background
News

Le Linee Guida ENISA per la Cybersecurity in Italia

L'ENISA (Agenzia UE per la Cybersicurezza) ha recentemente pubblicato la versione 1.0 delle sue "Technical ImplementationGuidance". Questo documento offre raccomandazioni operative per l'applicazione del Regolamento di Implementazione UE 2024/2690, che funge da pilastro per due aree fondamentali:

  • Definizione dei requisiti tecnici e metodologici per le misure di gestione dei rischi di cybersicurezza, come previsto dall'Art. 21 della Direttiva NIS2 (UE 2022/2555).
  • Criteri per la qualificazione di un incidente come "significativo", cruciale per gli obblighi di segnalazione delineati nell'Art. 23 della Direttiva NIS2.

Queste norme tecniche sono specificamente indirizzate a un'ampia gamma di entità, inclusi fornitori di servizi DNS, registri di nomi di dominio di primo livello, servizi di cloud computing, data center, reti di distribuzione di contenuti, servizi gestiti, servizi di sicurezza gestiti, mercati online, motori di ricerca online, piattaforme di servizi di social network e prestatori di servizi fiduciari.

Le Linee Guida si pongono, quindi, come uno standard di riferimento essenziale per la progettazione e l'implementazione di misure organizzative e tecniche di cybersecurity per tutti i soggetti NIS2.

Tra le aree di particolare attenzione, con implicazioni dirette per la governance aziendale, spiccano:

  • Incident Handling
  • Crisis Management
  • Supply Chain Security

1. Incident Handling: Oltre la Reazione, Verso la Proattività.

La Sezione 3 delle Linee Guida ENISA eleva l'incident handling da mera reazione a processo strategico. Richiede una solida struttura per la rilevazione, analisi, contenimento, risposta, documentazione e reporting degli incidenti di sicurezza informatica.

Per i soggetti NIS2, questo rappresenta un cambio di paradigma: non più un'attività ad-hoc, ma un processo proattivo che integra monitoraggio continuo, categorizzazione rigorosa e procedure di escalation ben definite.

Policy di Gestione Incidenti

Il Regolamento impone alle entità di definire una policy di incident handling che delinea ruoli, responsabilità e procedure per tutte le fasi della gestione degli incidenti. Questa policy va ben oltre la semplice documentazione: deve essere intrinsecamente legata ai piani di business continuity e disaster recovery, garantendo che tutte le misure adottate siano concrete, integrate ed efficaci nel rafforzare la resilienza cyber organizzativa e operativa.

ENISA suggerisce di considerare diverse tipologie di incidenti, tra cui malfunzionamenti di sistema, perdita di disponibilità, codice malevolo, attacchi DDoS, errori, violazioni di riservatezza e integrità, e abusi di rete.

Categorizzazione, Comunicazione e Documentazione.

Per allinearsi ai piani di continuità operativa, la policy sugli incidenti deve includere:

a) Un sistema di categorizzazione degli incidenti che sia coerente con la valutazione e classificazione degli eventi (valutando impatti su confidenzialità, integrità, autenticità e disponibilità dei dati, anche in sinergia con il GDPR).

b) Un piano di comunicazione dettagliato, che comprenda modalità di reporting e casistiche di escalation. c) L'assegnazione di ruoli precisi per l'individuazione e il trattamento degli incidenti esclusivamente a personale qualificato.

d) La definizione di modelli di evidenze documentali standardizzati da utilizzare durante il processo di gestione degli incidenti.

ENISA suggerisce criteri di categorizzazione basati su impatto sulle operazioni di business, sensibilità dei dati, impatto sulla conformità legale, dimensioni e propagazione dell'incidente, tipologia di attacco, potenziale esfiltrazione/compromissione dei dati (es. ransomware), probabilità di ripristino e impatto su salute/sicurezza delle persone.

Monitoraggio e Comunicazione: L'Importanza dei Processi Integrati

L'implementazione di sistemi di monitoraggio continuo è cruciale per la rilevazione tempestiva degli incidenti, con l'impiego di strumenti avanzati come SIEM, EDR e sistemi di threat intelligence. La segnalazione degli incidenti deve garantire la conformità ai requisiti NIS2, richiedendo processi ben definiti, monitorati e testati. Questo ribadisce la necessità di un sistema integrato e coerente.

È fondamentale anche stabilire procedure per testare e rivedere periodicamente le procedure, i ruoli e le responsabilità, sia a intervalli regolari che in seguito a incidenti significativi o cambiamenti operativi/di rischio.

ENISA raccomanda l'esecuzione di tabletopexercise, simulazioni di incidenti (basate su scenari di attacco predeterminati e sui rischi aziendali), esercizi red team/blue team e analisi dettagliate degli incidenti pregressi.

Contattaci per richiedere un Tabletop exercise.

2. Crisis Management: La Gestione Strategica degli Eventi Critici.

La preparazione alla gestione di un evento critico è un requisito di governance strategico. La dirigenza deve definire chiaramente ruoli, responsabilità e processi per la gestione di tali eventi, considerando i molteplici aspetti coinvolti (tecnici, operativi, comunicativi, di risposta).

Per i soggetti NIS2, è vitale stabilire, in base al risk management aziendale, quando un evento raggiunge una soglia di tolleranza critica. ENISA fornisce criteri di riferimento per tale determinazione.

Un evento critico si distingue da un incidente: richiede una pianificazione separata e una consapevolezza specifica da parte del management, che non può limitarsi alle procedure standard previste per gli incidenti.

Determinazione dello Stato di Crisi: Soglie e Parametri

Il processo di gestione della crisi deve definire soglie e parametri di impatto superati i quali è necessaria una risposta di livello superiore. I soggetti NIS2 sono incoraggiati a considerare gli standard di settore esistenti, oltre a fattori quali l'impatto degli incidenti (su dati sensibili), la continuità operativa (es. superamento di una certa durata), il livello di perdita di servizi ai consumatori, l'estensione geografica, il potenziale impatto sul brand aziendale, e la sofisticazione/motivazione degli attaccanti.

3. Supply Chain Security: Estendere la Protezione Oltre i Confini Aziendali.

Il legislatore UE sta progressivamente introducendo la responsabilità sulla catena di fornitura. NIS2 impone requisiti specifici per la supply chain security, richiedendo una gestione proattiva dei rischi derivanti dalla catena di approvvigionamento IT.

In un'era di forte dipendenza da fornitori esterni per servizi critici, le Linee Guida propongono criteri strutturati per la selezione, valutazione e monitoraggio dei partner tecnologici.

Supply Chain Security Policy

I soggetti NIS2 devono adottare una supply chain security policy per gestire le relazioni con fornitori diretti e service provider, mitigando i rischi identificati.

Questa policy deve definire ruoli e responsabilità nella catena di fornitura e deve essere comunicata, specificando i requisiti di sicurezza attesi. È imperativo che i contratti includano clausole adeguate per garantire non solo la conformità iniziale, ma anche la disponibilità del fornitore a audit e verifiche continue.

Criteri di Selezione e Valutazione dei Fornitori

Le Linee Guida raccomandano criteri specifici per la selezione dei fornitori, tra cui la valutazione delle loro capacità di cybersicurezza, il possesso di certificazioni riconosciute e la conformità agli standard internazionali. Ulteriori criteri includono la stabilità finanziaria, la reputazione e la capacità di fornire supporto in caso di incidenti. La valutazione deve essere documentata e aggiornata periodicamente.

Si raccomanda di classificare i fornitori in base a caratteristiche quali:

  • Criticità degli asset
  • Volume degli asset acquistati da un singolo fornitore
  • Disponibilità di intervento e supporto
  • Valutazione dei rischi

Questa classificazione deve essere aggiornata regolarmente o in caso di cambiamenti significativi. Esempi di classificazione includono:

  • Critico: impatto significativo sulle operazioni NIS2.
  • Strategico: partner ad alto valore che contribuisce ad asset informativi (es. cloud provider, fornitori di analisi dati, sviluppatori software, telecomunicazioni).
  • Di routine: impatto minimo.

Gestione Ciclo Vita e Coordinamento

È essenziale governare il ciclo di vita del rapporto con i fornitori attraverso processi strutturati per la selezione, il monitoraggio continuo e la conclusione dei rapporti. ENISA suggerisce che questa gestione includa:

  • Assessent periodico del fornitore (es. tramite meeting) per identificare disallineamenti dagli SLA.
  • Definizione di ruoli e responsabilità per il mantenimento dei servizi, le operazioni e la proprietà degli asset.
  • Rivalutazione della compliance del fornitore.
  • Controllo periodico della qualità del prodotto/servizio, intensificando i controlli nel tempo.
  • Tracciamento degli incidenti di sicurezza correlati al fornitore, per innescare rivalutazioni.
  • Rivalutazione del fornitore in caso di circostanze rilevanti (es. cambiamenti operativi/rischi del fornitore, incapacità di adempiere agli obblighi contrattuali, nuove minacce/vulnerabilità).

Infine, il processo di conclusione del rapporto con un fornitore deve essere disciplinato da clausole contrattuali che regolino la transizione, l'accesso ai dati e l'assistenza post-contrattuale.

4. Conclusione: La Cybersicurezza come Imperativo Strategico per il Management NIS2.

I requisiti organizzativi e tecnici dell'Art. 21 della Direttiva NIS2, dettagliati dal Regolamento e dalle Linee Guida ENISA, impongono al management delle entità NIS2 un approccio alla cybersicurezza che sia profondamente integrato e strategico.

È fondamentale che la leadership di un soggetto NIS2 sia in grado di:

  • Predeterminare le caratteristiche degli incidenti e delle crisi, assicurando ruoli, responsabilità e procedure chiare.
  • Testare regolarmente l'efficacia delle misure organizzative e tecniche adottate, includendo verifiche specifiche su ruoli e procedure di gestione incidenti e crisi.

È richiesta l'adozione di un vero e proprio sistema di gestione che, per essere completo, deve prevedere anche misure specifiche per la selezione e il monitoraggio dei fornitori con impatto significativo sulla cybersicurezza, oltre alla gestione della fase di chiusura dei rapporti contrattuali. La sicurezza della supply chain è, infatti, una responsabilità diretta degli organi amministrativi e di direzione.

In questo contesto, ogni processo, ruolo e misura deve essere parte di un "tutto" coerente e integrato. Diversamente, un soggetto NIS2 rischia di non essere in grado di dimostrare l'adozione di misure adeguate per soddisfare i requisiti di resilienza cyber imposti dalla direttiva.

Vuoi approfondire come le Linee Guida ENISA impattano la tua azienda? Contattaci ora per una consulenza personalizzata sulla conformità NIS2, per prenotare un Tabletop Exercise o per ottimizzare la tua Supply Chain Security!