Entro il mese di ottobre dovrà essere recepita nell’ordinamento nazionale la Direttiva (UE) 2022/2555 relativa a “misure per un livello comune elevato di cibersicurezza nell’Unione” (c.d. NIS 2).
Si tratta di una normativa che avrà un impatto importante e che non si limiterà, come noto, a interessare soltanto le organizzazioni vincolate all’applicazione ma anche i fornitori delle stesse.
In questi ultimi mesi si è sviluppato un dibattito significativo attorno a questa norma che introduce[1] l’obbligo a carico di molti player pubblici e privati di adottare un approccio multirischio e multidisciplinare alla cibersicurezza che consenta di affrontare minacce sia digitali che fisiche, includendo misure di protezione dei dati, controllo degli accessi, e gestione della sicurezza delle risorse umane.
Tra i temi oggetto di discussione ci preme fornire il nostro contributo proponendo delle risposte alle seguenti domande:
- L’applicazione della ISO/IEC 27001:2022/Amd 1:2024 soddisfa o meno quanto richiesto dalla NIS 2?
- Più precisamente, un’azienda certificata da un ente terzo a fronte dello standard già soddisfa quanto richiesto dalla Direttiva?
- E invece, un’azienda non certificata cosa dovrebbe fare per rendere i propri processi conformi ai requisiti e agli obblighi della NIS 2?
Premettiamo che non è possibile sciogliere in maniera assoluta i dubbi posti. Ci sono, infatti, diversi fattori che possono condizionarne le risposte, tra i quali il campo di applicazione e la qualità delle misure.
Indice degli argomenti
Campo di applicazione
Una delle sfide principali nell’allineamento tra ISO/IEC 27001:2022 e NIS 2 risiede nel campo di applicazione. La ISO/IEC 27001:2022 è flessibile e può essere adattata a specifiche parti dell’organizzazione mentre la NIS 2 potrebbe richiedere una copertura più ampia, inclusi aspetti non necessariamente contemplati dallo standard ISO.
Quindi possiamo già affermare che la certificazione ISO/IEC 27001:2022, sebbene fornisca una solida base per la gestione della sicurezza delle informazioni, non garantisce automaticamente la conformità alla Direttiva NIS 2, a causa di differenze nell’ambito di applicazione e nelle specifiche esigenze di sicurezza.
Le organizzazioni dovrebbero pertanto intraprendere una valutazione approfondita per identificare e colmare eventuali lacune, garantendo così una protezione globale che soddisfi entrambi gli standard.
D’altra parte, un’applicazione rigorosa della ISO/IEC 27001:2022, coincidente con il campo di applicazione della NIS 2, eventualmente supportata da altri controlli mutuati da altre norme e linee guida della famiglia ISO/IEC 27000, potrebbe ampiamente soddisfare quanto richiesto dalla Direttiva.
Ogni scenario richiede comunque un’analisi specifica e mirata.
Qualità delle misure adottate
Anche la qualità delle misure di sicurezza implementate gioca un ruolo rilevante nella determinazione della conformità effettiva alla NIS 2.
Le aziende devono assicurarsi che le loro politiche e procedure di sicurezza non solo soddisfino i criteri dello standard ISO, ma siano anche funzionali ad assolvere gli obblighi spesso più stringenti, stabiliti dalla NIS 2.
Ad esempio, in relazione ad un evento critico che mina la sicurezza delle informazioni, la NIS 2 impone requisiti temporali che non sono vincolati dalla ISO/IEC 27001:2022; esattamente come stabilito dal GDPR (vedi art.35).
Ancora, la responsabilizzazione dei vertici dell’organizzazione sulle misure da porre in atto è più stringente nella Direttiva NIS 2 di quanto non sia imposto dallo standard.
Ora, per allineare e correlare sistematicamente i rispettivi requisiti appare utile far ricorso ad una mappatura integrata che può rivelarsi un ottimo strumento per armonizzare le pratiche aziendali con detti requisiti.
Le corrispondenze tra NIS 2 e ISO IEC 27001:2022
L’analisi delle sinergie tra la Direttiva NIS 2 e la norma ISO IEC 27001:2022 è certamente un’attività molto complessa che può essere semplificata facendo ricorso a strumenti che consentano di comprendere, in una “unica vista”, le aree critiche che richiedono interventi specifici per colmare le lacune di conformità o sicurezza.
Uno strumento adeguato a realizzare tale finalità è la mappatura delle corrispondenze da realizzare attraverso la creazione di apposite tabelle o matrici che:
- visualizzino come ogni obbligo/requisito posto dalla NIS2 si correla o si sovrappone ai requisiti della norma ISO IEC 27001;
- indichino i punti di attenzione e le ricadute operative.
Si tratta, ovviamente, di un metodo che – è bene precisarlo – riflette solo uno dei possibili approcci per lo studio e l’analisi che non può – e non deve – essere considerato come l’unico punto di vista valido. Pertanto, auspichiamo che vengano condivise proposte di integrazione che possano contribuire a una comprensione più completa e sfaccettata dell’argomento che stiamo trattando.
Non possono, comunque, essere trascurati:
- il livello di partenza nella applicazione della ISO/IEC 27001:2022;
- lo specifico settore in cui opera l’organizzazione che potrebbe richiedere ulteriori misure mirate.
Concentreremo la nostra attenzione sul Capo IV “Misure di gestione del rischio di cibersicurezza e obblighi di segnalazione” e nello specifico gli artt. 20. 21 e 23 ovvero sulla parte di misure che impattano in modo diretto sulla singola organizzazione.
Le correlazioni non valgono solo per le organizzazioni classificate come “Soggetti essenziali” o “Soggetti importanti” ma anche per i Soggetti che fanno parte della “catena di approvvigionamento” (Vds. art. 21/2 lett. d) della Direttiva NIS 2).
Riferimento NIS 2 | Requisito – Controllo ISO/IEC 27001:2022 | Punti di attenzione e ricadute operative |
Articolo 20 Gli Stati membri provvedono affinché gli organi di gestione dei soggetti essenziali e importanti approvino le misure di gestione dei rischi di cibersicurezza adottate da tali soggetti per conformarsi all’articolo 21, sovraintendano alla sua attuazione e possano essere ritenuti responsabili di violazione da parte dei soggetti di tale articolo. | Requisito 6.1 Analisi dei rischi e delle opportunità. Controllo 5.31 Identificazione dei requisiti legali e statutari. Controllo 6.4 Processo disciplinare. | Integrazione nel mansionario/job description delle responsabilità dei membri dell’organo di gestione per la parte relativa alla approvazione ed applicazione delle misure (del resto già prevista in parte per i process owner al requisito 6.1.3). |
Gli Stati membri provvedono affinché i membri dell’organo di gestione dei soggetti essenziali e importanti siano tenuti a seguire una formazione e incoraggiano i soggetti essenziali e importanti a offrire periodicamente una formazione analoga ai loro dipendenti, per far sì che questi acquisiscano conoscenze e competenze sufficienti al fine di individuare i rischi e valutare le pratiche di gestione dei rischi di cibersicurezza e il loro impatto sui servizi offerti dal soggetto. | Requisito 7.2 Competenza. Requisito 7.4 Consapevolezza. Requisito 6.1 Azioni per affrontare i rischi e le opportunità. | Formazione mirata ai membri dell’organo di gestione. Formazione mirata ai soggetti deputati all’individuazione dei rischi, alla definizione delle misure ed alla implementazione delle stesse (da intendersi rispetto alla ISO/IEC 27001:2022 i process owner dei singoli controlli come indicato in requisito 6.1.3). Trattamento dei rischi relativi alla sicurezza delle informazioni e nello specifico nel punto f). Formazione pianificata ad intervalli a tutto il personale in materia di cybersecurity |
Riferimento NIS 2 | Requisito – Controllo ISO/IEC 27001:2022 | Punti di attenzione e ricadute operative |
Articolo 21 (paragrafo 1) Gli Stati membri provvedono affinché i soggetti essenziali e importanti adottino misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi e per altri servizi. Tenuto conto delle conoscenze più aggiornate in materia e, se del caso, delle pertinenti norme europee e internazionali, nonché dei costi di attuazione, le misure di cui al primo comma assicurano un livello di sicurezza dei sistemi informatici e di rete adeguato ai rischi esistenti. Nel valutare la proporzionalità di tali misure, si tiene debitamente conto del grado di esposizione del soggetto a rischi, delle dimensioni del soggetto e della probabilità che si verifichino incidenti, nonché della loro gravità, compreso il loro impatto sociale ed economico. | Requisito 8.1 Pianificazione e controllo operativi. Requisito 8.2 Valutazione del rischio relativo alla sicurezza delle informazioni. Requisito 8.3 Trattamento del rischio relativi alla sicurezza delle informazioni. Requisito 9.3 Riesame della direzione. Controllo 5.34 Privacy e protezione dei dati personali. Controllo 5.35 Riesame indipendente della sicurezza delle informazioni. Controllo 5.36 Conformità a politiche, regole e standard per la sicurezza delle informazioni. | Integrare il Riesame della direzione con un paragrafo dedicato all’applicazione della NIS 2 e con valutazioni in merito al grado di esposizione dell’organizzazione a rischi considerando aspetti quali: le dimensioni, la probabilità che si verifichino incidenti, e la loro gravità, considerando anche l’impatto sociale ed economico, così come la ricaduta sulle attività dell’organizzazione e dei propri clienti (siano altre organizzazioni che destinatari finali). |
Riferimento NIS 2 | Requisito – Controllo ISO/IEC 27001:2022 | Punti di attenzione/ ricadute operative |
Articolo 21 (paragrafo 2) 2. Le misure di cui al paragrafo 1 sono basate su un approccio multirischio mirante a proteggere i sistemi informatici e di rete e il loro ambiente fisico da incidenti e comprendono almeno gli elementi seguenti: | Applicando la ISO/EC 27001:2022 si adotta già un approccio multirischio. | |
a) politiche di analisi dei rischi e di sicurezza dei sistemi informatici | Requisito 6.1 Azioni per affrontare i rischi e le opportunità. Controllo 5.1 Politiche per la sicurezza delle informazioni Controllo 5.2 Ruoli e responsabilità per la sicurezza delle informazioni. Controllo 5.35 Riesame indipendente della sicurezza delle informazioni. Controllo 5.36 Conformità a politiche, regole e standard per la sicurezza delle informazioni. | Questo si configura come un elemento di carattere “alto” e quindi in capo alla direzione ed ai primi riporti alla Direzione (process owner) a differenza di quelli che seguono che hanno un taglio più operativo, con l’eccezione dell’elemento f) che di nuovo resta in capo ai process owner. |
b) gestione degli incidenti | Requisito 10.2 Non conformità ed azioni correttive Controllo 5.5 Contatti con autorità. Controlli da 5.24 a 5.29 (ciclo di vita dell’incidente sulla sicurezza delle informazioni). | Ulteriori e più specifiche indicazioni per la gestione degli incidenti, nel campo di applicazione della NIS 2, sono riportate nell’art. 23. |
c) continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e gestione delle crisi; | Controllo 5.7 Threats intelligence. Controllo 8.13 Back-up delle informazioni. Controllo 8.14 Ridondanza delle strutture di elaborazione delle informazioni. Controllo 8.15 Raccolta dei log. Controllo 8.16 Attività di monitoraggio. Controllo 5.29 Sicurezza delle informazioni durante le interruzioni. Controllo 5.30 Prontezza dell’ICT per la continuità operativa (ciclo di vita della business continuity). | Le misure definite potrebbero essere ulteriormente rafforzate considerando i requisiti della ISO 22301:2019[2] Security and resilience Business continuity management systems Requirements. |
d) sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi; | Controllo da 5.19 a 5.22 (ciclo di vita dei fornitori). Controllo 5.23 (ciclo di vita del cloud). Controllo 6.6 Accordi di riservatezza e non divulgazione. | Integrare i contratti con i fornitori, e da estendere anche ai sub-fornitori, per la componente di sicurezza in modo congruo con quanto previsto dalla NIS 2. |
e) sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità; | Requisito 7.4 Comunicazione. Requisito 10.2 Non conformità ed azioni correttive. Controllo 5.5 Contatti con autorità. Controllo 5.6 Contatti con gruppi specialistici. Controllo 5.7 Threart intelligence. Controllo 5.18 Diritti di accesso. Controlli della sezione 8 “Controlli tecnologici” | I controlli della sezione 8 “Controlli tecnologici” applicabili sono quelli specifici in relazione alle attività svolte dall’organizzazione in relazione al perimetro NIS 2. |
f) strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cibersicurezza; | Requisito 6.1.2 Valutazione del rischio relativo alla sicurezza delle informazioni. Requisito 6.1.3 Trattamento del rischio relativo alla sicurezza delle informazioni. Requisito 9.1 Monitoraggio, misurazione, analisi e valutazione. Requisito 9.3 Riesame della direzione. Controllo 5.35 Riesame indipendente della sicurezza delle informazioni. Controllo 5.36 Conformità a politiche, regole e standard per la sicurezza delle informazioni. | Per integrazioni al riesame della direzione vedi note precedenti. Anche in questo caso si tratta di un elemento in capo ai process owner. |
g) pratiche di igiene informatica di base e formazione in materia di cibersicurezza; | Requisito 7.2 Competenza. Requisito 7.4 Consapevolezza. Controllo 6.3 Consapevolezza, istruzione, formazione e addestramento sulla sicurezza delle informazioni Controllo 6.6 Accordi di riservatezza e non divulgazione. Controllo 6.8 Segnalazione di eventi relativi alla sicurezza delle informazioni. Per le pratiche di igiene informatica di base si faccia riferimento anche ad altri controlli che presuppongono misure a carico dei collaboratori. | Integrare istruzioni per il personale (dipendenti e collaboratori) che ha accesso ai sistemi con indicazioni in merito alle misure di “igiene informatica” a loro carico. |
h) politiche e procedure relative all’uso della crittografia e, se del caso, della cifratura | Controllo 5.31 Identificazione dei requisiti legali, statutari, regolamentari e contrattuali (sotto controllo “crittografia”). Controllo 8.24 Uso della crittografia. | |
i) sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi; | Controlli della sezione 6 “Controlli sulle persone” (ciclo di vita del dipendente/collaboratore). Controllo 5.16 Gestione dell’identità (ciclo di vita dell’identità). Controllo 5.17 Informazioni di autenticazione. Controllo 5.18 Diritti di accesso. Controllo 8.2 Diritti di accesso privilegiato. Controllo 8.3 Limitazione degli accessi alle informazioni. Controllo 8.5 Autenticazione sicura | Q |
j) uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso. | Controllo 5.16 Gestione dell’identità. Controllo 5.17 Informazioni di autenticazione. Controllo 5.18 Diritti di accesso. Controllo 8.5 Autenticazione sicura. |
Riferimento NIS 2 | Requisito – Controllo ISO/IEC 27001:2022 | Punti di attenzione/ ricadute operative |
Articolo 21 (paragrafo 3) 3. Gli Stati membri provvedono affinché, nel valutare quali misure di cui al paragrafo 2, lettera d), del presente articolo, siano adeguate, i soggetti tengano conto delle vulnerabilità specifiche per ogni diretto fornitore e fornitore di servizi e della qualità complessiva dei prodotti e delle pratiche di cibersicurezza dei propri fornitori e fornitori di servizi, comprese le loro procedure di sviluppo sicuro. Gli Stati membri provvedono inoltre affinché, nel valutare quali misure di cui al paragrafo 2, lettera d), siano adeguate, i soggetti siano tenuti a tenere conto dei risultati delle valutazioni coordinate dei rischi per la sicurezza delle catene di approvvigionamento critiche effettuate a norma dell’articolo 22, paragrafo 1. | Vedi riferimenti come per paragrafo 2, lettera d)d) | Anche in questo caso considerare misure che possono rafforzare l’elemento mutuate dalla ISO 22301:2019. |
Riferimento NIS 2 | Requisito – Controllo ISO/IEC 27001:2022 | Punti di attenzione/ ricadute operative |
Articolo 21 (paragrafo 4) 4. Gli Stati membri provvedono affinché, qualora un soggetto constati di non essere conforme alle misure di cui al paragrafo 2, esso adotti, senza indebito ritardo, tutte le misure correttive necessarie, appropriate e proporzionate. [………………………] | Requisito 6.2 Obiettivi per la sicurezza delle informazioni e pianificazione per conseguirli. Requisito 9.3 Riesame della direzione Controllo 5.35 Riesame indipendente della sicurezza delle informazioni. | Pianificare obiettivi e rendicontarli nel riesame della direzione che considerino azioni, fasi, tempi e responsabilità delle misure correttive da mettere in campo necessarie per garantire la conformità alle misure di cui al paragrafo 2. Motivare le tempistiche definite considerando anche le risorse economiche dell’organizzazione . |
Riferimento NIS 2 | Requisito – Controllo ISO/IEC 27001:2022 | Punti di attenzione/ ricadute operative |
Articolo 23 1.Ciascuno Stato membro provvede affinché i soggetti essenziali e importanti notifichino senza indebito ritardo al proprio CSIRT o, se opportuno, alla propria autorità competente, conformemente al paragrafo 4, eventuali incidenti che hanno un impatto significativo sulla fornitura dei loro servizi quali indicati al paragrafo 3 (incidente significativo). Se opportuno, i soggetti interessati notificano senza indebito ritardo ai destinatari dei loro servizi gli incidenti significativi che possono ripercuotersi negativamente sulla fornitura di tali servizi. Ciascuno Stato membro provvede affinché tali soggetti comunichino, tra l’altro, qualunque informazione che consenta al CSIRT o, se opportuno, all’autorità competente di determinare l’eventuale impatto transfrontaliero dell’incidente. La sola notifica non espone il soggetto che la effettua a una maggiore responsabilità. [………………….][3] | Requisito 9.3 Riesame della direzione. Requisito 10.2 Non conformità ed azioni correttive. Controllo 5.1 Politiche per la sicurezza delle informazioni. Controllo 5.5 Contatti con autorità. Controlli da 5.24 a 5.29 (ciclo di vita dell’incidente sulla sicurezza delle informazioni). | Integrare la/le procedure sulla gestione degli incidenti sulla sicurezza delle informazioni con le misure espressamente previste dall’articolo (tempi, soggetti a cui effettuare le segnalazioni, ecc.), in modo analogo a quanto già effettuato per tenere conto dei vincoli specifici sulla gestione dei data breach in relazione ai requisiti del REG. EU 2016/679[4]. |
Singoli controlli in relazione a contesti specifici
Ovviamente, possono essere considerati, in relazione a contesti specifici, singoli controlli ad esempio il Controllo 8.4 Accesso al codice sorgente è un elemento da considerare nell’applicazione dell’art. 21 par 2, lett.i) “sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi”, laddove un’organizzazione sviluppa applicazioni che rientrano nel campo di applicazione della NIS 2.
Nella tabella seguente vengono riportati singoli controlli e relativi punti di attenzione che evidenziano la necessità di specifiche integrazioni.
Requisito – Controllo ISO/IEC 27001:2022 | Punti di attenzione |
Requisito 5.2 Politica. | Integrare la politica del sistema di gestione della sicurezza delle informazioni, che già dovrebbe prevedere un impegno al rispetto della normativa cogente, con l’impegno esplicito del rispetto della Direttiva NIS 2 |
Requisito 5.3 Ruoli responsabilità ed autorità. | Integrare le responsabilità con quelle specifiche connesse in relazione alla presa in carico di tutti gli adempimenti richiesti dalla NIS 2 in carico all’organizzazione. |
Requisito 6.3 Pianificazione delle modifiche. | Le modifiche di qualsiasi natura che possono impattare sulle misure messe in atto per rispondere a quanto previsto dalla NIS 2 devono essere pianificate in accordo al requisito; ovvero ogni modifica dell’organizzazione deve essere valutata anche in relazione al suo impatto sulle misure richieste dalla NIS 2. |
Requisito 7.5 Informazioni documentate e Controllo 5.33 Protezione delle registrazioni. | Estendere l’elenco della documentazione di origine esterna alla NIS2 e al prossimo Decreto Legislativo di recepimento o altra normativa ad essa riconducibile. Riconsiderare l’accesso alle informazioni riservate risultanti dall’analisi dei rischi, garantendo la necessaria riservatezza. |
Requisito 9.2 Audit interni. | L’attività di audit, a cominciare dal Programma di audit, deve estendersi anche al perimetro delle misure previste dalla NIS 2 |
Conclusioni
In conclusione, volendo dare una risposta alle domande da cui siamo partiti, si può affermare che l’implementazione e la conformità alla norma ISO/IEC 27001:2022 forniscono una base molto solida per la gestione della sicurezza delle informazioni, in linea con molti dei principi fondamentali stabiliti dalla Direttiva NIS 2.
Tuttavia, gli obblighi e i requisiti posti dalla Direttiva NIS 2 si estendono – ovvero si potrebbero estendere – oltre la sicurezza delle informazioni, ponendo il focus in particolare sulla resilienza dei sistemi, sulla notifica tempestiva degli incidenti di sicurezza e sulla cooperazione transfrontaliera.
Quindi, se la certificazione secondo lo standard ISO/IEC 27001:2022 indica che un’organizzazione ha implementato un SGSI conforme ai requisiti di tale norma, non potrà garantire automaticamente la conformità a tutti gli aspetti della Direttiva NIS 2.
Le aziende certificate ISO/IEC 27001:2022 dovranno quindi valutare attentamente e colmare eventuali lacune rispetto ai requisiti della Direttiva NIS 2, attraverso una dettagliata gap analysis e l’adozione di misure complementari. Questo assicurerà non solo la conformità con la normativa vigente ma anche un rafforzamento complessivo della loro postura di sicurezza e resilienza.
Invece, le aziende non certificate, per adattare la loro postura di sicurezza agli obblighi posti dalla NIS 2, possono utilizzare la ISO/IEC 27001:2022 come linea guida facendo specifico riferimento ai requisiti e ai controlli indicati nel presente articolo da implementare seguendo le modalità operative stabilite nella norma ISO 27002:2022.
Inoltre, ulteriori misure che possono rafforzare la resilienza dei sistemi in linea con quanto richiesto dalla NIS 2 possono provenire dalla ISO 22301:2019 – Sicurezza e resilienza – Sistemi di gestione per la continuità operativa – Requisiti. Questo è un argomento che merita però una autonoma riflessione e sarà pertanto oggetto di un successivo approfondimento.
[1] Vds. Considerando 79 della Direttiva UE 2022/2555.
[2] Ora con ISO 22301:2019/Amd 1:2024
[3] Per una comprensione approfondita dell’argomento trattato, si consiglia vivamente la consultazione diretta dell’articolo 23. La sua estensiva lunghezza e complessità vanno oltre la portata di questo articolo, rendendo indispensabile l’accesso al testo integrale per una piena ed esauriente comprensione.
[4] Considerare inoltre indicazioni che possono provenire da:
- ISO/IEC 27035-1:2023 – Information technology — Information security incident management — Part 1: Principles and process
- ISO/IEC 27035-2:2023 – Information technology — Information security incident management — Part 2: Guidelines to plan and prepare for incident response
- ISO/IEC 27035-3:2020- Information technology — Information security incident management — Part 3: Guidelines for ICT incident response operations