Ambito di Applicazione Allargato della NIS 2

Nonostante la Direttiva NIS 2 delinei specifici settori elencati negli Allegati I e II, numerose analisi tecniche indicano che il suo impatto avrà una portata molto più ampia, coinvolgendo indirettamente gran parte della catena di fornitura. Molte aziende direttamente interessate dalla Direttiva richiederanno ai propri fornitori di conformarsi agli standard di sicurezza imposti, al fine di mantenere un adeguato controllo e gestione dei rischi cibernetici lungo tutta la filiera.

Sfide per le PMI

In questo scenario, le piccole e medie imprese (PMI) si troveranno ad affrontare la sfida di ottimizzare le proprie risorse, sia economiche che operative, per soddisfare le richieste dei clienti e adeguarsi agli standard di sicurezza richiesti. Una soluzione potenzialmente vantaggiosa potrebbe essere l'adozione dello schema della ISO/IEC 27001:2022, che fornisce un framework strutturato per la gestione della sicurezza delle informazioni e della cybersicurezza.

NIS 2 e ISO/IEC 27001: Scenario di Riferimento

Obiettivi Condivisi

La Direttiva NIS 2 e la ISO/IEC 27001:2022 condividono obiettivi simili per quanto riguarda:

• La gestione dei rischi di cybersicurezza
• Gli obblighi di segnalazione degli incidenti

Come citato nel Considerando n.22 della NIS 2, la Direttiva illustra le modalità per ottenere una governance completa volta a prevenire e reagire correttamente alle minacce informatiche, inclusa la comunicazione degli eventi malevoli agli enti preposti.

Il concetto di governance è ampiamente descritto e utilizzato nell'Information Security, ed è stato un pilastro fondamentale della ISO 27001 fin dalla sua prima versione del 2005. Tuttavia, nell'edizione 2022, il campo di applicazione si è ampliato per includere anche la cybersicurezza e la protezione della privacy, come evidenziato dal nuovo titolo: "Information security, cybersecurity and privacy protection – Information security management systems".

Necessità di un Framework Strutturato

Per ottenere una governance efficace, è necessario un supporto strutturato con punti chiari e ben definiti. La ISO/IEC 27001 fornisce il framework adatto per governare i processi aziendali e metterli in sicurezza, allineandosi con l'approccio suggerito dalla Direttiva NIS 2 nel Considerando n. 79, che cita la famiglia 27000 come un approccio adeguato per affrontare le minacce alla sicurezza dei sistemi informatici e di rete.

La famiglia 27000 si basa su un approccio multirischio, analizzando diversi scenari di rischio che non si limitano solo all'ambito informatico, ma includono anche la "sicurezza fisica e dell'ambiente dove i sistemi sono collocati, ovvero guasti del sistema, errori umani, azioni malevole o fenomeni naturali" (Considerando n. 79 – NIS 2).

Il framework della ISO 27001 mette a disposizione una serie di controlli volti a governare queste tipologie di rischi per l'IT e, con la nuova versione 27001:2022, anche per l'OT (Operational Technology).

Punti di Contatto tra NIS 2 e ISO/IEC 27001:2022

Analizzando ad alto livello le due norme, emergono diversi punti di contatto e concetti condivisi.

Governance Strategica

Innanzitutto, entrambe le norme enfatizzano il concetto di "Governance". La NIS 2 lo introduce sia all'articolo 7, definendo una governance strategica a livello nazionale, che all'articolo 20, sottolineando l'importanza di adottare misure di gestione e formazione dei rischi di cybersicurezza.

Questo approccio è perfettamente allineato con la ISO 27001, che promuove la gestione del sistema di sicurezza delle informazioni integrato nei processi aziendali e coerente con gli obiettivi di business.

Tutela della Confidenzialità, Integrità e Disponibilità

Ragionando sempre ad alto livello, la ISO 27001 mira a tutelare la confidenzialità, l'integrità e la disponibilità delle informazioni, che sono anche i tre presupposti definiti al punto 2 dell'articolo 6 della NIS 2 da preservare, appunto, con un buon livello di sicurezza dei sistemi informatici e di rete.

Gestione degli Incidenti e Segnalazione

La NIS 2 pone particolare enfasi sull'obbligo di segnalazione, dedicando l'articolo 23 alle modalità e tempistiche di comunicazione di un evento malevolo. In questo caso, la ISO 27001 non obbliga la segnalazione, ma fornisce gli strumenti e i controlli necessari per rispondere e recuperare le informazioni rilevanti in caso di incidente, facilitando un'eventuale segnalazione.

Vigilanza e Miglioramento Continuo

Un altro tema comune è la vigilanza e l'esecuzione delle misure di sicurezza. La NIS 2 dedica il "Capo VII" a descrivere come gli Stati Membri debbano monitorare l'applicazione corretta della Direttiva. Analogamente, la ISO 27001 fornisce gli strumenti adatti alle aziende per monitorare continuamente il proprio stato di sicurezza e conformità agli aspetti legali, promuovendo il concetto di "miglioramento continuo".

Security by Design, Security by Default

L'adozione di un sistema di gestione dei rischi non si limita all'esecuzione meccanica di procedure, ma richiede l'integrazione della sicurezza nelle attività quotidiane, infondendo nelle persone un modo di pensare e ragionare orientato alla sicurezza. Solo così si innesca quello che viene definito "Security by design, security by default": la capacità di sviluppare progetti, costruire sistemi informatici o progettare reti partendo da presupposti di sicurezza integrati fin dalle fasi iniziali.

Il Paradigma PDCA

Le norme ISO si basano sul paradigma PDCA (Plan – Do – Check – Act), un modello iterativo che assicura un progressivo miglioramento dei processi, identificando e affrontando rischi e opportunità di miglioramento. Il paradigma PDCA si articola in quattro fasi:

1. Plan (Pianificare): stabilire gli obiettivi, i processi e le risorse necessarie per fornire risultati conformi ai requisiti del cliente e alle politiche aziendali, identificando e affrontando rischi e opportunità.
2. Do (Fare): attuare quanto pianificato.
3. Check (Verificare): monitorare e misurare i processi e i risultati, confrontandoli con le politiche, gli obiettivi e i requisiti pianificati, e riferire sui risultati.
4. Act (Agire): intraprendere azioni per migliorare le prestazioni, ove necessario.

Questo modello iterativo facilita la gestione del rischio ad ogni implementazione, consentendo di rispettare le revisioni dell'impianto di sicurezza cyber imposte dalla NIS 2.

Confronto tra NIS 2 e ISO/IEC 27001:2022

Nei prossimi paragrafi, verrà fornita una panoramica di confronto tra gli articoli della NIS 2 e i controlli corrispondenti della ISO/IEC 27001:2022.

Articolo 7 della NIS 2 e i Concetti della ISO/IEC 27001:2022

L'articolo 7 della NIS 2 specifica le strategie a livello nazionale per la cybersicurezza, che rispecchiano i principi fondamentali della ISO 27001 calati all'interno di un'azienda.

Governance, Obiettivi e Strategie (Art. 7 c.1 par. b NIS2)

Questo punto è condiviso dalla ISO 27001, che definisce una governance della sicurezza a partire dalla strategia aziendale per raggiungere gli obiettivi definiti a priori (paragrafo 5 della 27001: Leadership). È importante sottolineare che la governance è responsabilità dell'organo di gestione aziendale e non riguarda più solo l'IT, concetto condiviso sia dalla NIS 2 che dalla ISO 27001.

Ruoli, Responsabilità e Risorse (Art. 7 c.1 par. c – d NIS2)

Questo aspetto è affrontato dal capitolo 7 della ISO 27001, che sottolinea la necessità di individuare le risorse competenti e necessarie allo sviluppo di un piano adeguato. I controlli di riferimento sono dal 5.2 al 5.4 e il 5.18. Un riferimento particolare va al controllo 5.8, che introduce il concetto di "Information Security" all'interno dei processi di project management, cristallizzando l'importanza del "Security by design, security by default".

Avere ruoli e responsabilità ben definiti aiuta l'azienda ad una struttura più coordinata e organizzata, in grado di agire e reagire in modo efficace ad un incidente, come richiesto dalla NIS 2.

Risposta agli Incidenti e Valutazione del Rischio (Art. 7 c.1 par. d – e NIS2)

La ISO 27001 mette a disposizione il capitolo 6 per identificare le azioni per affrontare rischi e opportunità. Nel dettaglio, il paragrafo 6.1.2 descrive come implementare un processo di analisi e valutazione del rischio. A valle di tali considerazioni, i controlli dal 5.24 al 5.27 servono alla pianificazione e preparazione per la gestione del rischio in risposta agli incidenti, sia in termini tecnici che comunicativi.

Sicurezza nella Catena di Approvvigionamento (Art. 7 c.2 par. a NIS2)

La strategia di sicurezza della NIS 2 comprende anche la supervisione della propria catena di fornitura, che deve garantire un livello adeguato per rimanere conforme alla norma. La ISO 27001 offre una serie di controlli (dal 5.19 al 5.22) per monitorare la sicurezza adottata dalla propria rete di fornitori.

Gestione delle Vulnerabilità e Collaborazione (Art. 7 c.2 par. c NIS2)

Questo punto, che include la collaborazione tra enti per ampliare la conoscenza e la condivisione di metodologie di difesa, rientra nel perimetro della ISO 27001 con il capitolo 8. Oltre alle misure per l'analisi e il trattamento del rischio, la norma suggerisce l'adozione di processi documentali per tenere sempre aggiornati i trattamenti adoperati, facilitando la consultazione e la condivisione.

Miglioramento Continuo, Formazione e Consapevolezza (Art. 7 c.2 par. d a j NIS2)

Questi paragrafi della NIS 2 possono essere ricondotti al concetto fondamentale delle ISO, ovvero il continuo miglioramento anche tramite percorsi di formazione e di divulgazione della consapevolezza sui sistemi di sicurezza delle informazioni, dei rischi e del loro trattamento.

Articolo 21 e i Controlli della ISO

L'articolo 21 della NIS 2 elenca, seppur non in modo esaustivo, una serie di misure da adottare per la protezione dei sistemi informatici e di rete e il loro ambiente fisico, con un approccio multirischio. Queste misure mirano a prevenire il rischio di incidenti anche per chi utilizza i servizi offerti, garantendo così una maggiore continuità operativa.

Questo concetto è pienamente condiviso dalle politiche della ISO 27001, che nella gestione della sicurezza delle informazioni cerca di diminuire al minimo il rischio, portandolo a un livello accettabile per la continuità del business aziendale.

Di seguito, una tabella di matching tra le misure proposte dalla NIS 2 e i controlli di riferimento della ISO/IEC 27001:2022:

Gli altri controlli non citati fanno riferimento a misure più nel dettaglio che rientrano comunque in una panoramica più ampia della gestione della sicurezza che fa parte sia della NIS 2 che della ISO 27001.

Formazione e Miglioramento Continuo

Entrambe le norme promuovono il costante aggiornamento per garantire una piena consapevolezza del rischio di incidenti e dei metodi per prevenirli, mantenendo alta l'attenzione su queste tematiche. L'aggiornamento può essere fatto tramite diversi canali come la formazione individuale, seminari, gruppi di condivisione, consulenza, ecc.

Essere formati e informati porta al già citato approccio del "Continuous Improvement" della ISO/IEC 27001, ovvero la capacità di un'organizzazione di migliorare in modo continuo l'idoneità, l'adeguatezza e l'efficacia del sistema di gestione della sicurezza, determinando e affrontando le carenze che diventano opportunità di miglioramento.

Ovviamente, tutto ciò non è affidato solamente all'azienda che direttamente o indirettamente viene coinvolta dalla NIS 2. Infatti, come quest'ultima indica di istituire organi di controllo, anche Anche la ISO 27001, nel controllo 5.35, suggerisce di adottare un auditor indipendente per revisionare il proprio sistema, e il capitolo 9 fornisce gli accorgimenti da seguire per un processo di valutazione adeguato che comprende il monitoraggio, le misurazioni e le analisi.

Riesame degli Organi di Controllo

Sempre nel capitolo 9 della ISO/IEC 27001:2022, al paragrafo 9.3, si parla di "Revisione della Direzione". Per la ISO, questo è un altro pilastro fondamentale perché, per garantire il successo di tale sistema di gestione, non basta applicare i controlli o seguire alla lettera i paragrafi. È necessario effettuare un cambio di mentalità all'interno dell'azienda, partendo dai vertici aziendali. Il loro supporto e, soprattutto, la consapevolezza dell'utilità di tale sistema servono a diffondere in tutte le persone l'importanza di operare sempre nella direzione del concetto di "Security by default".

Questo concetto, così come lo esprime la ISO 27001, non lo troviamo esplicitato nella NIS 2, ma quest'ultima, in più punti tra gli articoli 31 e 33, parla di una vigilanza strutturata sull'adozione delle misure di sicurezza da essa impartite. Ciò significa che le aziende coinvolte devono essere pronte a dimostrare la loro conformità e, sicuramente, come avviene negli audit della ISO, la direzione è quella che più viene presa di mira per capire il livello di consapevolezza sull'attuale grado di sicurezza della propria azienda.

Conclusione

Quanto esposto in questo articolo non vuole in nessun modo dare la convinzione che conformarsi alla ISO/IEC 27001 possa tranquillamente sostituire la conformità alla Direttiva NIS 2. Tuttavia, garantisce delle ottime fondamenta per l'adempimento agli obblighi della Direttiva ai soggetti coinvolti direttamente, e fornisce anche alcuni pilastri in più per quelli che sono coinvolti in maniera indiretta, dando così la possibilità di poter partecipare anche a bandi e/o gare che ne richiedono la certificazione.

In entrambi i casi, però, è consigliabile appoggiarsi a dei professionisti in grado di guidare l'azienda nel modo giusto e proporzionato, in modo da prevenire anche eventuali sprechi economici.

Vuoi saperne di più?