L’approvazione del decreto legge n.138 del 4 settembre 2024 che recepisce la direttiva NIS 2 era un fatto atteso e necessariamente deve essere accolto positivamente per compiere la transizione evolutiva dalla NIS.
L’allargamento del perimetro a nuove tipologie di organizzazioni coinvolte con le loro supply chain è il risultato più evidente della qualità dell’azione legislativa. L’ampiezza del perimetro è un parametro per valutare il rafforzamento dello scudo di difesa cyber dell’intero ecosistema europeo. Inoltre, il perfezionare l’esistente dispositivo, prestando attenzione alla semplicità ed allo sforzo implementativo, è indice di concreto miglioramento.
La direttiva europea rappresenta la linea guida e questo decreto legge ne definisce l’applicazione a livello nazionale senza stravolgerne il senso. Anzi, magari cogliendo l’opportunità di ulteriori miglioramenti.
Ciò che però stride è la presenza di un intento lodevole come l’articolo 2 sulle definizioni per collocare nel contesto nazionale la tematica trattata, ma che sembra mancare di una sufficiente cura espositiva. Ci sono 54 definizioni rispetto alle 41 dell’articolo 6 della direttiva NIS 2 e, a parte le prime di focalizzazione nazionale, le altre dovrebbero replicare integralmente la direttiva europea.
Indice degli argomenti
La definizione di rischio nel decreto NIS 2
Tra le definizioni del decreto legislativo, leggiamo all’articolo 2, comma dd), “«approccio multi-rischio»: cosiddetto approccio all-hazards”.
Nella direttiva europea, tra le sue definizioni questa non c’è, però nella traduzione italiana della direttiva compare impropriamente il concetto di “approccio multirischio” come errata traduzione di “all-hazards approach” dell’articolo 21, sulle misure di gestione del rischio di cyber security.
L’accezione di approccio all-hazards indica che si vuol proteggere l’ecosistema digitale individuando tutte le cause che possono portare a deviare dai risultati attesi di protezione di reti, sistemi ed ambienti fisici, di cui una minima lista di misure è nell’ambito dell’articolo citato.
Le misure di protezione devono essere calibrate sulla conoscenza del rischio che deve affrontare ciascun servizio che concorre a formare l’ecosistema digitale.
Di conseguenza, l’approccio all-hazards richiede di considerare tutti i rischi dell’ecosistema digitale.
Per chiarire i termini, si può ricorrere alla norma ISO 31073:2022 “Risk management — Vocabulary”. Il termine hazard è definito (3.3.12) come una fonte di potenziale danno, inoltre nella nota aggiunge che hazard può essere una fonte di rischio.
Cambiando definizione e passando alla fonte di rischio (3.3.10) abbiamo che rappresenta un elemento che, da solo o in combinazione, può potenzialmente dare origine ad un rischio. Interessante, non si considera solo la situazione individuale ma anche la combinazione di situazioni individuali che possono originare un ulteriore rischio.
È evidente che l’approccio all-hazards richiede di avere la capacità di comprendere tutte le eventuali minacce e le loro combinazioni che portano ad un potenziale obiettivo mancato.
Identificazione del rischio
Nelle metodologie di gestione del rischio la fase dove troviamo l’approccio all-hazard è nello stadio iniziale del processo di identificazione del rischio.
Dalla norma ISO già citata ricaviamo la definizione di identificazione del rischio come il processo di ricerca, riconoscimento e descrizione dei rischi. L’identificazione del rischio implica l’identificazione delle fonti di rischio, degli eventi, delle loro cause e delle loro potenziali conseguenze.
Questo processo è come una scatola chiusa che in input riceve tutti i componenti per definire il rischio, cerca sistematicamente di riconoscere quelli pertinenti al contesto e quindi produce in uscita una rappresentazione concreta e misurabile del rischio, detta scenario del rischio.
Questa fase è dedicata alla sola identificazione per rendere fattibili le fasi successive del ciclo di vita di gestione del rischio, cioè l’analisi e la valutazione del livello di rischio.
Fase iniziale dell’identificazione del rischio
L’approccio all-hazards è un principio generale della fase di identificazione del rischio che richiede una ricerca esaustiva dei rischi. Solo ricerca perché la valutazione è un successivo processo.
Esistono delle tecniche di riconoscimento del rischio applicabili in questa fase ed i vari metodi sono suddivisi in quattro categorie:
- Storici, ossia basati sull’evidenza di situazioni passate (incidenti, audit…).
- Sistematici, ossia ricerca di potenziali punti di debolezza (vulnerability assessment, expert opinion…).
- Induttivi, ossia ricerca di possibili punti di attacco o di compromissione (pentest, simulazione…).
- Tassonomici, ossia basati su cataloghi pubblici di rischi (vendors, authorities…).
La completezza nell’identificazione del rischio è il senso della ricerca basata sull’approccio all-hazards. È evidente che solamente quando è noto l’insieme di tutti i rischi da affrontare è possibile organizzare le misure di protezione in modo efficace.
Grande attenzione ricade sui rischi emergenti, ossia quelli provocati dalle conseguenze di cambiamenti di processo o di tecnologia, che portano a variare l’insieme delle minacce, richiedendo uno sforzo adeguato a determinarle tutte.
Fase finale dell’identificazione del rischio
Nella fase finale di identificazione del rischio si deve predisporre delle opportune rappresentazioni del rischio per consentire un’accurata analisi sia in modo individuale che aggregato del rischio.
Lo scenario del rischio deve supportare la rappresentazione di asset, minacce, controlli in essere, vulnerabilità e loro interazioni per fornire alla seguente fase di analisi del rischio tutti gli elementi necessari alla valutazione di impatto e probabilità di accadimento dell’evento.
Oltre al metodo di rappresentazione individuale del rischio si deve procedere anche alla rappresentazione di eventi di rischio, in contemporaneità od in sequenza, aventi un legame tra loro.
Questo metodo di raffigurazione di più eventi di rischio in relazione tra loro è uno scenario multirischio, ossia un metodo che consente di analizzare uno scenario dove sono coinvolti più rischi individuali ma che possono provocare delle conseguenze come se fossero un solo evento di ampiezza pari o superiore al singolo evento di rischio.
I singoli eventi vanno comunque valutati separatamente per comprendere il potenziale impatto nel rispetto del principio all-hazards.
I due termini, all-hazards e multirischio, sono due differenti momenti nel processo di identificazione del rischio:
- il principio all-hazards stabilisce che, come condizione necessaria per un efficace protezione, devo avere individuato tutte le possibili condizioni di rischio per poi rappresentarle in scenari sia individuali che multirischio;
- il multirischio interviene per affrontare il caso specifico rappresentato dalla combinazione di più eventi di rischio in relazione tra loro che provocano un effetto congiunto.
Conclusioni
Il problema dell’anomala traduzione era già presente sia nella direttiva europea 2022/2555 NIS2 che richiamato anche nella 2022/2557 CER (“Critical Entities Resilience Act”). Aver forzato l’equipollenza dei due diversi concetti di rischio all’interno del D.lgs. non aiuta e risulta un problema.
Tutti i rischi implica una situazione di completa, attenta e scrupolosa ricerca di ogni evento che possono compromettere gli obiettivi. Multirischio è un potenziale di un effetto congiunto di singoli eventi di rischio capaci di produrre delle conseguenze, generando in tal modo un nuovo rischio.
È evidente come quest’ultimo manchi della necessaria capacità a completare l’intero perimetro di ricerca del rischio.
Anche la rimanente parte della definizione (art.2, comma dd)) che parla di rischi “derivanti da tutte le tipologie di minaccia ai sistemi informativi e di rete nonché al loro contesto fisico” è imprecisa. Proprio perché l’approccio è all-hazards si devono considerare tutte le tipologie di minaccia, sia quelle dirette alla tecnologia dell’ecosistema digitale che quelle indirette, ma che tuttavia hanno la capacità di influenzare l’operatività interna, come la conoscenza necessaria, la progettazione dei processi, gli standard, le leggi, la disponibilità delle risorse e così via.
L’elenco è parziale e ciò andava chiarito in quanto in contrasto con l’approccio citato.
Una carente coerenza espositiva si traduce in un problema di interpretazione delle azioni da compiere.
Dalla comprensione derivano le regole da rispettare e nel caso di una violazione, sarebbe problematico attribuire le responsabilità. Risulterebbe imbarazzante sostenere che il lavoro è stato fatto in modo responsabile perché è stata gestita la situazione multirischio dopo che un grave incidente ha avuto come causa un singolo evento di rischio indipendente dagli altri (e non trattato perché non richiesto).
Pur apprezzando l’intento di correggere l’errore di traduzione originale, nel D.lgs. non si doveva ripetere l’errore.
Al “tutti” non può essere equiparato il “molti” perché è immediato capirne la differenza semantica, entrando in una stanza con una candela accesa, dopo aver chiuso “tutte le fughe di gas”, piuttosto che “molte fughe di gas”.
