In questi mesi, al centro dell’attenzione di chi si occupa di cyber security in tante aziende e pubbliche amministrazioni ci sono il D.lgs. 138/2024 di recepimento in Italia della Direttiva NIS2 e la cosiddetta Legge cyber (legge 90/2024), considerata sostanzialmente un “anticipo” della NIS2 per le PA e alcune organizzazioni in qualche modo collegate.
È proprio in attuazione della legge cyber che, lo scorso 20 novembre 2024, l’ACN ha pubblicato le “Linee guida per il rafforzamento della resilienza” per le organizzazioni di cui all’art. 8 comma 1 della legge stessa.
Vale quindi la pena analizzarle per capire quali miglioramenti ci si possono aspettare di conseguenza nella gestione della cyber security nelle PA e se si possano considerare anche un anticipo di quello che le stesse PA dovranno fare come minimo per la conformità alla NIS2.
Questo anche considerando che per le PA potrebbe essere complesso avere un ulteriore insieme di misure da implementare in aggiunta a pochi mesi di distanza. Forse qualche indicazione si potrebbe prendere anche per le aziende private, ma con cautela: già sulla gestione incidenti, il D.lgs. 138/2024, all’art. 38 comma 14, in merito alla notifica di incidenti di fatto “chiede meno” alle pubbliche amministrazioni di quanto non chieda agli altri soggetti essenziali ed importanti, oltretutto su un tema che è più un tema di capacità organizzativa che di investimenti economici e sul quale, quindi, è difficile capire perché le PA debbano essere meno rigorose.
Non sarebbe quindi strano che alla fine, paradossalmente, lo Stato chiedesse di più ai soggetti privati di quanto non chieda alle proprie PA.
Indice degli argomenti
Struttura delle linee guida ACN sulla resilienza delle PA
Entrando più nel merito, le Linee guida sono divise in due parti:
- la prima comprende i concetti introduttivi e le misure di sicurezza che i soggetti individuati dalla Legge 90/2024 devono adottare;
- la seconda dovrebbe supportare e indirizzare i soggetti stessi nell’implementazione delle misure, descrivendone le modalità di implementazione raccomandate.
Nella prima parte, la sezione introduttiva chiarisce, fra l’altro, che c’è una implementazione minima attesa da parte dei soggetti ai quali le Linee guida sono indirizzate, come anche che, per soddisfare i requisiti, i soggetti devono disporre di un impianto documentale adeguato.
Tale impianto documentale assolve a due esigenze:
- la prima è di fornire indicazioni in termini di politiche, processi, piani e quant’altro serva al personale per comprendere con chiarezza quali siano le responsabilità e come operare correttamente;
- la seconda è di fornire evidenza di conformità, ad esempio in caso di richieste da parte dell’ACN.
Questi documenti, fra l’altro, devono essere approvati dal vertice del soggetto, da un rappresentante legale, o da una figura formalmente delegata (come, ad esempio, quella del referente per la cybersicurezza), devono riprodurre la situazione corrente e devono essere quindi aggiornati in caso di variazioni dello stato di fatto.
Adeguamento alla NIS2, in attesa delle indicazioni di ACN
Se tante organizzazioni nel perimetro di applicabilità del D.lgs. 138/2024 e della Legge 90/2024 probabilmente non hanno ancora chiaro di esserne impattate (e di avere i primi adempimenti formali obbligatori che iniziano a gennaio 2025), quelle che ormai ne hanno assimilato i requisiti di base sanno che entro i prossimi due anni dovranno lavorare per portarsi ad un livello di resilienza ai temi di cyber security che, in termini di gestione del rischio, sia “adeguato”.
Alcune aziende, più grandi e mature, in settori già soggetti a normative sui temi di cybersecurity, si possono aspettare adeguamenti minimi.
Altre, di settori meno maturi, e fra queste sicuramente tante aziende con il famigerato codice Ateco 28, si possono aspettare due anni impegnativi. Tante medie imprese non sanno proprio cosa aspettarsi.
Tutte però, sanno che per impostare un piano di adeguamento completo hanno bisogno delle indicazioni dell’ACN sui “termini, modalità, specifiche e tempi graduali di implementazione degli obblighi” di cui agli articoli da 23 a 29 del D.lgs. 138/2024, e in particolare all’art.24 “Obblighi in materia di misure di gestione dei rischi per la sicurezza informatica”. In pratica, si aspettano le indicazioni di dettaglio sulle misure tecniche e organizzative che, come minimo, dovranno essere implementate a prescindere dalle valutazioni di rischio delle singole organizzazioni.
Senza quelle indicazioni, è difficile sapere se il livello richiesto sarà sfidante per buona parte delle organizzazioni, o se sarà invece un livello, appunto, minimo. Senza quelle indicazioni è difficile valutare, soprattutto, gli investimenti che saranno necessari.
Le aziende hanno chiuso o stanno chiudendo i budget per il 2025, e sicuramente sarebbe utile avere modo di pianificare gli investimenti necessari per il prossimo anno, avendo una percezione degli obblighi che dovranno iniziare a soddisfare, e su cui dovranno completare le attività entro gli ultimi mesi del 2026.
Sembra ormai difficile che le indicazioni dell’ACN possano uscire entro fine anno.
Legge cyber: le misure di sicurezza richieste alle PA
Segue poi l’elenco delle misure di sicurezza richieste. Queste misure di sicurezza fanno riferimento naturalmente al Framework Nazionale per la Cybersecurity e la Data Protection italiano (FNCS).
Ogni misura comprende diverse sezioni. La prima riporta la descrizione del requisito tratta dal FNCS (una descrizione estremamente breve, tipicamente una o due righe), seguita dalla sezione sui “Requisiti di implementazione minima attesa”, che, anch’essi di un paio di righe, indicano cosa il soggetto come minimo debba fare per soddisfare il requisito.
Naturalmente, stiamo parlando di requisiti minimi, che non sostituiscono quanto dovrebbe essere individuato e implementato sulla base di un’analisi dei rischi (peraltro, richiesta anche da queste linee guida).
Tuttavia, considerando la storia di altri insiemi di misure di sicurezza ICT presentate nel tempo alle PA, e la capacità di enforcement mostrata dallo Stato finora nei confronti di queste stesse PA, probabilmente sarebbe già un risultato notevole se questa implementazione minima venisse effettuata in modo diffuso.
Certamente non aiuta che l’implementazione debba avvenire senza rendere disponibili nuovi fondi a fronte di questi nuovi requisiti.
Segue una sezione di descrizione, in cui vengono forniti alcuni chiarimenti e indicazioni sull’implementazione. È la sezione più ampia, che aiuta le PA a capire un po’ di più cosa venga loro richiesto. Non perché quello che viene richiesto non sia nelle buone pratiche di settore, ma perché il dettaglio di un obbligo normativo è necessario per assicurare di non avere implementazioni difformi da quanto si aspetti l’ACN.
Infine, nella sezione “Evidenze documentali” sono elencati i documenti obbligatori già discussi.
Modalità di implementazione delle misure di sicurezza
La seconda parte delle Linee guida dovrebbe contenere indicazioni sulle modalità di implementazione di ciascuna misura di sicurezza. Il condizionale è d’obbligo, perché per molte delle misure di sicurezza si trova di più nella sezione di descrizione della misura che nelle indicazioni sull’implementazione, che spesso non fa molto più che ripetere quanto già detto nella prima sezione.
Consideriamo, ad esempio, il tema tutt’altro che banale della continuità operativa e del ripristino in caso di incidente, che è uno dei punti più delicati anche dal punto di vista dell’implementazione dei requisiti della NIS2, dato che può comportare investimenti veramente ingenti, o all’opposto contenuti, a seconda di cosa venga effettivamente richiesto.
Su questo tema, nella prima sezione troviamo due requisiti della famiglia PR.IP del FNCS:
- PR.IP-4: I backup delle informazioni sono eseguiti, amministrati e verificati.
- PR.IP-9: Sono attivi ed amministrati piani di risposta (Incident Response e Business Continuity) e recupero (Incident Recovery e Disaster Recovery) in caso di incidente/disastro.
Prendendo in particolare il secondo (PR.IP-9), l’intero controllo, compresa la descrizione e i requisiti documentali, si riduce a una pagina scarna. Viene richiesto di produrre un piano di continuità operativa ed un piano di disaster recovery, e vengono date le definizioni di RTO e RPO.
Le evidenze documentali, naturalmente, sono un piano di continuità operativa ed un piano di disaster recovery.
La definizione di un piano di continuità operativa può prevedere un impegno enorme per un’organizzazione, non per la scrittura del documento in sé (che sembra essere al centro dell’attenzione), quanto perché essendo un “piano” prevede che di conseguenza il soggetto poi faccia delle azioni, che possono essere più o meno ampie a seconda di come è impostato il piano stesso.
Viene quindi immediato andare a cercare maggiori indicazioni nella seconda sezione. Ebbene, si trova, anziché una pagina, mezza pagina, che si limita a confermare che i piani vanno scritti, e a sottolineare che vanno aggiornati.
È lecito aspettarsi, quindi, che per soddisfare questo requisito la maggior parte delle PA si limiterà a produrre due pezzi di carta, soprattutto guardando, come detto, alla storia di iniziative precedenti.
Se guardiamo il controllo PR.IP-4, quello sui backup, troviamo altri motivi per non essere tranquilli. Sappiamo infatti che i backup sono l’ultima barriera a fronte, ad esempio, di attacchi di ransomware che rendano inaccessibili i dati e richiedano quindi un ripristino dai backup stessi.
Sappiamo anche che gli attacchi ransomware spesso cifrano e rendono inutilizzabili anche i backup, causando la perdita definitiva dei dati, e che la soluzione di riferimento è avere backup “immutabili”: backup che non possano essere cancellati al di fuori dei tempi normali pianificati, neppure dagli amministratori del sistema informativo stesso, e quindi neppure dai cyber criminali.
Ebbene, niente del genere compare nelle Linee Guida. Si parla di riservatezza dei backup, di protezione fisica, di test. Il controllo è certamente descritto in modo più ampio del PR.IP-9, e tutto quello che vi è scritto è coerente con le buone pratiche: peccato che manchi qualsiasi riferimento alle garanzie di integrità dei backup a fronte di tentativi di cancellazione o cifratura.
Inutile dire che non c’è niente neanche nella seconda parte del documento.
Integrità dei dati: la grande assente nelle linee guida ACN
In effetti, il tema dell’integrità dei dati è curiosamente assente nell’intero documento. Persino l’unico controllo che sembra avere una certa specificità, PR.DS-1 “I dati memorizzati sono protetti”, non parla mai di integrità. Si parla invece tantissimo di cifratura, tema per il quale ultimamente il legislatore sembra avere una particolare passione. In effetti, il controllo di fatto parla solo di cifratura.
Anche il tema della disponibilità, ad esempio in caso di attacchi di Denial of Service, problema che ha portato spesso le PA sulle pagine dei giornali, non sembra realmente affrontato.
Nessuna indicazione sulla dimensione delle organizzazioni
Un ultimo punto di attenzione riguarda il fatto che nelle Linee Guida non vengono date indicazioni diversificate in relazione alle dimensioni delle organizzazioni.
In considerazione dell’inevitabile minore disponibilità di risorse, sarebbe forse utile che le strutture più piccole potessero focalizzarsi maggiormente sui requisiti più essenziali, mentre alle PA più grandi si dovrebbe probabilmente chiedere qualcosa di più come implementazione, di quella che può essere minima per un piccolo comune.
Se le stesse logiche venissero riportare alle linee guida che saranno emanate per la NIS2 per le aziende in perimetro, sarebbe probabilmente un disastro: l’idea che una media impresa della trasformazione alimentare possa trovarsi con gli stessi requisiti di una grande impresa dello stesso settore, per non parlare magari di una grande impresa di settori più strutturati come quello dell’energia, è del tutto improponibile.
Conclusioni
Nel complesso, quindi, queste prime Linee Guida non suscitano grande entusiasmo. Quelli descritti sono solo i primi esempi di problemi che saltano all’occhio.
Naturalmente, se le PA implementassero in modo rigoroso tutte le misure di sicurezza indicate, la sicurezza media migliorerebbe di molto: del resto, la sola analisi dei rischi dovrebbe portare ad individuare tutte le misure di sicurezza che sono altrimenti assenti.
Se, però, più realisticamente si pensa a PA che, se va bene, implementino al minimo necessario le sole misure minime, si deve essere decisamente poco ottimisti sull’impatto che queste linee guida potranno avere.
