Gestione dei rischi cyber e NIS2: metodologie e pratica operativa

La NIS2 richiede a tutti i soggetti in perimetro un approccio strutturato alla gestione dei rischi cyber. Le misure di sicurezza informatica adottate devono essere adeguate e proporzionate. E, al netto del livello base stabilito dalle misure minime di sicurezza diffuse da ACN, occorre quindi definire un processo continuo di valutazione, trattamento e monitoraggio del rischio cyber, integrato nei meccanismi di governance.

Gestione del rischi cyber come processo continuo

Sebbene la norma lo definisca da un punto di vista tecnico (rischio: “combinazione dell’entità dell’impatto di un incidente, in termini di danno o di perturbazione, e della probabilità che quest’ultimo si verifichi” – Art. 2.1.aa) del D.Lgs 138/2024, l’impostazione dell’Agenzia per la Cybersicurezza Nazionale (ACN) si ispira al “Cybersecurity Capability Maturity Model” (C2M2) secondo cui:

il rischio cyber rappresentala possibilità che si generino danni o perdite dovute ad accessi non autorizzati, uso, divulgazione, interruzione, modifica o distruzione di risorse IT, OT o informative.

Ci sono in particolare tre elementi che rendono il rischio cyber intrinsecamente ineliminabile:

1. Operatività: i sistemi informativi devono essere utilizzabili e accessibili, il che implica necessariamente un’esposizione.
2. Mutabilità delle minacce: il panorama delle minacce evolve continuamente, rendendo impossibile una protezione definitiva.
3. Limitatezza delle risorse: ogni organizzazione opera sotto vincoli economici, organizzativi e tecnologici.

La NIS2 non richiede quindi l’assenza di incidenti, ma la capacità dell’organizzazione di comprendere, governare e accettare consapevolmente il rischio collegato alla loro eventualità.

Come già indicato in altri contesti di risk management, anche la NIS2 configura la gestione del rischio cyber come un processo ciclico. L’approccio sotteso è quello del miglioramento continuo, rappresentato dal ciclo PDCA (Plan-Do-Check-Act), base logica di numerosi standard e framework sul tema. Tuttavia, il passaggio dal principio teorico all’adozione pratica di questo approccio potrebbe non essere sempre immediato. Nell’immagine che segue proviamo ad abbozzare qualche esempio:

Identificare gli scenari di rischio

Il punto di partenza della gestione dei rischi in ottica NIS2 è quindi la comprensione del contesto organizzativo e dei servizi che l’organizzazione è chiamata a proteggere. In questa fase emerge subito un primo snodo metodologico fondamentale: dove puntare la lente far partire l’analisi? Semplificando, si possono individuare due sistemi di affacciarsi al rischio:

APPROCCIO SERVICE-BASED

APPROCCIO ASSET-BASED

Si fonda sulla Business Impact Analysis (BIA), considerando ciascun servizio critico in relazione agli impatti potenziali su riservatezza, integrità e disponibilità delle informazioni trattate. Il rischio è interpretato come possibile interruzione, degradazione o compromissione di un servizio, con effetti sul business e sulla continuità operativa. Asset tecnologici, persone e fornitori sono analizzati come elementi abilitanti o di supporto ai processi aziendali, non come punto di partenza dell’analisi. Approccio fortemente coerente con la ratio della NIS2, poiché collega direttamente il rischio cyber alla resilienza operativa.

Parte dall’inventario degli asset (IT, OT, applicazioni, dati, infrastrutture e componenti di rete) e dall’analisi di vulnerabilità e minacce associate alla tecnologia. Il rischio è interpretato come la possibilità che una minaccia sfrutti una vulnerabilità di un asset, generando impatti su processi e servizi aziendali. Gli impatti su servizi e processi vengono valutati in una fase successiva, come parametro per stimare l’entità dei danni potenziali associati a ciascun asset. Analisi più granulare, utile in contesti ad alta complessità infrastrutturale; i risultati possono richiedere un lavoro di sintesi per renderli accessibili a funzioni direzionali non tecniche.

Entrambi gli approcci (così come eventuali sfumature più “miste”) sono valide e coerenti con i principi della NIS2. La scelta della più idonea sarà guidata dal contesto dell’organizzazione, dalla complessità infrastrutturale, dalle competenze interne, dalla tipologia dei servizi erogati e dal livello di dettaglio richiesto dal management.
Indipendentemente dall’approccio scelto per delineare il perimetro, la valutazione dei rischi dovrebbe poi essere condotta secondo un principio “all-hazards” o “multi-rischio”.

Approccio multi-rischio: una gestione dei rischi che considera quelli derivanti da tutte le tipologie di minaccia ai sistemi informativi e di rete nonché al loro contesto fisico, quali furti, incendi, inondazioni, interruzioni, anche parziali, delle telecomunicazioni e della corrente elettrica, e in generale accessi fisici non autorizzati.

Nella pratica, chi conduce l’analisi è tenuto ad assicurarsi che, per ogni servizio o asset rilevante, siano esplorate le fonti di rischio provenienti da ogni forma di minaccia applicabile. Non significa necessariamente immaginare qualsiasi circostanza, ma certamente andranno valutate almeno le macrocategorie più ricorrenti, come:

• Rischi fisici e ambientali, inclusi guasti infrastrutturali, eventi naturali e catastrofici, incidenti sui siti.
• Minacce cyber intenzionali, come attacchi malware, phishing, compromissioni di account, attacchi alla supply chain
• Eventi accidentali, come errori umani, malfunzionamenti hardware o software.
• Rischi organizzativi e procedurali, ad esempio legati all’assenza di segregazione dei ruoli, alla dipendenza da singole persone, o a processi non documentati
• Dipendenze esterne, legate a fornitori, servizi cloud, outsourcer o infrastrutture condivise.

Per supportare la fase di identificazione degli scenari di rischio, esistono cataloghi pronti all’uso, utili a non trascurare intere classi di rischio e a rendere il processo replicabile e difendibile anche verso auditor e Autorità. Non esiste tuttavia un elenco “giusto” ed esaustivo di scenari di rischio, valido per tutte le organizzazioni. Tassonomie ed elenchi di minacce forniti da standard e framework andranno adattati al contesto specifico dell’organizzazione, alla sua infrastruttura, al settore di riferimento.

Peraltro, nel tempo, il catalogo degli scenari di rischio identificati potrebbe mutare, evolvere. Ad esempio facendo sempre tesoro dell’esperienza maturata, degli incidenti gestiti, o anche delle evidenze provenienti da realtà analoghe.

Infine, accanto ai rischi strutturali, la gestione del rischio cyber potrebbe altresì scontrarsi con scenari temporanei, occasionali o limitati, che si attivano in occasione di cambiamenti organizzativi o tecnologici, Pensiamo a un trasferimento di sede e alle sue implicazioni, o all’attivazione di un servizio digitale per un’iniziativa così specifica che potrebbe “uscire dai radar”. In tali casi, risulta spesso più efficace adottare meccanismi di prevenzione mirati e calati direttamente sul progetto.

Analisi e valutazione dei rischi per la NIS2

Una volta individuato il perimetro dell’analisi, l’attività di analisi e valutazione del rischio deve essere impostata come un processo concreto, ripetibile e integrato nella normale gestione dell’organizzazione. In ottica NIS2, l’obiettivo sarà costruire un meccanismo decisionale che consenta di capire quali rischi contano davvero, con quale priorità e perché. Il processo funziona quando è coordinato da una funzione centrale (tipicamente il CISO o altro ruolo di sicurezza/compliance), alimentata dalle conoscenze di altri ruoli gestionali e operativi. Confronti strutturati coi responsabili dei servizi o degli asset, sessioni di lavoro mirate, utilizzo di criteri di valutazione condivisi, possono aiutare a ridurre il grado di soggettività nell’analisi e a mettere le persone nelle condizioni di ragionare su scenari plausibili.

La valutazione del rischio avviene quasi sempre tramite un modello a matrice, che combina la probabilità di accadimento di uno scenario con il suo impatto potenziale sugli obiettivi di sicurezza e di continuità operativa. Un esempio su scale a 5 livelli è rappresentato dall’immagine che segue.

La funzione matematica di riferimento è la celebre Rischio = Probabilità × Danno. Ma non sono richieste sofisticazioni matematiche: ciò che conta è che le scale utilizzate siano chiare, coerenti e applicate in modo uniforme, avendo definito in anticipo cosa si intende, ad esempio, per “impatto elevato” o “probabilità limitata”, magari ancorando le valutazioni a esempi concreti e riflessioni contestualizzate.

L’esito dell’attività sarà tipicamente un insieme strutturato di scenari di rischio valutati e prioritizzati, sintetizzati per una valutazione da parte della direzione. Tale analisi dovrà essere adeguatamente datata e contestualizzata, e potrà poi fungere da baseline al momento del suo aggiornamento.

Dal rischio alle misure: il piano di trattamento dei rischi per la NIS2

Sulla base dei risultati del risk assessment, l’organizzazione deve definire e documentare un piano di trattamento dei rischi. Tale documento rappresenta il collegamento operativo tra l’analisi del rischio e l’adozione concreta di quanto previsto dagli articoli 23-24 del D.Lgs 138/2024. Più correttamente, parliamo dell’applicazione della misura minima classificata come ID.RA-06, nell’ambito delle politiche di gestione dei rischi. Tale misura impone che le risposte al rischio siano scelte, prioritizzate, pianificate, monitorate e comunicate, attraverso la definizione, documentazione, esecuzione e monitoraggio di un piano di trattamento del rischio comprendente almeno:

• le modalità di risposta al rischio con eventuale descrizione dei controlli
• i diversi responsabili del rischio e delle azioni di risposta allo stesso
• le motivazioni che giustificano le modalità di risposta che si intende adottare
• le risorse necessarie ad attivare la risposta
• i risultati attesi in termini di riduzione del livello di rischio
• eventuali limiti e/o obblighi nella modalità di trattamento che possono essere, ad esempio, di natura organizzativa o normativa
• le tempistiche entro le quali raggiungere i livelli di rischio desiderati
• la modalità di reporting e di monitoraggio del rischio in questione ed i rispettivi indicatori
• lo status di implementazione delle azioni di risposta.

Il piano di trattamento diviene pertanto uno strumento decisionale e operativo. Dev’essere formalmente approvato dagli organi di governo, per documentare come e perché l’organizzazione abbia scelto di affrontare ciascun rischio. Le opzioni di trattamento del rischio, in linea con le prassi internazionali, sono quattro: evitare, mitigare, trasferire/condividere e accettare il rischio. Posto che nessuna opzione esonera il management dalle proprie responsabilità (affermazione particolarmente rilevante per i casi di outsourcing o trasferimento del rischio), la scelta più adeguata sarà, come sempre, conseguenza delle circostanze. Ecco un possibile modus operandi:

La gestione dei rischi nella supply chain

Uno degli aspetti più innovativi della NIS2 è l’aumentata attenzione ai rischi derivante da terze parti. Per tradurre questo principio in azioni operative, l’organizzazione deve integrare il cyber risk management nei processi di procurement. Il primo passo è la mappatura dei fornitori critici e lo sviluppo di un sistema di monitoraggio dei servizi esterni. Funzioni come un ufficio acquisti avranno un ruolo chiave nell’identificare tutti i fornitori che gestiscono asset. Poi, con il supporto di ruoli più strettamente attinenti alla cybersecurity (es. CISO), classificarli in base alla loro criticità.

Un aspetto determinante potrebbe riguardare l’individuazione di quei fornitori che rappresentano un “single point of failure”, da cui, in caso di incidente, potrebbero generarsi conseguenze su larga scala.

L’output naturale di questa attività è un registro dei fornitori critici, integrato nel sistema di risk management e aggiornato periodicamente (nuovi contratti, rinnovi, variazioni di servizio), che costituisce la base per le successive valutazioni e decisioni sul rischio della supply chain.

In parallelo, l’organizzazione deve definire requisiti minimi di sicurezza proporzionati alla criticità del fornitore. Requisiti operativi di questa natura, potranno poi essere tradotti in standard formalizzati a livello contrattuale, clausole specifiche e SLA di sicurezza. Nonostante un fraintendimento piuttosto diffuso, non significa assicurarsi che il fornitore sia registrato come soggetto NIS presso l’Autorità. Certo, l’informazione può essere utile, ma:

1. non è detto che il fornitore sia sempre un soggetto NIS,
2. è molto più rilevante richiedere garanzie dirette sull’effettiva applicazione di politiche di sicurezza in linea coi propri standard.

Prima di selezionare un fornitore o rinnovare un contratto per un servizio critico, l’organizzazione dovrebbe disporre di un sistema di due diligence di sicurezza. La opzioni disponibili sono varie: questionari di sicurezza, dimostrazione di adesione a certificazioni, audit mirati, servizi terzi specializzati nel “rating aziendale di cybersecurity”. I risultati della valutazione potranno essere utilizzati per motivare le decisioni di selezione, rinnovo o sostituzione di un fornitore, o per attribuirgli un livello di rischio, e richiedere azioni correttive.

Spesso, dall’analisi della supply chain, emergeranno scenari di rischi residui: vulnerabilità non risolte, non conformità di una terza parte, dipendenza eccessiva da un singolo fornitore, ecc. Cosa fare di questi rischi? Come sopra: accettare, considerare azioni di mitigazione aggiuntive (es. diversificazione dei fornitori), trasferire su servizi assicurativi, rifiutare (con la completa sostituzione o eliminazione di un servizio). In ogni caso, le decisioni devono essere formalizzate, tracciabili e approvate dal management, in coerenza con le responsabilità previste dalla NIS2.

Evidenze documentali e responsabilità del management

Un filo conduttore che attraversa tutte le fasi descritte è il ruolo centrale delle evidenze documentali. La NIS2 spinge sulla capacità di dimostrare come le decisioni siano state assunte, su quali basi e con quali responsabilità.

Risk assessment e piani di trattamento periodici, valutazioni dei fornitori, esiti delle verifiche e approvazioni formali costituiscono un patrimonio documentale. Non solo svolgono una funzione difensiva verso auditor o Autorità, ma rappresentano gli strumenti con cui l’organizzazione può governare consapevolmente il rischio cyber nel tempo. Il tema è direttamente collegato alle responsabilità degli organi di governo. L’art. 23, par. 1, lett. 1) del D.lgs 138/2024 indica infatti che gli organi di amministrazione e gli organi direttivi “approvano le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica“.

Un problema ancora piuttosto diffuso, è che l’adeguamento alla NIS2 sia percepito o delegato solo ai reparti IT. Al contrario, il messaggio chiave, a cui bisogna abituarsi subito, è che le scelte sul rischio cyber non sono esclusivamente tecniche, ma strategiche. Un esempio lampante riguarda le decisioni in materia di risk appetite e risk tolerance:

• risk appetite: livello di rischio che l’organizzazione è disposta ad accettare per perseguire i propri obiettivi. È una scelta strategica, definita e approvata dagli organi di governo, che esprime la propensione complessiva al rischio. (es. bassa tolleranza per rischi che incidono sui servizi NIS2 o sulla reputazione; maggiore disponibilità ad assumere rischi su iniziative secondarie che non impattano il core business).
• risk tolerance: limiti operativi entro cui il rischio può variare senza richiedere azioni correttive. Traduce il risk appetite in soglie concrete e misurabili. (es. livelli massimi di indisponibilità o di perdita economica ritenuti accettabili).

Queste scelte devono essere assunte a monte del processo di analisi e valutazione, inevitabilmente con il coinvolgimento del management. Tenendo conto che condizioneranno tutte le fasi successive: la valutazione degli impatti, la priorità dei rischi, la scelta delle misure di trattamento e, in ultima analisi, l’accettazione del rischio residuo. Definire e documentare tali parametri è uno dei modi più efficaci per evitare che il processo di risk management diventi solo un esercizio di stile, ma trasformarlo in un reale strumento di supporto alle decisioni.

Metodologie e prassi europee di gestione rischi NIS2

Le analisi condotte dall’European Cyber Security Organisation (ECSO) mettono in evidenza come la trasposizione della Direttiva NIS2 abbia prodotto, sul piano della gestione dei rischi, un panorama metodologico piuttosto eterogeneo tra gli Stati membri. In alcuni Paesi, le autorità nazionali hanno fornito indicazioni puntuali sulle metodologie di cyber risk assessment da adottare. Il Belgio, ad esempio, ha sviluppato una metodologia nazionale dedicata (CyFun), pensata per garantire uniformità e comparabilità delle valutazioni. La Croazia richiama esplicitamente standard internazionali come la ISO/IEC 27005. Altri Paesi, come Cipro, non impongono un metodo specifico ma si attendono un allineamento a framework riconosciuti a livello internazionale. In Danimarca e Finlandia, le indicazioni restano volutamente generiche, limitandosi a chiedere processi strutturati, documentati e proporzionati, senza vincoli su uno schema metodologico predefinito.

In Italia, le indicazioni dell’Agenzia per la Cybersicurezza Nazionale (ACN) si collocano in una posizione intermedia. Non viene imposto un unico modello di riferimento, ma sono suggeriti alcuni strumenti e framework. Per le Pubbliche Amministrazioni, in particolare, l’ACN ha messo a disposizione un tool di valutazione e trattamento del rischio cyber. Per i soggetti privati, vengono invece citate le guide NIST o le norme della famiglia ISO/IEC 27000, quali standard consolidati di sicurezza informatica.

Nel complesso, emerge un quadro in cui vigono responsabilità, libertà e flessibilità – con qualche paletto. La conformità non deriva da una certificazione né dall’adesione formale a uno specifico standard, bensì dalla capacità di dimostrare che il metodo adottato è coerente con il contesto ed efficace nel guidare decisioni consapevoli. L’elemento davvero imprescindibile non è quindi quale metodologia venga scelta, ma che una metodologia venga scelta, applicata in modo sistematico e governata regolarmente nel tempo.