L’evoluzione normativa nel campo della sicurezza informatica e della gestione della qualità impone alle organizzazioni un approccio sempre più integrato. Da un lato, la ISO 9001:2015, riconosciuta a livello globale come standard per la gestione della qualità e orientata alla soddisfazione del cliente; dall’altro, la Direttiva NIS 2, che costituisce il riferimento fondamentale per la sicurezza delle reti e dei sistemi informativi nell’Unione Europea, offrono spunti di convergenza altamente vantaggiosi.
Questo articolo approfondisce il tema della gestione degli incidenti di sicurezza delle informazioni, evidenziando come la sinergia tra i requisiti della ISO 9001:2015 e le disposizioni del D.lgs.138/2024 che ha recepito la Direttiva NIS 2 possa tradursi in una gestione più efficace, preventiva e strutturata delle non conformità.
Tale approccio aumenta la resilienza operativa e contribuisce anche a rafforzare la fiducia di clienti e stakeholder nei confronti dell’organizzazione.
Indice degli argomenti
Convergenze tra ISO 9001 e decreto NIS 2
L’integrazione tra la UNI EN ISO 9001:2015 e il D.lgs.138/2024 riserva molte sorprese, rivelando punti di contatto ben più numerosi di quanto possa emergere da un’analisi superficiale. In due precedenti articoli (qui e qui) sono stati analizzati in dettaglio i numerosi punti di convergenza tra le due normative.
In questo articolo, l’attenzione si sposta sul tema della gestione degli incidenti, approfondendo il legame tra l’articolo 25 del D.lgs.138/2024 e il requisito 10.2 della UNI EN ISO 9001:2015. L’obiettivo è mostrare come i principi di entrambe le normative possano essere integrati per affrontare le non conformità e gli incidenti in modo strutturato, efficace e preventivo.
Non mancherà un riferimento all’“approccio multirischio mirante a proteggere i sistemi informatici e di rete e il loro ambiente fisico da incidenti”, richiamato dall’articolo 24 del Decreto NIS 2, che sottolinea l’importanza di misure trasversali per la protezione integrata delle organizzazioni.
Definizioni e analisi degli incidenti di sicurezza: un confronto tra 9001 e NIS 2
La norma ISO 9001:2015 definisce una non conformità come il mancato soddisfacimento di un requisito. Questo concetto, generalmente associato alla qualità dei processi e dei prodotti, può essere applicato anche al contesto della sicurezza delle informazioni. In tale ambito, un incidente di sicurezza può essere interpretato come una forma di non conformità che necessita di una gestione strutturata per risolvere la problematica e prevenire danni futuri.
L’articolo 23 della Direttiva NIS 2, ripreso dall’articolo 25 del decreto di recepimento (D.lgs. 138/2024), amplia questa prospettiva, definendo un incidente di sicurezza come un evento che compromette la disponibilità, l’integrità, la riservatezza e l’autenticità dei sistemi e delle reti.
La gestione degli incidenti, analogamente a quella delle non conformità disciplinata dalla norma ISO 9001:2015, richiede un approccio sistematico e l’adozione di misure specifiche. Tra queste, risulta fondamentale includere linee guida e strumenti specifici per la notifica degli incidenti, come la “Guida alla notifica degli incidenti al CSIRT Italia”, pubblicata dall’ACN nel luglio 2024.
Per le organizzazioni che operano in settori specifici, è inoltre necessario considerare le misure stabilite dal Regolamento di esecuzione (UE) 2024/2690 della Commissione, del 17 ottobre 2024, che fornisce ulteriori dettagli operativi per la gestione degli incidenti.
Per comprendere pienamente i punti di contatto e le sinergie tra le due normative, è utile introdurre alcune definizioni fondamentali tratte dalla UNI EN ISO 9001:2015, in particolare dal documento Sistemi di gestione per la qualità – Fondamenti e vocabolario. Queste definizioni costituiscono il fondamento per analizzare in che modo le metodologie proprie della gestione della qualità possano integrarsi in maniera efficace con le pratiche di sicurezza informatica, contribuendo a rafforzare la resilienza delle organizzazioni.
La gestione di una non conformità (NC) può richiedere tempi variabili, prevedendo la definizione di modalità operative e responsabilità specifiche, oppure può avvenire in modo immediato. Il “trattamento immediato” si riferisce all’implementazione di misure tempestive, spesso contestuali alla rilevazione della NC. Tuttavia, in determinate circostanze, non è possibile adottare alcun intervento diretto.
La tabella seguente analizza e illustra, con esempi pratici, i concetti espressi finora, offrendo una maggiore chiarezza e comprensione degli argomenti trattati.
| Termine | Fonte | Definizione | Considerazioni ed esempi nella prospettiva incidente sulla sicurezza delle informazioni |
| Non conformità | UNI EN ISO 19011:2018 – Termini e definizioni | Mancato soddisfacimento di un requisito | Le non conformità (NC) possono originarsi, ad esempio, dai seguenti fattori: esiti negativi dei controlli effettuati, mancato rispetto dei requisiti previsti dal Decreto NIS 2, mancata applicazione o applicazione parziale di una misura definita di igiene informatica, oppure, in senso più ampio, da eventi che abbiano compromesso o avrebbero potuto compromettere la sicurezza delle informazioni. Esempio di non conformità: In occasione della sostituzione di un server, attività affidata a un fornitore esterno, il processo ha richiesto tempi superiori a quelli previsti, determinando un periodo di indisponibilità del sistema più lungo rispetto a quanto inizialmente comunicato ai clienti. |
| Trattamento della Non Conformità | Mutuato da UNI EN ISO 19011:2018 – Termini e definizioni | È l’azione volta ad annullare o mitigare gli effetti di una Non Conformità e consiste nella risoluzione completa o parziale del problema evidenziato | Il trattamento di una non conformità (NC) può richiedere tempistiche diverse e prevedere la definizione di modalità operative e responsabilità specifiche, oppure essere eseguito in maniera immediata. Con “trattamento immediato” si intende l’adozione di misure in tempi estremamente brevi, spesso coincidenti con il momento stesso della rilevazione della NC. Tuttavia, in alcune circostanze, potrebbe non essere possibile adottare alcun intervento diretto. Esempio di trattamento: Nel caso della non conformità descritta in precedenza, non è possibile adottare alcun intervento per mitigare gli effetti già prodotti. L’unica azione possibile consiste nel fornire ai clienti una comunicazione tempestiva, chiara e aggiornata, al fine di informarli sui tempi previsti per il ripristino dei sistemi. |
| Azione Correttiva | UNI EN ISO 9000:2015 – Termini relativi alla azione | Azione per eliminare la causa di una non conformità e per prevenirne la ripetizione | Un’azione correttiva è finalizzata a rendere più efficiente un processo che si è rivelato inadeguato a causa dell’emergere di non conformità. Tale azione richiede la definizione di tempi, modalità e responsabilità per le diverse fasi del processo, da intraprendere dopo aver analizzato e compreso le cause della non conformità al fine di eliminarle o mitigarne gli effetti. L’obiettivo principale dell’azione correttiva è prevenire il ripetersi della specifica non conformità, il che implica un’accurata identificazione della causa scatenante. Esempio Causa: Il personale inviato dal fornitore incaricato della sostituzione del server non possedeva le competenze adeguate per svolgere l’incarico assegnato.Azione correttiva: Rivedere i criteri di qualifica per i fornitori critici, definendo requisiti più stringenti; rivalutare tutti i fornitori critici sulla base dei nuovi criteri; aggiornare la procedura di qualifica, verificando preliminarmente l’efficacia della misura adottata. |
La gestione delle non conformità
Il requisito 10.2 della ISO 9001:2015 prevede che, in presenza di una non conformità, l’organizzazione debba intraprendere azioni correttive volte a eliminare le cause del problema e a prevenirne la ricorrenza. Questo principio trova una diretta applicazione nella gestione degli incidenti di sicurezza informatica disciplinata dalla Direttiva NIS 2.
Ad esempio, l’articolo 25 del D.lgs.138/2024 impone che gli incidenti significativi siano notificati al CSIRT competente e che, successivamente, venga redatta una relazione finale. Tale documento deve esaminare l’incidente, identificare le cause e descrivere le misure adottate per prevenire il ripetersi di eventi analoghi.
In questo contesto, la procedura per la gestione delle non conformità e delle azioni correttive assume un ruolo strategico nella risoluzione degli incidenti di sicurezza informatica. Essa consente di adottare un approccio strutturato e condiviso, stabilendo modalità e criteri chiari di gestione. Inoltre, tale procedura può essere integrata o richiamata nel MONIS (Modello Organizzativo NIS 2), un framework operativo dedicato alla gestione dei rischi informatici, che garantisce conformità normativa e resilienza organizzativa.
Parti generali della procedura
Il campo di applicazione della procedura deve specificare esplicitamente che tra le “non conformità” rientrano anche gli incidenti derivanti dalla compromissione della sicurezza delle informazioni. Tale definizione deve includere sia gli incidenti che impattano sui dati aziendali sia quelli che riguardano i dati dei clienti, in conformità con il requisito 8.5.3 della ISO 9001:2015, relativo alla “Proprietà che appartengono ai clienti o ai fornitori esterni”. Questo approccio garantisce una gestione strutturata e conforme, estendendo la tutela alle informazioni di tutte le parti interessate.
Parti specifiche
| Requisito 10.2 “Non conformità e azioni correttive” | Riferimenti in Art. 25 D.lgs.138/2024 | Elementi integrativi per la presa in carico a livello di procedura |
| 10.2.1 – Quando si verifica un incidente sulla sicurezza delle informazioni, inclusi quelli derivanti da segnalazioni di terze parti, | Un incidente è considerato significativo se: • ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato; • ha avuto ripercussioni o è idoneo a provocare ripercussioni su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli. | Riportare il livello di classificazione degli incidenti per evidenziare quelli da considerare “significativi”. |
| Requisito 10.2 “Non conformità e azioni correttive” | Riferimenti in Art. 25 D.lgs.138/2024 | Elementi integrativi per la presa in carico a livello di procedura | |||
| l’organizzazione deve: a) rispondere all’incidente e, se applicabile: prendere misure per controllarlo, riducendone gli effetti e correggerlo;gestire le conseguenze dell’incidente (come, ad esempio, rimborsare penalità imposte dal cliente o atti risarcitori richiesti da terze parti); | I soggetti interessati trasmettano al CSIRT o, se opportuno, all’autorità competente: senza ingiustificato ritardo, e comunque entro 24 ore da quando sono venuti a conoscenza dell’incidente significativo, una pre-notifica che, ove possibile, indichi se l’incidente significativo possa ritenersi il risultato di atti illegittimi o malevoli o può avere un impatto transfrontaliero;senza ingiustificato ritardo, e comunque entro 72 ore da quando sono venuti a conoscenza dell’incidente significativo, una notifica dell’incidente che, ove possibile, aggiorni le informazioni di cui alla lettera a) e indichi una valutazione iniziale dell’incidente significativo, comprensiva della sua gravità e del suo impatto, nonché, ove disponibili, gli indicatori di compromissione;su richiesta del CSIRT Italia, una relazione intermedia sui pertinenti aggiornamenti della situazione; | Indicare i soggetti a cui notificare gli incidenti e la tempistica relativa. Specificare se procedere con una relazione intermedia e nel caso quando e chi deve attivarsi. | |||
| b) valutare la necessità di azioni per eliminare la causa o le cause dell’incidente, affinché non si ripeta o si manifesti altrove: esaminando e analizzando l’incidente; identificando le cause dell’incidente; determinando se esistono o potrebbero verificarsi incidenti simili; | d) una relazione finale entro un mese dalla trasmissione della notifica dell’incidente di cui alla lettera b), che comprenda: i) una descrizione dettagliata dell’incidente, comprensiva della sua gravità e del suo impatto; ii) il tipo di minaccia o la causa di fondo che ha probabilmente innescato l’incidente; iii) le misure di attenuazione adottate e in corso; iv) se opportuno, l’impatto transfrontaliero dell’incidente; | Specificare chi e quando deve procedere alla stesura della relazione finale ed i soggetti autorizzati all’approvazione, completa dei contenuti previsti. Definire tempi e responsabilità per la stesura ed approvazione. Analogamente nel caso di richiesta di relazione sui progressi. | |||
| c) implementare tutte le azioni necessarie per rimuovere la causa o le cause dell’incidente; | Senza indebito ritardo e ove possibile entro 24 ore dal ricevimento del preallarme di cui al comma 4, lettera a), il CSIRT o l’autorità competente fornisce una risposta al soggetto notificante, comprendente un riscontro iniziale sull’incidente significativo e… Qualora sia necessario sensibilizzare il pubblico, dopo aver consultato il soggetto interessato il CSIRT | Presa in carico delle eventuali richieste integrative da parte del CIRST o dell’autorità competente. Definire quale soggetto dell’organizzazione ha l’autorità per risponde al CSIRT nel caso sia necessario sensibilizzare il pubblico | |||
| Requisito 10.2 “Non conformità e azioni correttive” | Riferimenti in Art. 25 D.lgs.138/2024 | Elementi integrativi per la presa in carico a livello di procedura | |||
| d) verificare l’efficacia delle azioni correttive intraprese; | Nota degli autori – rispetto a questi elementi il D.lgs.138/2024 non richiede alcuna misura. | ||||
| e) aggiornare, se necessario, i rischi e le opportunità identificati durante la pianificazione; | |||||
| f) apportare, se necessario, modifiche al sistema di gestione (quali procedure interne ed altre misure definite) Le azioni correttive devono essere proporzionate agli effetti degli incidenti riscontrati. | |||||
| 10.2.2 L’organizzazione deve mantenere informazioni documentate come prova di aver gestito: | |||||
| a) la natura degli incidenti sulla sicurezza delle informazioni e di ogni azione successivamente intrapresa; | |||||
| b) i risultati di ogni azione correttiva effettuata. | |||||
La segnalazione volontaria
Sia le Linee Guida dell’ACN sia l’articolo 26 del D.lgs. 138/2024, rubricato “Notifica volontaria di informazioni pertinenti”, prevedono la possibilità di effettuare notifiche anche nei casi in cui l’evento non rientri nelle tipologie previste dall’articolo 25 o quando l’organizzazione non sia classificata tra i soggetti essenziali o importanti.
Qualora lo ritenga opportuno, l’organizzazione deve includere questa eventualità nella propria procedura di gestione degli incidenti, assicurandosi di disciplinare in modo chiaro e completo i processi necessari per gestire tale tipo di segnalazione.
Approccio integrato alla sicurezza e qualità: benefici e sfide
L’integrazione della ISO 9001:2015 con il D.lgs. 138/2024 offre numerosi vantaggi, tra cui una maggiore coerenza nella gestione delle procedure e una risposta più efficace agli incidenti di sicurezza informatica. Questo approccio consente di sfruttare sinergie tra i due quadri normativi, garantendo una gestione più strutturata e completa.
In particolare, la ISO 9001:2015 copre aspetti non esplicitamente affrontati dal Decreto NIS 2, come evidenziato nella tabella precedente. Tra questi, spicca la verifica e l’integrazione sistematica delle azioni correttive, che forniscono un quadro operativo ampio e articolato per identificare, affrontare e risolvere le non conformità in modo efficace.
Tuttavia, l’adozione di un modello integrato richiede un impegno significativo in termini di risorse e competenze. È necessario allineare i diversi sistemi di gestione, garantire l’applicazione delle normative vincolanti e formare adeguatamente il personale sulle disposizioni regolamentari, spesso differenti ma complementari. Questo investimento iniziale, però, consente di ottenere processi più robusti, una maggiore resilienza organizzativa e una piena conformità alle normative applicabili.
In questo contesto, l’adozione di un approccio multirischio, come previsto dall’articolo 24 del D.lgs. 138/2024, assume un ruolo fondamentale. Questo approccio permette di affrontare in modo integrato gli incidenti di sicurezza informatica e, contestualmente, anche le loro possibili conseguenze sulla qualità dei servizi e dei prodotti offerti.
Tale metodologia garantisce un livello elevato di resilienza organizzativa e una continuità operativa più solida, rispondendo efficacemente alle esigenze di prevenzione, gestione e mitigazione dei rischi in un panorama sempre più complesso e interconnesso.
Conclusioni
L’integrazione tra la ISO 9001:2015 e il Decreto di recepimento della Direttiva NIS 2 costituisce una strategia vincente per le organizzazioni che desiderano potenziare la propria resilienza alle minacce informatiche e migliorare la qualità dei propri processi aziendali.
Sebbene la gestione delle non conformità e degli incidenti di sicurezza richieda approcci distinti, la sinergia tra questi due quadri normativi offre un’opportunità unica per una gestione dei rischi più integrata ed efficace. L’applicazione combinata delle due normative consente di ottimizzare i processi operativi, promuovendo al contempo elevati standard di sicurezza e qualità.
In conclusione, le organizzazioni che sapranno implementare con successo questa integrazione non solo saranno meglio equipaggiate per affrontare le sfide future, ma garantiranno anche la conformità normativa, rafforzando la fiducia di clienti e stakeholder.
Questo approccio contribuirà a consolidare la loro competitività e sostenibilità a lungo termine.
