La corretta lettura normativa della Direttiva NIS 2 impone alle organizzazioni di adottare tutti i necessari requisiti di governance per la gestione del rischio di un incidente di sicurezza.
Affrontare efficacemente i temi di cyber security è, infatti, sempre più critico per la maggior parte delle organizzazioni, siano esse aziende o pubbliche amministrazioni: gli incidenti che colpiscono i sistemi IT e OT hanno infatti un impatto spesso critico per l’operatività dell’organizzazione, arrivando a paralizzarla per molti giorni.
In qualche caso i danni causati dai disservizi, uniti a quelli che nel periodo successivo derivano da danni di immagine che allontanano i potenziali clienti, arrivano ad essere fatali.
Indice degli argomenti
La governance del rischio di cyber security nella NIS 2
Per quanto sia ormai acquisito che il rischio di incidenti di cyber security non possa essere eliminato, la storia degli incidenti degli ultimi anni ci dice che nella gran parte dei casi, sia il verificarsi dell’incidente in sé, sia soprattutto l’ampiezza dell’impatto, sono dovuti più a una inadeguatezza di misure di sicurezza anche fondamentali, che a fattori non controllabili esterni all’azienda.
Questa inadeguatezza spesso non è dovuta a una mancanza di risorse in senso assoluto per l’azienda, quanto alla scarsa percezione della criticità dei rischi di cyber security, che sono percepiti come una tematica tecnica “della Direzione IT”, che deve farvi fronte in autonomia nell’ambito del proprio budget, anziché come una tematica di rischio per i processi operativi dell’azienda.
La Direttiva NIS2, con l’obiettivo di aumentare il livello di cyber security nell’Unione Europea, interviene su questo problema in modo molto diretto, coinvolgendo esplicitamente l’organo di gestione (ad esempio, il consiglio d’amministrazione) nella governance del rischio di cyber security, attribuendogli delle responsabilità specifiche.
Requisiti di governance della NIS 2: la lettura normativa
All’articolo 20 “Governance”, infatti, indica al comma 1 che gli organi di gestione dei soggetti in perimetro dovranno approvare “le misure di gestione dei rischi di cibersicurezza adottate da tali soggetti per conformarsi all’articolo 21”, sovraintendendo alla loro attuazione, e potranno “essere ritenuti responsabili di violazione da parte dei soggetti di tale articolo”.
L’articolo 21 della Direttiva NIS2 è quello che tratta, appunto, delle misure di gestione dei rischi di cybersecurity.
L’attenzione che l’organo di gestione deve porre a questi temi è talmente importante che, al comma 2, lo stesso articolo indica che l’organo di gestione sarà tenuto a seguire una formazione per fare sì che acquisisca “conoscenze e competenze sufficienti al fine di individuare i rischi e valutare le pratiche di gestione dei rischi di cibersicurezza e il loro impatto sui servizi offerti dal soggetto”.
Formazione mirata alla comprensione dei rischi di cyber security
Formazione analoga dovrà essere data ai dipendenti. Non si tratta quindi della semplice attività di sensibilizzazione sui temi di sicurezza nelle proprie attività quotidiane, evitando le mail di phishing e i siti web rischiosi: si tratta di una vera e propria formazione finalizzata alla comprensione dei rischi di cyber security ai quali è esposta la propria azienda, e della capacità di valutarli e sovrintendere efficacemente all’attuazione delle misure di mitigazione.
Chiaramente, questo requisito normativo non è soddisfatto da una semplice delega alla Direzione IT. Al contrario, dovrà esserci evidenza del presidio della tematica da parte dell’organo di gestione. Evidenza che, trattandosi di un requisito normativo, dovrà in generale essere documentata, in modo da poter rispondere efficacemente ad eventuali richieste dell’autorità di controllo.
L’organo di gestione deve dare evidenza di una corretta analisi dei rischi
Si noti, poi, che sia l’esigenza di gestire i temi di cyber security, sia i requisiti posti più esplicitamente dalla Direttiva NIS2, non si esauriscono in generale con attività svolte dalla Direzione IT.
Ad esempio, i rischi di cybersecurity possono interessare l’ambito OT, nelle sue diverse declinazioni, a seconda del settore di operatività dell’organizzazione, andando dai sistemi di controllo industriale, ai sistemi di controllo del traffico per soggetti nel settore dei trasporti, fino ai dispositivi medicali per il settore della sanità.
A questo si aggiunge il presidio della supply chain, intesa nuovamente non solo come fornitori IT ma come fornitori in senso generale: se un fornitore critico non IT (si pensi ad esempio ad un fornitore di componentistica o materie prime nel settore manifatturiero) dovesse interrompere la fornitura a causa di un incidente di cyber security, potrebbe bloccare l’operatività dell’organizzazione, e questo è ampiamente nel perimetro della Direttiva NIS2, che dedica particolare attenzione proprio alla supply chain.
Per presidiare adeguatamente questi rischi, l’organo di gestione deve quindi dare evidenza di avere fatta propria l’analisi dei rischi, e di aver come minimo visionato ed approvato le misure di mitigazione, valutandone l’adeguatezza.
Analisi dei rischi: l’allineamento tra NIS 2 e ISO/IEC 27001
Questa attività è sostanzialmente analoga al riesame di direzione previsto dall’High Level Structure (HLS) di molte norme tecniche ISO, ed in particolare della ISO/IEC 27001:2022.
Il riesame di direzione richiede infatti che vengano valutati, fra l’altro:
- Le variazioni di contesto esterne ed interne, che possono influire anche sul rischio e sulla capacità dell’organizzazione di affrontarlo.
- Le variazioni di aspettative da parte delle parti interessate, che incidono ad esempio sugli obiettivi e sui rischi accettabili.
- I risultati delle analisi dei rischi e delle misure di mitigazione implementate.
- I feedback sulle prestazioni nella gestione dei temi di sicurezza delle informazioni.
L’ultimo punto è particolarmente interessante, perché la Direttiva NIS2, nell’articolo 21, fra le misure di sicurezza di cui richiede l’implementazione, comprende proprio “strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cibersicurezza”.
Si vede, quindi, come ci sia un notevole allineamento fra le logiche della Direttiva NIS2 e quelle della ISO/IEC 27001:2022.
Questo allineamento non è casuale: la Direttiva NIS2 cita infatti esplicitamente, non nel corpo della norma ma al considerando 79, la serie ISO/IEC 27000, indicando come “Le misure di gestione dei rischi di cibersicurezza dovrebbero pertanto affrontare anche la sicurezza fisica e dell’ambiente dei sistemi informatici e di rete includendo misure volte a proteggere detti sistemi da guasti del sistema, errori umani, azioni malevole o fenomeni naturali, in linea con le norme europee e internazionali, come quelle di cui alla serie ISO/IEC 27000”.
Le stesse misure di sicurezza indicate all’articolo 21 possono essere facilmente ricondotte a sezioni della stessa norma.
Conformità ISO/IEC 27001 e conformità alla NIS 2
Questo vuole dire quindi che chi sia certificato ISO/IEC 27001 risulta sostanzialmente conforme a questi requisiti posti dalla Direttiva NIS2? Possiamo notare prima di tutto che nel passaggio dalla versione del 2015 a quella del 2022, lo standard ha compreso più esplicitamente le tematiche di cybersecurity, che non sono solo sicurezza delle informazioni.
Questo cambiamento si riconosce, oltre che in integrazioni sostanziali, anche nel titolo, che è passato da “Information technology — Security techniques — Information security management systems — Requirements” a “Information security, cybersecurity and privacy protection — Information security management systems — Requirements”.
Tuttavia, questa prospettiva non assicura in sé la conformità alla Direttiva NIS2.
Il primo motivo è che la Direttiva NIS2 richiede di affrontare rischi legati ad impatti che non sono in generale considerati in un sistema di gestione ISO/IEC 27001. Coerentemente con i propri obiettivi, infatti, la Direttiva NIS2 indica, sempre all’articolo 21, che “Nel valutare la proporzionalità di tali misure, si tiene debitamente conto del grado di esposizione del soggetto a rischi, delle dimensioni del soggetto e della probabilità che si verifichino incidenti, nonché della loro gravità, compreso il loro impatto sociale ed economico”.
È proprio l’impatto sociale, ad esempio dell’interruzione di quei servizi critici per la collettività per i quali il soggetto è stato posto in perimetro NIS2, che non sono generalmente stati finora considerati. Si tratta, come per l’impatto sui diritti e le libertà degli interessati per il GDPR, di un rischio “di terzi”, tutt’altro che semplice da valutare e che le analisi dei rischi dovranno includere.
Un ulteriore punto di attenzione è poi che generalmente la certificazione ISO/IEC 27001 è focalizzata sui sistemi IT, e non comprende l’ambito OT. In generale, spesso non comprende tutti i sistemi che potrebbero essere soggetti ad incidenti di cyber security.
Oltretutto, in molti contesti potrebbe comunque essere preferibile, per le misure di sicurezza nell’ambito OT, fare riferimento al framework ISA/IEC 62443, più specifico e diffuso in questo contesto, anziché alla famiglia ISO/IEC 27000, con la quale comunque potrebbe coordinarsi per quanto riguarda il sistema di gestione.
Resta comunque il fatto che il riferimento allo standard ISO/IEC 27001 rimane particolarmente utile per affrontare una delle novità più importanti introdotte dalla Direttiva NIS2, ovvero la responsabilizzazione dell’organo di gestione nella gestione dei rischi di cyber security, tema che viene generalmente sottovalutato dove l’approccio sia puramente tecnologico, con il rischio di mancare completamente la conformità ad un importante articolo della Direttiva.
Azioni di vigilanza ed esecuzione dell’autorità di controllo
Come ulteriore nota, vale la pena di evidenziare come questa attenzione al ruolo dell’organo di gestione si traduca poi in azioni in termini di vigilanza ed esecuzione da parte dell’autorità di controllo. Per i soggetti essenziali, infatti, all’articolo 32 comma 5, la Direttiva NIS2 indica esplicitamente:
“Qualora le misure di esecuzione adottate a norma del paragrafo 4, lettere da a) a d), e lettera f), si rivelino inefficaci, gli Stati membri provvedono affinché le proprie autorità competenti abbiano il potere di fissare un termine entro il quale il soggetto essenziale è tenuto ad adottare le misure necessarie a porre rimedio alle carenze o a conformarsi alle prescrizioni di tali autorità. Se le misure richieste non sono adottate entro il termine stabilito, gli Stati membri provvedono affinché le proprie autorità competenti abbiano il potere di:
- sospendere temporaneamente o chiedere a un organismo di certificazione o autorizzazione, oppure a un organo giurisdizionale, secondo il diritto nazionale, di sospendere temporaneamente un certificato o un’autorizzazione relativi a una parte o alla totalità dei servizi o delle attività pertinenti svolti dal soggetto essenziale;
- chiedere che gli organismi o gli organi giurisdizionali pertinenti, secondo il diritto nazionale, vietino temporaneamente a qualsiasi persona che svolga funzioni dirigenziali a livello di amministratore delegato o rappresentante legale in tale soggetto essenziale di svolgere funzioni dirigenziali in tale soggetto.”
Se il punto a) rappresenta una misura davvero estrema, presumibilmente da utilizzare quando i comportamenti mettano seriamente a rischio la collettività, dato che possono avere come conseguenza diretta la cessazione delle attività dell’azienda, il punto b) ha più evidentemente l’obiettivo si sensibilizzare direttamente le figure apicali dell’azienda sulle loro responsabilità.
Il ruolo del CISO nella conformità alla NIS 2
Ci si può infine chiedere che impatto possa avere tutto questo sulla figura del CISO. Si può ipotizzare sicuramente che per i soggetti in perimetro, definire un ruolo di CISO, per quanto non sia un obbligo normativo, diventa sostanzialmente una necessità non appena l’organizzazione sia un minimo complessa.
Si tratta di una figura che dovrà essere in grado di affrontare questi temi nel perimetro complessivo dell’organizzazione, sia IT che OT, e proprio per questo in molti casi sarà difficile che possa essere a riporto del CIO.
Anche dal punto di vista del corretto presidio dei rischi, un’adeguata indipendenza in termini di valutazione decisionali dalle priorità della gestione IT (e OT) in senso stretto, sarà necessaria. Laddove l’organizzazione ritenga di mantenere invece una figura a riporto della Direzione IT, dovrà essere in grado di assicurare che questo non incida negativamente sull’efficacia nella mitigazione dei rischi.
Un’altra conseguenza importante sarà che il CISO dovrà essere in grado, come ruolo ma anche come competenze e capacità di comunicazione, di riportare efficacemente all’organo di gestione, in modo che questo possa assolvere ai propri compiti di presidio del rischio.
Anche questo è in linea con le tendenze degli ultimi anni in termini di buone pratiche di settore, con le quali la Direttiva NIS2 è in effetti fortemente allineata.