Vademecum per la corretta applicazione delle misure di cybersicurezza: NIS 2 e D.Lgs. n. 138/2024, ad uso degli enti e delle aziende.

Premessa

Il presente Vademecum riporta gli adempimenti a carico delle aziende e degli enti, destinatari della normativa sulla cybersicurezza (su questo aspetto si rinvia agli ultimi due paragrafi del testo ove si spiega come in realtà il perimetro di applicazione della NIS 2 si estenda a tutti gli attori che compongono la filiera cd. Supply chain), partendo dall’assunto che oltre alla normativa, di cui al titolo, debba farsi riferimento anche al regolamento UE 2016/679, alle Linee guida dell’Agenzia per la Cybersicurezza (ACN), al Framework nazionale per la cybersecurity e la data protection, alle Linee guida dell’Agenzia dell’Unione europea per la cibersicurezza- ENISA e  alle indicazioni del National Institute of Standards and Technology -NIST, che promuove l’innovazione attraverso il progresso della scienza, degli standard e della tecnologia di misurazione.

La complessità della materia va di pari passo con il grado di complessità delle organizzazioni a cui appartengono i soggetti destinatari della normativa, con la conseguenza che è impensabile ritenere che una sola figura (il referente aziendale per la cybersicurezza) sia sufficiente a svolgere tale compito.

L’approccio da seguire è quello di coinvolgere, in primis, il top management che dovrà, a sua volta, esercitare un forte committment verso le altre funzioni aziendali, quali, in prima analisi: il referente per la cybersicurezza aziendale, il responsabile per la protezione dei dati, il privacy manager, i sistemi informativi, l’ufficio legale, l’ufficio formazione, il risk management, ecc; che dovranno interagire, all’interno di un costituito e formalizzato gruppo di lavoro, per raggiungere il risultato e mantenerlo nel tempo.

Lo sforzo compiuto nella redazione del Vademecum è stato quello di dargli un taglio pratico, pur nel rispetto puntuale della normativa di settore, comprese le linee guida e gli standard.

1. Il quadro regolatorio

Come ormai noto, la Direttiva (UE) n. 2022/2555: , nota anche come “Direttiva NIS2”, del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un livello comune elevato di cybersicurezza nell’Unione europea, è la legislazione dell’UE in materia di cybersicurezza.

Aggiorna le norme dell’UE in materia di cybersicurezza introdotte nel 2016 modernizzando e uniformando il quadro giuridico esistente. Fa parte di un ampio pacchetto di strumenti giuridici e di iniziative a livello dell’Unione, mirato ad aumentare la resilienza di soggetti pubblici e privati alle minacce nell’ambito cibernetico. Essa è entrata in vigore nel 2023 con l’obbligo di recepimento negli Stati Membri entro il 18 ottobre 2024, è stata recepita in Italia con il decreto legislativo 4 settembre 2024, n. 138 (cd. decreto NIS) pubblicato sulla Gazzetta Ufficiale, Serie Generale n. 230 del 1° ottobre 2024 (v. FAQ 1.2).

Il Decreto legislativo del 04/09/2024 n. 138[1], in vigore dal 16/10/2024, stabilisce misure volte a garantire un livello elevato di sicurezza informatica in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell’Unione europea in modo da migliorare il funzionamento del mercato interno.

Il decreto prevede:

a) la Strategia nazionale di cybersicurezza, recante previsioni volte a garantire un livello elevato di sicurezza informatica;

b) l’integrazione del quadro di gestione delle crisi informatiche, nel contesto dell’organizzazione nazionale per la gestione delle crisi che coinvolgono aspetti di cybersicurezza, di cui all’articolo 10 del decreto-legge 4 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109;

c) la conferma dell’Agenzia per la cybersicurezza nazionale quale:

1) Autorità nazionale competente NIS, disciplinandone i poteri inerenti all’implementazione e all’attuazione del presente decreto;

2) Punto di contatto unico NIS, assicurando il raccordo nazionale e transfrontaliero;

3) Gruppo di intervento nazionale per la sicurezza informatica in caso di incidente in ambito nazionale (CSIRT Italia).

• Le definizioni

Di seguito si riportano le definizioni elencate nell’art. 6 della Direttiva NIS 2, utili per comprendere i termini utilizzati nel prosieguo.

 «sistema informativo e di rete»: a) una rete di comunicazione elettronica quale definita all’articolo 2, punto 1, della direttiva (UE) 2018/1972; b) qualsiasi dispositivo o gruppo di dispositivi interconnessi o collegati, uno o più dei quali eseguono, in base a un programma, un’elaborazione automatica di dati digitali; o c) i dati digitali conservati, elaborati, estratti o trasmessi per mezzo degli elementi di cui alle lettere a) e b), ai fini del loro funzionamento, del loro uso, della loro protezione e della loro manutenzione;

 «sicurezza dei sistemi informativi e di rete»: la capacità dei sistemi informativi e di rete di resistere, con un determinato livello di confidenza, agli eventi che potrebbero compromettere la disponibilità, l’autenticità, l’integrità o la riservatezza dei dati conservati, trasmessi o elaborati o dei servizi offerti da tali sistemi informativi e di rete o accessibili attraverso di essi;

«cibersicurezza»: la cibersicurezza quale definita all’articolo 2, punto 1), del regolamento (UE) 2019/881;

«strategia nazionale per la cibersicurezza»: un quadro coerente di uno Stato membro che prevede priorità e obiettivi strategici in materia di cibersicurezza e la governance per il loro conseguimento in tale Stato membro;

«quasi incidente»: un evento che avrebbe potuto compromettere la disponibilità, l’autenticità, l’integrità o la riservatezza di dati conservati, trasmessi o elaborati o dei servizi offerti dai sistemi informativi e di rete o accessibili attraverso di essi, ma che è stato efficacemente evitato o non si è verificato;

«incidente»: un evento che compromette la disponibilità, l’autenticità, l’integrità o la riservatezza di dati conservati, trasmessi o elaborati o dei servizi offerti dai sistemi informativi e di rete o accessibili attraverso di essi;

«incidente di cibersicurezza su vasta scala»: un incidente che causa un livello di perturbazione superiore alla capacità di uno Stato membro di rispondervi o che ha un impatto significativo su almeno due Stati membri; «gestione degli incidenti»: le azioni e le procedure volte a prevenire, rilevare, analizzare e contenere un incidente o a rispondervi e riprendersi da esso;

«rischio»: la potenziale perdita o perturbazione causata da un incidente; è espresso come combinazione dell’entità di tale perdita o perturbazione e della probabilità che l’incidente si verifichi; «minaccia informatica»: una minaccia informatica quale definita all’articolo 2, punto 8), del regolamento (UE) 2019/881; 1

«minaccia informatica significativa»: una minaccia informatica che, in base alle sue caratteristiche tecniche, si presume possa avere un grave impatto sui sistemi informativi e di rete di un soggetto o degli utenti di tali servizi del soggetto causando perdite materiali o immateriali considerevoli;

 «prodotto TIC»: un prodotto TIC quale definito all’articolo 2, punto 12), del regolamento (UE) 2019/881;

«servizio TIC»: un servizio TIC quale definito all’articolo 2, punto 13), del regolamento (UE) 2019/881;

 «processo TIC»: un processo TIC quale definito all’articolo 2, punto 14), del regolamento (UE) 2019/881;

 «vulnerabilità»: un punto debole, una suscettibilità o un difetto di prodotti TIC o servizi TIC che può essere sfruttato da una minaccia informatica;

 «norma»: una norma quale definita all’articolo 2, punto 1), del regolamento (UE) n. 1025/2012 del Parlamento europeo e del Con siglio ( 3 );

 «specifica tecnica»: una specifica tecnica quale definita all’articolo 2, punto 4), del regolamento (UE) n. 1025/2012;

 «punto di interscambio internet»: un’infrastruttura di rete che con sente l’interconnessione di più di due reti indipendenti (sistemi autonomi), principalmente al fine di agevolare lo scambio del traffico internet, che fornisce interconnessione soltanto ai sistemi auto nomi e che non richiede che il traffico internet che passa tra qualsiasi coppia di sistemi autonomi partecipanti passi attraverso un terzo sistema autonomo né altera o interferisce altrimenti con tale traffico;

 «sistema dei nomi di dominio» o «DNS»: un sistema di nomi gerarchico e distribuito che consente l’identificazione di servizi e risorse su internet, permettendo ai dispositivi degli utenti finali di utilizzare i servizi di inoltro e connettività di internet al fine di accedere a tali servizi e risorse;

«fornitore di servizi DNS»: un soggetto che fornisce: a) servizi di risoluzione dei nomi di dominio ricorsivi accessibili al pubblico per gli utenti finali di internet; o b) servizi di risoluzione dei nomi di dominio autorevoli per uso da parte di terzi, fatta eccezione per i server dei nomi radice;

 «registro dei nomi di dominio di primo livello» o «registro dei nomi TLD»: un soggetto cui è stato delegato uno specifico dominio di primo livello (TLD) e che è responsabile dell’amministrazione di tale TLD, compresa la registrazione dei nomi di dominio sotto tale TLD, e del funzionamento tecnico di tale TLD, compresi il funzionamento dei server dei nomi, la manutenzione delle banche dati e la distribuzione dei file di zona TLD tra i server dei nomi, indipendentemente dal fatto che una qualsiasi di tali operazioni sia effettuata dal soggetto stesso o sia esternalizzata, ma escludendo le situazioni in cui i nomi TLD sono utilizzati da un registro esclusivamente per uso proprio;

«soggetto che fornisce servizi di registrazione di nomi di dominio»: un registrar[2] o un agente che agisce per conto di registrar, come un fornitore o un rivenditore di servizi di registrazione per la privacy o di proxy;

 «servizio digitale»: un servizio quale definito all’articolo 1, para grafo 1, lettera b), della direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio ( 4 );

«servizio fiduciario»: un servizio fiduciario quale definito all’arti colo 3, punto 16), del regolamento (UE) n. 910/2014;

 «prestatore di servizi fiduciari»: un prestatore di servizi fiduciari quale definito all’articolo 3, punto 19), del regolamento (UE) n. 910/2014;

 «servizio fiduciario qualificato»: un servizio fiduciario qualificato quale definito all’articolo 3, punto 17), del regolamento (UE) n. 910/2014;

 «prestatore di servizi fiduciari qualificato»: un prestatore di servizi fiduciari qualificato quale definito all’articolo 3, punto 20), del regolamento (UE) n. 910/2014;

«mercato online»: un mercato online quale definito all’articolo 2, lettera n), della direttiva 2005/29/CE del Parlamento europeo e del Consiglio ( 5 );

 «motore di ricerca online»: un motore di ricerca online quale definito all’articolo 2, punto 5), del regolamento (UE) 2019/1150 del Parlamento europeo e del Consiglio ( 6 );

«servizio di cloud computing»: un servizio digitale che consente l’amministrazione su richiesta di un pool scalabile ed elastico di risorse di calcolo condivisibili e l’ampio accesso remoto a quest’ul timo, anche ove tali risorse sono distribuite in varie ubicazioni.

«servizio di data center»: un servizio che comprende strutture, o gruppi di strutture, dedicate a ospitare, interconnettere e far funzionare in modo centralizzato apparecchiature informatiche e di rete che forniscono servizi di conservazione, elaborazione e trasporto di dati insieme a tutti gli impianti e le infrastrutture per la distribuzione dell’energia e il controllo ambientale;

«rete di distribuzione dei contenuti (content delivery network)»: una rete di server distribuiti geograficamente allo scopo di garantire l’elevata disponibilità, l’accessibilità o la rapida distribuzione di contenuti e servizi digitali agli utenti di internet per conto di for nitori di contenuti e servizi;

«piattaforma di servizi di social network»: una piattaforma che consente agli utenti finali di entrare in contatto, condividere, scoprire e comunicare gli uni con gli altri su molteplici dispositivi, in particolare, attraverso chat, post, video e raccomandazioni;

 «rappresentante»: una persona fisica o giuridica stabilita nell’Unione espressamente designata ad agire per conto di un fornitore di servizi DNS, un registro dei nomi TLD, un soggetto che fornisce servizi di registrazione di nomi di dominio, un fornitore di servizi di cloud computing, un fornitore di servizi di data center, un fornitore di reti di distribuzione dei contenuti, un fornitore di servizi gestiti, un fornitore di servizi di sicurezza gestiti, o un fornitore di mercato online, di un motore di ricerca online o di una piattaforma di servizi di social network che non è stabilito nell’Unione, a cui l’autorità nazionale competente o un CSIRT può rivolgersi in luogo del soggetto per quanto riguarda gli obblighi di quest’ultimo a norma della presente direttiva;

«ente della pubblica amministrazione»: un soggetto riconosciuto come tale in uno Stato membro conformemente al diritto nazionale, che non comprende la magistratura, i parlamenti e le banche centrali, che soddisfa i criteri seguenti: a) è istituito allo scopo di soddisfare esigenze di interesse generale e non ha carattere industriale o commerciale; b) è dotato di personalità giuridica o è autorizzato per legge ad agire a nome di un altro soggetto dotato di personalità giuridica; c) è finanziato in modo maggioritario dallo Stato, da autorità regionali o da altri organismi di diritto pubblico, la sua gestione è soggetta alla vigilanza di tali autorità o organismi, oppure è dotato di un organo di amministrazione, di direzione o di vigilanza in cui più della metà dei membri è designata dallo Stato, da autorità regionali o da altri organismi di diritto pubblico; d) ha il potere di adottare, nei confronti di persone fisiche o giuridiche, decisioni amministrative o normative che incidono sui loro diritti relativi alla circolazione transfrontaliera delle merci, delle persone, dei servizi o dei capitali;

«rete pubblica di comunicazione elettronica»: una rete pubblica di comunicazione elettronica quale definita all’articolo 2, punto 8), della direttiva (UE) 2018/1972;

«servizio di comunicazione elettronica»: un servizio di comunica zione elettronica quale definito all’articolo 2, punto 4), della direttiva (UE) 2018/1972;

«soggetto»: una persona fisica o giuridica, costituita e riconosciuta come tale conformemente al diritto nazionale applicabile nel suo luogo di stabilimento, che può, agendo in nome proprio, esercitare diritti ed essere soggetta a obblighi;

 «fornitore di servizi gestiti»: un soggetto che fornisce servizi relativi all’installazione, alla gestione, al funzionamento o alla manutenzione di prodotti, reti, infrastrutture, applicazioni TIC o di qual siasi altro sistema informativo e di rete, tramite assistenza o amministrazione attiva effettuata nei locali dei clienti o a distanza;

«fornitore di servizi di sicurezza gestiti»: un fornitore di servizi di sicurezza gestiti che svolge o fornisce assistenza per attività relative alla gestione dei rischi di cibersicurezza;

 «organismo di ricerca»: un soggetto che ha come obiettivo principale lo svolgimento di attività di ricerca applicata o di sviluppo sperimentale al fine di sfruttare i risultati di tale ricerca a fini commerciali, ma che non comprende gli istituti di istruzione.

• ENISA NIS360 2024[3] ENISA Cybersecurity Maturity & Criticality Assessment of NIS2 sectors. Febbraio 2025[4]

NIS360 è un nuovo prodotto ENISA che valuta la maturità e la criticità dei settori ad alta criticità

ai sensi della direttiva NIS2[5], fornendo sia una panoramica comparativa che un’analisi più approfondita di ciascun settore.

NIS360 è progettato per aiutare gli Stati membri e le autorità nazionali a identificare le lacune e a stabilire le priorità delle risorse. La nostra analisi si basa sui dati delle autorità nazionali con un mandato orizzontale o settoriale, sui dati delle aziende nei settori interessati e su approfondimenti da fonti a livello UE come Eurostat.

I risultati principali includono:

• Tre settori si distinguono dagli altri in termini di maturità e criticità complessive: elettricità, telecomunicazioni e banche. Nel tempo, questi settori hanno beneficiato di una significativa supervisione normativa, investimenti globali, attenzione politica e solidi partenariati pubblico-privati. La loro resilienza è fondamentale per la stabilità sociale ed economica.

• Le infrastrutture digitali, tra cui i servizi Internet di base, i servizi fiduciari, i data center e i servizi cloud, sono tra i settori di livello più elevato in termini di maturità e criticità, tuttavia presentano ancora sfide da affrontare a causa della loro eterogeneità intrinseca, della natura transfrontaliera e dell’inclusione di entità precedentemente non regolamentate nel loro ambito

• Quattro settori e due sottosettori rientrano nella “zona a rischio”:

1. gestione dei servizi ICT,
2. spazio,
3. pubblica amministrazione,
4. settore marittimo,
5. sanità
6. gas.[6]

Questi settori necessitano di un’attenzione particolare per garantire che i loro gap di maturità siano affrontati in modo da consentire loro di affrontare efficacemente le sfide aggiuntive poste dai rispettivi livelli di criticità.

• Il settore della gestione dei servizi ICT deve affrontare sfide chiave a causa della sua natura transfrontaliera e delle diverse entità. Rafforzare la sua resilienza è fondamentale e richiede una stretta cooperazione tra le autorità, oneri ridotti per le entità soggette sia a NIS2 che a DORA e una supervisione transfrontaliera armonizzata.

• Il settore spaziale deve affrontare sfide dovute alla limitata conoscenza della sicurezza informatica degli stakeholder e alla sua forte dipendenza da componenti commerciali già pronti all’uso. Rafforzare la sua resilienza richiede una migliore consapevolezza della sicurezza informatica, linee guida chiare per i test di preintegrazione dei componenti e una più forte collaborazione con altri settori, ad esempio le telecomunicazioni, a causa della crescente convergenza di comunicazioni 5G e satellitari. • Il settore delle pubbliche amministrazioni è ancora agli inizi dello sviluppo della propria maturità in materia di sicurezza informatica, mancando del supporto e dell’esperienza visti in settori più maturi. Essendo un obiettivo primario per l’hacktivismo e le operazioni di collegamento tra stati, dovrebbe puntare a rafforzare le proprie capacità di sicurezza informatica sfruttando il Cyber Solidarity Act dell’UE ed esplorare modelli di servizi condivisi tra entità di settore su aree comuni, ad esempio,

portafogli digitali.

• Il settore marittimo continua ad affrontare sfide con OT e potrebbe trarre vantaggio da una guida personalizzata per la gestione dei rischi di sicurezza informatica che si concentra sulla riduzione al minimo dei rischi specifici del settore, nonché da esercitazioni di sicurezza informatica a livello UE per migliorare il coordinamento e la preparazione nella gestione delle crisi sia settoriali che multimodali.

• Il settore sanitario, con un ambito ampliato che ne riduce ulteriormente l’omogeneità, continua ad affrontare sfide come la dipendenza da catene di fornitura complesse, sistemi legacy e dispositivi medici scarsamente protetti. Il rafforzamento della resilienza del settore a tutti i livelli richiede lo sviluppo di linee guida pratiche per gli appalti per aiutare le organizzazioni ad acquisire servizi e prodotti sicuri, una guida personalizzata per aiutare a superare problemi comuni, ad esempio lacune nell’igiene informatica di base e campagne di sensibilizzazione del personale.

• Il settore del gas deve continuare a lavorare per sviluppare le sue capacità di prontezza e risposta agli incidenti, attraverso lo sviluppo e la sperimentazione di piani di risposta agli incidenti a livello nazionale e UE, ma anche attraverso una migliore collaborazione con i settori dell’elettricità e della produzione.

Nel complesso, tutti i settori coperti da NIS360 affrontano sfide nel costruire la loro maturità e soddisfare i requisiti NIS2. Per supportarli meglio, si raccomanda una più forte collaborazione all’interno e tra i settori, insieme a linee guida specifiche per settore sull’implementazione di misure di gestione del rischio informatico. L’aggiornamento e la riqualificazione delle autorità nazionali potrebbero essere la chiave per un’implementazione NIS2 più armonizzata, mentre le esercitazioni di sicurezza informatica transfrontaliera potrebbero migliorare la risposta alle crisi e aiutare a mitigare gli effetti a cascata degli incidenti informatici.

3.1 Le pubbliche amministrazioni dovrebbero concentrarsi sulla creazione di efficaci capacità di rimedio per soddisfare i requisiti NIS2.

• Un modo per raggiungere questo obiettivo è attraverso modelli di servizi condivisi con altre entità pubbliche, che possono aiutare a ottimizzare le risorse e migliorare le capacità di sicurezza informatica. Dati i quadri normativi comuni e le esigenze operative simili tra le pubbliche amministrazioni, tali modelli collaborativi sono particolarmente adatti a questo settore. Questo approccio può anche facilitare meglio l’affrontare le crescenti esigenze di portafogli digitali, che sono associati a minacce informatiche più elevate, che richiedono protezioni più forti per mantenere la fiducia del pubblico.

• Le pubbliche amministrazioni possono rafforzare le proprie capacità di sicurezza informatica sfruttando il Cyber ​​Solidarity Act dell’UE, che fornisce supporto finanziario per migliorare gli sforzi di rilevamento, risposta e rimedio. Combinando questo finanziamento con investimenti nelle tecnologie necessarie, modernizzando i sistemi legacy e investendo in formazione e personale, possono migliorare significativamente la propria capacità di gestire i rischi per la sicurezza informatica e soddisfare gli obblighi NIS2.

3.2 Il settore sanitario

Questo settore affronta sfide significative in termini di sicurezza informatica a causa della sua vasta gamma di entità, dispositivi e tecnologie, con molte organizzazioni che lottano con misure di sicurezza di base, lacune di risorse e pratiche obsolete.

• Sviluppare linee guida pratiche per assistere le organizzazioni sanitarie nell’approvvigionamento sicuro di servizi, prodotti e infrastrutture, affrontando sia le esigenze di sicurezza informatica immediate che a lungo termine.

• Sviluppare una guida mirata sulle pratiche essenziali di sicurezza informatica su misura per il settore sanitario, affrontando le sue sfide uniche come diverse entità, dispositivi e tecnologie.

Inoltre, creare metodologie specifiche per settore per aiutare i fornitori di servizi sanitari a implementare queste pratiche in modo efficace, concentrandosi sul superamento di problemi comuni come lacune di risorse, misure di sicurezza obsolete e lacune nell’igiene della sicurezza di base.

• Avviare campagne di sensibilizzazione per migliorare la cultura della sicurezza informatica e garantire che il personale sia preparato ad affrontare le vulnerabilità specifiche del settore, promuovendo al contempo una progettazione di prodotti sicuri per diverse tecnologie sanitarie. Sfruttare piattaforme di condivisione delle informazioni come l’European Health ISAC per facilitare la collaborazione tra operatori sanitari e produttori, affrontando i rischi per la sicurezza informatica, in particolare all’interno della catena di fornitura.

• Inoltre, incoraggiare le organizzazioni sanitarie a impegnarsi attivamente con iniziative operative, strumenti e quadri di collaborazione nazionali per rafforzare il rilevamento delle minacce, le capacità di risposta e la resilienza complessiva alla sicurezza informatica.

3.2.1 Gestione del rischio e buone pratiche

Da uno studio condotto da ENISA nei vari settori disciplinati dalla NIS 2 è emersa una quasi piena consapevolezza della necessità dei controlli di gestione del rischio informatico e sono in atto anche politiche per la gestione del rischio della catena di fornitura. Tuttavia, ci sono indicazioni limitate su come gestire efficacemente questi rischi. Sebbene le entità possano condurre valutazioni del rischio e implementare buone pratiche, questi sforzi sono incoerenti nel settore.

Molte organizzazioni non hanno una chiara comprensione delle loro risorse critiche, dei rischi informatici correlati e delle strategie efficaci per la mitigazione. A livello UE, non esiste una comprensione completa dei rischi a livello di settore, né un approccio unificato per affrontarli. Ad oggi, manca un approccio coordinato a livello dei singoli settori.

3.2.2 Impatto socioeconomico

• L’impatto socioeconomico di un incidente significativo nel settore sanitario è relativamente limitato

nonostante il suo ruolo di primo piano nell’occupazione tra i settori mappati NIS2 nel 2022 e il suo contributo del 6,2% al valore aggiunto totale. Mentre gli attacchi ransomware in questo settore possono causare perdite finanziarie sostanziali, queste sono principalmente limitate al livello nazionale con effetti economici minimi più ampi. Di conseguenza, gli incidenti informatici nel settore sanitario registrano in genere un impatto moderato, con un punteggio di 6/10, a causa di interruzioni minori come sospensioni temporanee del servizio, con effetti in gran parte limitati al settore stesso. A differenza degli incidenti in settori critici come l’elettricità, è improbabile che le interruzioni nel settore sanitario influenzino in modo significativo l’economia complessiva.

3.3 I servizi ICT.

La natura transfrontaliera del settore della gestione dei servizi ICT, unita al suo ruolo critico nel supportare altri settori, ne accresce la vulnerabilità agli attacchi informatici, rendendo essenziale migliorare la resilienza informatica.

• È fondamentale garantire una stretta collaborazione tra le autorità competenti (CA) del settore della gestione dei servizi ICT e quelle di altri settori, data la loro interconnessione. Un incidente informatico contro entità in questo settore può interrompere servizi critici in più settori. Per mitigare tali rischi, è essenziale un approccio coordinato tra le CA, per garantire sforzi di risposta coerenti tra i settori, riducendo l’impatto a cascata delle minacce informatiche.

• Per garantire un’applicazione coerente dei framework DORA e NIS2 per entità di gestione dei servizi ICT sovrapposte, la mappatura dei requisiti di sicurezza informatica di entrambi i framework migliorerà la chiarezza e ridurrà al minimo la ridondanza.

• Inoltre, allineare lo schema di certificazione per i servizi di sicurezza gestiti ai sensi dell’EU Cyber Solidarity Act22 con il DORA RTS e ITS è essenziale per mantenere coerenza e coerenza tra questi quadri normativi.

• La supervisione transfrontaliera nel settore della gestione dei servizi ICT, disciplinata anche da quadri come DORA, dovrebbe essere armonizzata per promuovere le migliori pratiche, garantire una conformità normativa coerente e rafforzare la resilienza del settore.

3.3.1 Gestione del rischio e buone pratiche

• Nel settore delle infrastrutture digitali, molte entità segnalano l’implementazione di solide pratiche di gestione del rischio informatico. Queste includono l’approvazione della dirigenza per i controlli di gestione del rischio informatico, l’adozione di policy di sicurezza informatica per la catena di fornitura e l’implementazione di misure per aumentare la fiducia al suo interno. Le entità del settore intervistate segnalano anche una solida comprensione dei rischi informatici, insieme a misure di mitigazione efficaci e pratiche di sicurezza per la gestione delle vulnerabilità e dei sistemi legacy negli ambienti IT e OT. Per le telecomunicazioni, ciò è corroborato dalle autorità di vigilanza nazionali e/o specifiche del settore, che suggeriscono che il settore è già sulla buona strada con l’implementazione di misure di sicurezza allineate a NIS2.

• Al contrario, si osserva una discrepanza tra la maturità percepita delle entità del settore, come valutata dalle entità stesse e come valutata dalle autorità che le supervisionano o le supportano, in tutti gli altri sottosettori delle infrastrutture digitali. Le autorità forniscono una valutazione molto più modesta dei progressi dei settori verso l’implementazione di misure allineate a NIS2 per l’identificazione, la protezione e il rilevamento delle minacce informatiche. Questa disparità può essere in parte attribuita al fatto che le autorità potrebbero non avere ancora una visione sufficientemente completa di questi settori (alcuni erano precedentemente nell’ambito di NIS) o potrebbero non avere la capacità di supervisionarli in modo efficace data la loro diversità.

• Da una prospettiva a livello UE, il punteggio più alto per le telecomunicazioni in questa dimensione è ulteriormente supportato da iniziative a livello UE che aiutano il settore a comprendere meglio i rischi informatici che affronta. Tra queste, la valutazione del rischio a livello UE del 2024 condotta dal NISCG che include il settore nel suo ambito77, la valutazione del rischio del 2024 condotta dagli Stati membri sulle infrastrutture e le reti di comunicazione europee a seguito della chiamata di Nevers del 9 marzo 202278 le cui raccomandazioni vengono attivamente seguite, ma anche lavori più datati come la valutazione del rischio coordinata a livello UE del 2019 sulla sicurezza della rete 5G79 che è culminata nell’EU 5G Toolbox, una serie di misure di riduzione del rischio per affrontare i rischi identificati che vengono attivamente seguiti anche dal settore.

3.3.2 Dipendenza dalle ICT

• Il settore delle infrastrutture digitali è fondamentalmente dipendente dalle ICT per via della sua natura completamente digitale, costituendo la spina dorsale dell’economia e della società digitale dell’UE.

• I servizi Internet di base si basano interamente su sistemi digitali per supportare funzioni critiche. Gli IXP gestiscono il routing digitale e il flusso di traffico, i provider DNS consentono la navigazione Internet, i provider CDN utilizzano strumenti cloud-native per la distribuzione di contenuti e i registri dei nomi TLD gestiscono sistemi completamente digitalizzati per gestire i domini e fornire accesso ai dati di registrazione.

• I provider di servizi cloud dipendono da infrastrutture digitali avanzate basate su tecnologie come

virtualizzazione e automazione, consentendo una distribuzione di servizi scalabile, efficiente e sicura.

• I provider di data center gestiscono ambienti completamente digitali per archiviare, elaborare e gestire i dati, utilizzando sistemi ICT per garantire affidabilità, sicurezza e continuità operativa.

• I provider di servizi fiduciari forniscono servizi di certificazione digitale essenziali che supportano transazioni elettroniche sicure, autenticazione e crittografia, garantendo la fiducia negli ecosistemi digitali.

• I provider di reti e servizi di telecomunicazione includono operatori di linea fissa che offrono reti in fibra ottica sempre più digitalizzate, operatori di reti mobili (MNO) che gestiscono infrastrutture digitali avanzate come reti 4G e 5G e provider di servizi Internet (ISP). Queste entità sfruttano tecnologie come il software-defined networking (SDN) e la virtualizzazione delle funzioni di rete (NFV) per ottimizzare e migliorare la fornitura e la gestione dei servizi digitali.

• I quesiti a cui i soggetti destinatari della normativa devono adeguarsi.

Il framework nazionale per la cybersecurity e la data protection ha individuato i controlli essenziali in materia di cybersecurity.

Di seguito si riportano, desunti dalle linee guida di ACN sull’applicazione della NIS2, i quesiti a cui i soggetti destinatari della normativa devono adeguarsi; la seguente tabella riporta le seguenti voci: numerazione, quesiti, riferimento normativo alla Direttiva europea NIS2, riferimento normativo al decreto attuativo dellaNIS2, risposta.

L’utilizzo della ceck list consente all’organizzazione, destinataria della normativa in parola, di avere un quadro sufficientemente completo dello “stato dell’arte”, con la possibilità di intervenire in fase di adempimenti per rendersi conforme alle prescrizioni.

5. Misure di sicurezza informatica: i 15 controlli essenziali di cybersecurity

Il Research Center of Cyber Intelligence and Information Security Sapienza Università di Roma e il  Laboratorio Nazionale CINI di Cybersecurity Consorzio Interuniversitario Nazionale per l’Informatica, hanno pubblicato il testo “Cybersecurity Report Controlli Essenziali di Cybersecurity”, versione 1.0 Marzo 2017.

Questo documento propone 15 Controlli Essenziali di Cybersecurity che possono essere adottati ed implementati da medie, piccole o micro imprese per ridurre il numero di vulnerabilità presenti nei loro sistemi e per aumentare la consapevolezza del personale interno, in modo da resistere agli attacchi più comuni.

I Controlli essenziali di Cybersecurity sono di facile e, quasi sempre, economica implementazione e rappresentano una serie di pratiche di sicurezza che non possono essere ignorate. Il documento fornisce una guida su come implementare tali controlli essenziali e propone una stima dei costi (aspetto non trattato in questa sede). Tale stima, seppur pensata per essere semplicemente indicativa, fornisce però l’ordine di grandezza dell’investimento necessario per portare la propria impresa a un livello di preparazione essenziale.

L’innalzamento dei livelli di sicurezza delle piccole e micro imprese è un passaggio fondamentale per la messa in sicurezza delle filiere produttive. Un numero sempre maggiore di attacchi a grandi imprese capo-filiera viene infatti realizzato grazie a vulnerabilità presenti nelle imprese parte delle loro filiere. Questo innalzamento è particolarmente importante in un momento di forte trasformazione digitale del settore industriale (industria 4.0) che aumenterà l’integrazione tra le aziende appartenenti a una filiera, aumentando, di conseguenza, anche la superficie d’attacco.

I Controlli Essenziali di Cybersecurity sono stati derivati, attraverso un processo di progressiva semplificazione, dal Framework Nazionale di Cybersecurity (FNCS), pubblicato un anno fa all’interno dell’Italian Cybersecurity Report 2015. Questa scelta è stata motivata dalla volontà di definire un percorso virtuoso che dovrebbe portare le piccole e micro imprese a implementare misure di sicurezza via via più complesse e articolate aderenti al FNCS, ritrovandosi così avvantaggiate nel processo di definizione del proprio profilo di rischio.

Si tratta di una serie di azioni pratiche che riguardano diversi aspetti della sicurezza, dalla gestione degli accessi alla protezione della rete, fino alla consapevolezza del personale.

Per ciascun controllo sono riportati i relativi riferimenti al Framework nazionale per la cybersicurezza e la data protection, i riferimenti normativi e/o gli Standard, gli adempimenti a carico degli enti o delle aziende.

5.1 Controllo n. 01

Nella Direttiva del Presidente del Consiglio dei Ministri 1° agosto 2015, ogni singola classe di controlli (ABSC) previsti da AgID è articolata in una tabella di azioni, classificate secondo 3 livelli: Minimo, Standard, Alto.

5.2 Controllo n. 02

5.3 Controllo n. 03

5.4 Controllo n. 04

5.5 Controllo n. 05

5.6 Controllo n. 06

5.7 Controllo n. 07

5.8 Controllo n. 08

5.9 Controllo n. 09

5.10 Controllo n. 10

5.11 Controllo n. 11

5.12 Controllo n. 12

5.13 Controllo n. 13

5.14 Controllo n. 14

5.15 Controllo n. 15

6. Misure che i soggetti che agiscono all’interno del perimetro NIS2 devono adottare veri i propri fornitori

Premesso che la supply chain e security management costituisce uno dei cinque pilastri del NIS 2; infatti, la supply chain, unitamente al fattore umano, viene considerata com el’elemento più vulnerabile della catena. Si pone, dunque, la necessità di determinare criteri di affidabilità del fornitore, valutandone il rischio, per poi monitorarlo.

L’ultimo rapporto ENISA sul panorama delle minacce (2022) osservava un crescente interesse dei gruppi di minacce negli attacchi alla supply chain e negli attacchi contro i provider di servizi gestiti (MSP) 5. Inoltre, il rapporto riteneva probabile che assisteremo a un aumento degli investimenti 6 di risorse nella ricerca sulle vulnerabilità in queste supply chain nel prossimo futuro. Questo è uno dei motivi per cui i gruppi di minacce hanno preso di mira direttamente i ricercatori di sicurezza. Un altro obiettivo sono i repository open source comuni e popolari come NPM, Python e RubyGems, che sono clonati o infettati da malware, con l’obiettivo di infettare chiunque li implementi come strumenti o pacchetti all’interno del proprio progetto. Poiché chiunque può pubblicare pacchetti su piattaforme open source, l’iniezione di malware spesso rimane sotto il radar per molto tempo.

In questo complesso contesto di supply chain, stabilire buone pratiche per la sicurezza informatica della supply chain a livello UE è ora più importante che mai.

La direttiva NIS21 migliora la sicurezza informatica della supply chain:

• eliminando la distinzione tra operatori di servizi essenziali e fornitori di servizi digitali;

• estendendo la copertura a una porzione più ampia dell’economia e della società aggiungendo più settori con la differenziazione di entità essenziali e importanti;

• affrontando la sicurezza informatica della supply chain e la relazione con i fornitori richiedendo alle singole entità di affrontare i rispettivi rischi per la sicurezza informatica;

 • introducendo misure mirate tra cui risposta agli incidenti e gestione delle crisi, gestione e divulgazione delle vulnerabilità, test di sicurezza informatica e uso efficace della crittografia;

• introducendo la responsabilità della dirigenza di ciascuna entità per la conformità alle misure di gestione del rischio di sicurezza informatica;

• suggerendo che il NIS Cooperation Group possa effettuare valutazioni coordinate del rischio per la sicurezza di specifici servizi, sistemi o prodotti critici di tecnologia dell’informazione e della comunicazione (TIC).

Per quanto attiene al rapporto giuridico che si viene ad instaurare tra un soggetto tenuto all’applicazione della Direttiva NIS2 ed i propri fornitori, vige la necessità di pervenire ad una regolamentazione che sia il più stretta possibile andando a scandagliare tutti gli aspetti correlati alla fornitura in parola.

Pertanto, quello che si chiede ai Soggetti NIS2 è di condurre ab origine, in un’ottica di cybersecurity by design, una attenta analisi delle correlazioni esistenti con i singoli fornitori.

Questo aspetto diventa di estrema importanza qualora si pensi che tra soggetti interconnessi un attacco subito da un anello della supply chain finisce – almeno potenzialmente -per riverberare i propri effetti su tutti gli anelli della catena.[20]

Si pensi all’ipotesi in cui il fornitore abbia messo a disposizione del Soggetto NIS2 un servizio basato su un software difettoso, o, semplicemente, di un software non aggiornato e, quindi, non sottoposto ad una politica di patching. Una situazione di questo tenore finirebbe per produrre effetti nocivi non solo nei confronti del committente del servizio ma anche di eventuali altri partner del committente, collegati a quest’ultimo.

Il legislatore comunitario ha preso in considerazione anche un altro aspetto che deve essere oggetto di attenzione da parte del Soggetto NIS 2, ci si riferisce al cd rischio del lock tecnologico, che si verifica nell’ipotesi in cui si venga a creare una accentuata dipendenza verso un singolo fornitore, tale da renderlo, di fatto, infungibile.[21]

Il ritenere che il fornitore sia parte di una catena di cui deve garantire, per quanto di competenza, la sicurezza fa si che lo stesso possa utilizzare le garanzie che gli sono richieste dalla normativa di settore quale strumento per aumentare il proprio appeal.

Questi pochi spunti inducono a ritenere che il Soggetto NIS 2 sia tenuto ad adottare un approccio basato sul rischio, che preveda misure idonee a garantire la sicurezza della catena di approvvigionamento, inclusa la gestione dei rapporti con i propri fornitori, al fine di assicurare la continuità dei loro servizi e la resilienza dell’intera filiera.

In capo al committente si viene, così, a profilare una responsabilità che opera su due ambiti, potendosi identificare una colpa in eligendo ed una colpa in iudicando.

Al fine di manlevarsi dal primo ambito di responsabilità, si chiede al Soggetto NIS 2, nella sua qualità di committente, di basare la scelta del fornitore valutandone la qualità, la sicurezza e la resilienza dei servizi e dei prodotti. Alla luce della cd colpa in eligendo, il Soggetto NIS 2 dovrà prendere in seria considerazione anche altri aspetti tipici del fornitore, a partire dalla sua collocazione geografica; detto in altri termini dovrà essere evitata la scelta di un fornitore sito in un Paese ove le Autorità locali si arrogano il potere di chiedere alle imprese di acquisire dati e informazioni dei loro clienti.

Per quanto concerne il secondo profilo di responsabilità il Soggetto NIS 2, successivamente all’acquisto di un bene e/o di un servizio, deve assumersi l’onere di svolgere un’attività di audit che sia iterativa.

L’argomento della catena di fornitura è preso in seria considerazione da parte del legislatore comunitario, tant’è che il termine “fornitore” e “fornitori”, nella versione in italiano appare ben 78 volte.

A titolo esemplificativo, rimandando per una disamina compiuta il lettore alla lettura del testo della Direttiva, si riportano nella griglia sottostante gli articoli che disciplinano tali soggetti.

I Soggetti NIS 2 in fase di gestione del rischio della catena di fornitura, dovranno applicare la norma ISO 31000:2018; sia alla gestione del rischio della catena di fornitura ICT/OT che alla sicurezza informatica.

Di seguito si riporta una griglia che a fronte di una misura di sicurezza individua gli obiettivi della stessa.

7. Misure che i fornitori di servizi (che non rispondono alla NIS2) di soggetti NIS2 devono comunque adottare

Come sopra riportato, le obbligazioni in capo al committente (Soggetto NIS 2) finiscono per riverberarsi anche sul fornitore che, anche se non rientrante nel perimetro di applicazione della Direttiva NIS 2, poiché fa parte attiva della supply chain, è comunque tenuto a rispettare gran parte delle prescrizioni normative oltre che degli standard di settore.

L’estensione degli obblighi NIS 2 al fornitore va inteso come un modo per incentivare il miglioramento qualitativo di tutti i soggetti appartenenti alla filiera, siano essi Soggetti NIS 2 o meno, in quanto facenti parti di una supply chain di cui, almeno, un anello è rappresentato da un soggetto rientrante nel perimetro di applicazione della NIS 2.

Giunti al termine di questo documento si può correttamente affermare che il perimetro dei soggetti destinatari della Direttiva NIS 2 e del decreto attuativo non sono solo quelli espressamente ripostati nell’elenco (i “soggetti essenziali” ed i “soggetti importanti”) ma vanno ricompresi anche i fornitori di servizi erogati a favore dei Soggetti NIS 2.

Nei confronti dei fornitori vanno definite sia le Politiche che le funzioni aziendali, del Soggetto NIS 2, come da griglia che si riporta:

---

[1] Recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148

[2] Il Registrar è un “fornitore di servizi internet che ha un contratto con il Registro per gestire i domini”.

[3] Link: https://www.enisa.europa.eu/publications/enisa-nis360-2024

[4] L’Agenzia dell’Unione europea per la sicurezza informatica, ENISA, è l’agenzia dell’Unione dedicata al raggiungimento di un elevato livello comune di sicurezza informatica in tutta Europa. Istituita nel 2004 e rafforzata dall’EU Cybersecurity Act, l’Agenzia dell’Unione europea per la sicurezza informatica contribuisce alla politica informatica dell’UE, migliora l’affidabilità dei prodotti, servizi e processi ICT con schemi di certificazione della sicurezza informatica, collabora con gli Stati membri e gli organismi dell’UE e aiuta l’Europa a prepararsi alle sfide informatiche di domani. Attraverso la condivisione delle conoscenze, lo sviluppo delle capacità e la sensibilizzazione, l’Agenzia collabora con i suoi principali stakeholder per rafforzare la fiducia nell’economia connessa, aumentare la resilienza dell’infrastruttura dell’Unione e, in ultima analisi, mantenere la società e i cittadini europei digitalmente sicuri.

[5] La direttiva NIS2 copre un’ampia gamma di settori, ognuno con le proprie sfide e esigenze di sicurezza informatica. Per consentire una definizione delle priorità più efficace e una chiara comprensione di queste esigenze, nel 2023 ENISA ha sviluppato la metodologia NIS3602, per valutare, su base annuale, la maturità e la criticità della sicurezza informatica di questi settori da una prospettiva a livello di Unione. Questa relazione presenta i risultati dello studio NIS360 del 2024, che ora copre tutti i settori altamente critici ai sensi di NIS23. Lo studio integra tre prospettive complementari: • Input del settore, raccolto tramite domande mirate volte a catturare le prospettive delle entità sulla loro maturità in materia di sicurezza informatica, come parte di un sondaggio annuale più ampio lanciato da ENISA4. • Input delle autorità nazionali, catturato tramite un sondaggio dedicato che riflette le prospettive di vigilanza sulla maturità e la resilienza settoriali. • Input a livello UE, tra cui approfondimenti ENISA sui progressi e le sfide a livello di settore, sul panorama delle minacce settoriali e sugli incidenti segnalati; e dati raccolti da fonti quali Eurostat.

[6] Nel prosieguo prenderemo in esame i settori di cui alle lettere a) al par. 3.1, c) al par. 3.2 ed e) al par. 3.3.

[7] I 4 pilastri dell’IT Security I 25 obiettivi ENISA sono generalmente costruiti attorno a quattro capisaldi fondamentali, che i pilastri principali della sicurezza informatica: autenticazione, autorizzazione, backup e crittografia. In ambito informatico il termine crittografia conserva il medesimo significato, indicando tutte le tecniche e metodologie volte a trasformare sequenze di caratteri tramite l’utilizzo di un algoritmo matematico e l’applicazione di una chiave segreta di cifratura/decifratura (che costituisce il “parametro” principale dell’algoritmo): la segretezza di questa chiave rappresenta il sigillo di sicurezza di ogni sistema crittografico. In base al tipo di chiave utilizzato è possibile suddividere ogni sistema di crittografia informatica in due macro-categorie: crittografia simmetrica, quando la stessa chiave è utilizzata sia per proteggere il messaggio che per renderlo nuovamente leggibile: o, per dirla in altre parole, quando il mittente e destinatario utilizzano la stessa chiave sia per cifrare che per decifrare il testo; crittografia asimmetrica, quando vengono utilizzate due chiavi di cifratura distinte: una chiave pubblica, utilizzata per crittografare, e una chiave privata, utilizzata per decifrare. Recentemente a queste due macro-categorie se ne è aggiunta una terza, che però a ben vedere è più una modalità implementativa delle precedenti che non una categoria a sé: la crittografia quantistica, che consiste nell’utilizzo di peculiari proprietà della meccanica quantistica durante la fase di scambio della delle chiavi per evitare che queste possano essere intercettate da un attaccante senza che le due parti in gioco se ne accorgano; la prima rete a crittografia quantistica funzionante è stata il DARPA Quantum Network (2002-2007). (Link: https://www.ryadel.com/information-security-linee-guida-enisa-technical-guidelines-sicurezza-informatica-guida/ )

[8] Agid Basic Security Control(s): Gestire attivamente (inventariare, tracciare e correggere) tutti i software sulla rete in modo che sia installato ed eseguito solo software autorizzato, mentre il software non autorizzato e non gestito sia individuato e ne venga impedita l’installazione o ’esecuzione

[9] Framework Nazionale di Sicurezza Cibernetica

[10] I sistemi di protezione delle postazioni terminali sono soluzioni di sicurezza che proteggono  le postazioni terminali dagli attacchi, come ad es. gli antivirus, antimalware, gli HIPS/HIDS (Host Intrusion Prevention System, Host Intrusion Detection System)

[11] I sistemi di protezione delle postazioni terminali sono soluzioni di sicurezza che proteggono le postazioni terminali (o endpoint) dagli attacchi come ad es. gli antivirus, antimalware, gli HIPS/HIDS (Host Intrusion Prevention System, Hot Intrusion Detection System)

[12] I 4 pilastri dell’IT Security comprendono anche l’autenticazione, autorizzazione. L’autenticazione è l’atto di confermare la verità di un attributo di una singola parte di dato o di una informazione sostenuto vero da un’entità. In ambito informatico, si definisce autenticazione il processo tramite il quale un sistema (computer, software o utente) verifica la corretta identità di un altro computer, software o utente, autorizzandolo ad usufruire dei relativi servizi associati: in altre parole, possiamo dire che l’autenticazione è un meccanismo che verifica, effettivamente, che un individuo è chi sostiene di essere. L’autenticazione rende possibile verificare univocamente l’identità del soggetto, consentendo quindi di ricondurre a lui con ragionevole certezza le azioni compiute all’interno del sistema e facilitando in questo modo il rispetto del principio di accountability. La connessione fra autenticazione e accountability è stata sottolineata anche dal Garante italiano, per il quale “la condivisione delle credenziali impedisce di attribuire le azioni compiute in un sistema informatico a un determinato incaricato, con pregiudizio anche per il titolare, privato della possibilità di controllare l’operato di figure tecniche così rilevanti” (provvedimento 4/4/2019). 

[13]  L’identità digitale è l’insieme di dati e informazioni che identificano univocamente un’entità (persone, sistemi e servizi informatici, ecc.) per accedere ad un sistema, l’identità digitale deve essere prima autenticata (verifica dell’identità) e poi autorizzata (assegnazione del livello di accesso alle risorse informatiche), le identità digitali hanno quindi associate credenziali di accesso (costituite ad esempio da username e password, certificati digitali, ecc.) per l’autenticazione e utenze (o account) per l’autorizzazione,

[14] L’analisi del rischio condotta sui sistemi informativi e di rete può determinare rischi differenti a seconda, ad es., della tipologia di sistema informativo e di rete al quale si accede da remoto. Verosimilmente saranno presenti sistemi informativi e di rete per i quali l’accesso da remoto presenta rischi elevati, (ad es. la console di management di un firewall) di conseguenza so adotteranno politiche e misure di sicurezza proporzionate al livello di rischio

[15] ID.RA-5: le minacce, le vulnerabilità, le relative probabilità di accadimento e conseguenti impatti sono utilizzati per determinare il rischio.

[16] Gli accessi effettuati da remoto sono quelli effettuati dagli utenti tramite una rete esterna a quella in cui si trovano i sistemi informativi e di rete del soggetto. Es. di accesso remoto sono quelli effettuati per fornire assistenza o per le attività lavorative a distanza. (smart working)

[17] L’analisi del rischio condotta sui sistemi informativi e di rete può determinare rischi differenti a seconda, ad es., della tipologia di sistema informativo e di rete al quale si accede da remoto. Verosimilmente saranno presenti sistemi informativi e di rete per i quali l’accesso da remoto presenta rischi elevati, (ad es. la console di management di un firewall) di conseguenza so adotteranno politiche e misure di sicurezza proporzionate al livello di rischio

[18] ID.RA-5: le minacce, le vulnerabilità, le relative probabilità di accadimento e conseguenti impatti sono utilizzati per determinare il rischio.

[19] Link: https://csf.tools/reference/nist-cybersecurity-framework/v1-1/rs/rs-mi/rs-mi-1/

[20] A seguito di quanto rilevato da ENISA, in genere, i fornitori di prodotti, componenti e strumenti comunicano le vulnerabilità insieme a una patch per rimediare alle rispettive vulnerabilità. Tuttavia, la patch di tali vulnerabilità potrebbe non essere sempre la soluzione più rapida. Mentre nelle reti IT aziendali vengono utilizzati prodotti e strumenti standard, l’utilizzo di prodotti e strumenti in un’infrastruttura operativa, ad esempio un impianto di produzione o una rete energetica, la gestione delle patch non è standardizzata. La condivisione di informazioni con altri operatori e/o autorità nazionali su misure di sicurezza alternative sarebbe utile per l’implementazione di una strategia di difesa in profondità al fine di mitigare i rischi di vulnerabilità non patchate. Alla domanda sulla durata normale della patch delle vulnerabilità critiche sulle risorse IT, il 46% ha indicato di patchare le vulnerabilità critiche entro meno di 1 mese, mentre un altro 46% ha indicato di patchare le vulnerabilità critiche entro 6 mesi o meno. Pertanto, si può ragionevolmente concludere che il 92% patcha le vulnerabilità critiche almeno entro 6 mesi dalla loro scoperta.

[21] Secondo ENISA, la valutazione del rischio della supply chain ICT/OT aiuta le organizzazioni a comprendere la rispettiva supply chain attraverso l’identificazione dei fornitori e dei service provider e attraverso la comprensione dei potenziali rischi della supply chain per la propria organizzazione e per i clienti finali relativi ai risultati dei fornitori e dei service provider utilizzati. Così come, la gestione delle relazioni con i fornitori aiuta a gestire la supply chain con policy, procedure e accordi che affrontano i rischi della supply chain. Ciò è supportato dal monitoraggio delle prestazioni del fornitore e del service provider e dalle pratiche di change management. • La gestione delle vulnerabilità definisce come un’organizzazione gestisce le vulnerabilità. Le vulnerabilità delle proprie risorse vengono monitorate e collegate alle risorse nell’infrastruttura. I loro rischi vengono compresi e le patch vengono distribuite per chiudere queste vulnerabilità in base a una policy di manutenzione ben definita.

[i] I 4 pilastri dell’IT Security I 25 obiettivi ENISA sono generalmente costruiti attorno a quattro capisaldi fondamentali, che costituiscono a nostro avviso i pilastri principali della sicurezza informatica: autenticazione, autorizzazione, backup e crittografia. Nei prossimi paragrafi cercheremo di fornire una panoramica esaustiva relativamente a ciascuno di essi.  Backup Nella sicurezza informatica il termine backup indica un processo volto alla messa in sicurezza delle informazioni di un sistema informatico attraverso la creazione di ridondanza delle informazioni stesse mediante una o più copie di riserva dei dati, da utilizzare come recupero (ripristino) dei dati stessi in caso di eventi malevoli accidentali (guasti) o intenzionali (data breach), ma anche errori umani (cancellazioni accidentali), attività di aggiornamento o manutenzione del sistema (e conseguente necessità di effettuare un rollback), etc. Il termine contenitore “backup” è qui utilizzato per semplificare un concetto più ampio, riassumendo tutte quelle tecniche volte a preservare e a garantire la disponibilità dei dati: intendiamo quindi, per esteso, anche le procedure di Disaster Recovery e Business Continuity, ottenibili oggi sia con strumenti on-premise che tramite servizi cloud.