NIS2: Strategia per Mappare Attività e Servizi nelle Macro-Aree ACN L’implementazione della Direttiva NIS2 in Italia, formalizzata nel Decreto Legislativo 138/2024, ha segnato un cambiamento significativo nel modo in cui le aziende devono affrontare la sicurezza informatica. Non si tratta…
NIS2: Strategia per Mappare Attività e Servizi nelle Macro-Aree ACN
L’implementazione della Direttiva NIS2 in Italia, formalizzata nel Decreto Legislativo 138/2024, ha segnato un cambiamento significativo nel modo in cui le aziende devono affrontare la sicurezza informatica. Non si tratta più di limitarsi a proteggere le infrastrutture; ora è essenziale comprendere in profondità le attività e i servizi aziendali per garantire una sicurezza realmente efficace. Questo nuovo approccio enfatizza la necessità di costruire un inventario dettagliato delle attività e dei servizi offerti, che diventa il fulcro della strategia di cybersecurity.
Riconoscere i Confini dell’Analisi
Per una corretta mappatura delle attività e dei servizi, è fondamentale adottare una prospettiva a 360 gradi che contempli tre aspetti principali:
-
Tecnologico: È necessario catalogare tutte le attività che utilizzano sistemi informatici o reti. Ogni processo che si affida a infrastrutture digitali deve essere incluso nell’analisi, senza eccezioni.
-
Logico-relazionale: L’approccio deve considerare sia l’interazione con entità esterne, come clienti e partner commerciali, sia i processi interni, ad esempio quelli relativi a risorse umane e gestione logistica.
-
Organizzativo: Non bisogna limitarsi alle operazioni gestite internamente. È cruciale seguire anche i servizi forniti da terzi o quelli gestiti in outsourcing, come soluzioni SaaS o servizi cloud.
Un aspetto da considerare è la distinzione tra la mappatura delle attività e la valutazione della catena di fornitura. Sebbene sia necessario monitorare i “fornitori critici” per la sicurezza, la categorizzazione secondo le linee guida NIS2 è specificamente focalizzata sulle attività supportate da sistemi ICT.
Metodologie di Catalogazione: Top-down e Bottom-up
La responsabilità di realizzare questa mappatura ricade principalmente sui Chief Information Security Officer (CISO) e sui responsabili IT, che dovranno creare gruppi di lavoro coinvolgendo le varie funzioni aziendali. Esistono due visioni metodologiche per effettuare questa catalogazione:
-
Approccio Top-down: Questa metodologia inizia dall’organigramma e dalle macro-funzioni aziendali, per poi scendere nei dettagli delle attività. È utile per comprendere come i diversi settori aziendali interagiscano e quali sistemi ICT siano impiegati.
-
Approccio Bottom-up: Questa strategia si concentra invece sull’inventario dei sistemi e delle infrastrutture già in uso, risalendo ai servizi aziendali che questi infrastrutture supportano. Questo metodo garantirà una visione completa delle risorse digitali e delle loro funzionalità, rendendo meno probabile l’omissione di asset importanti.
L’approccio bottom-up si dimostra molto efficace, poiché consente una ricognizione più immediata e evita errori di omissione che potrebbero compromettere la sicurezza.
Dettaglio e Macro-Aree ACN
Nella fase di catalogazione, è cruciale seguire le 10 macro-aree delineate dall’Agenzia per la Cybersicurezza Nazionale (ACN). Queste includono settori quali la gestione delle risorse umane, la produzione, la logistica e altre funzioni aziendali chiave. Tuttavia, è importante trovare un equilibrio nel livello di dettaglio: un’eccessiva frammentazione delle attività può rendere complicato il mantenimento dell’elenco nel tempo e compromettere l’efficacia delle valutazioni dei rischi.
Un modo efficace per aggregare le attività è quello di considerare unitariamente quelle che soddisfano tre requisiti di omogeneità: appartenenza alla stessa macro-area, supporto da parte dello stesso sistema ICT e un simile livello di rischio cibernetico.
Conclusione
In sintesi, la mappatura delle attività richiesta dall’ACN va ben oltre un semplice adempimento formale; rappresenta una pietra miliare nella costruzione di una strategia di risk assessment solida e efficace. Un inventario ben strutturato non solo aiuta a rispettare le normative, ma offre anche un quadro utile per la gestione della privacy e del trattamento dei dati personali. In un contesto italiano sempre più focalizzato sulla sicurezza digitale, questa strategia si rivela cruciale per tutelare le aziende e i consumatori.
