tra le aziende stesse e ACN, soprattutto nell’ottica dell’ecosistema comune che si intende creare con la “community” NCC-IT.

La cassetta degli attrezzi di ACN: i framework di riferimento

In mancanza di una tabella unica nel decreto, l’ACN ha comunque indicato all’interno del suo sito una tabella con una serie di framework per costruire questi inventari:

• CIS Controls v8.0 (2.1): Il “gold standard” per l’inventario software.
• NIST SP 800-53 (CM-08): Focalizzato sulla gestione della configurazione dei sistemi informativi. È essenziale per definire i confini dell’inventario.
• NIST SP 800-221A: Il punto di riferimento per chi deve gestire la convergenza IT/OT, fornendo categorie chiare per i dispositivi industriali.
• Cloud CCMv4.0 (UEM/DCS): Valido per catalogare device mobili e in cloud.
• CRI Profile v2.0 & FNCDP v2.0: Aiutano a pesare l’importanza degli asset per criticità di business.
• GDPR (Art. 5, 17, 32): Inserisce nell’inventario la dimensione della protezione del dato, assicurando che ogni asset sia mappato in base al rischio per la privacy.

Oltre la compliance: la tassonomia come arma di difesa

Nessuno si sforza di creare un inventario codificato se la legge non dà un modello fisso. La risposta sta nella ormai nota Gestione degli Incidenti Significativi.

Immaginiamo uno scenario di crisi: un attacco ransomware colpisce la tua azienda e ACN deve intervenire per offrire supporto.

Se il proprio inventario è basato su unatassonomia ben definita, non si perderanno ore preziose a spiegare “cosa fa quel server”. Infatti sarà poissibile consegnare “pacchetti informativi” già pronti ed utilizzabili dall’Agenzia.

Un inventario strutturato è un pasto pronto per modelli di analisi evoluti. Avere dati puliti e categorizzati permette di:

• Analizzare i movimenti laterali: se so che l’asset X appartiene alla categoria “HMI Industriale” ed è interconnesso con il “Database Clienti”, un software di BI può generare grafici leggibili che mostrano istantaneamente i percorsi che un attaccante potrebbe seguire.
• Visualizzazione dinamica: trasformare un Excel statico in una mappa interattiva della rete, dove ogni nodo ha attributi chiari.
• Automazione della risposta: In caso di incidente, un sistema può isolare automaticamente tutti gli asset che condividono la stessa “tag” tassonomica (es. Sistemi con vulnerabilità X non patchata).

Prepararsi oggi per non fallire domani

La mancanza di una tassonomia unica per la NIS 2 non deve essere letta come un invito alla creatività, ma come una chiamata alla responsabilità. Non stiamo solo riempiendo delle celle su Excel per compiacere un auditor. Stiamo costruendo la “mappa del tesoro” della nostra infrastruttura.

E in un mondo dove gli attacchi si muovono alla velocità della luce, avere una mappa precisa, leggibile e standardizzata è l’unica differenza tra una gestione controllata di un incidente e un disastro operativo.

La tassonomia non è un vincolo burocratico: è il sistema nervoso della propria resilienza.