Dal rischio alla resilienza: le misure chiave per rafforzare la cyber security degli enti pubblici

La digitalizzazione accelera, ma con essa crescono anche le minacce cibernetiche: la Legge 90/2024 e le relative linee guida ACN introducono misure concrete per rafforzare la resilienza dei sistemi informativi e delle reti critiche italiane.

Attraverso un approccio strutturato e un focus su governance, gestione del rischio e formazione, queste linee guida forniscono un modello di sicurezza scalabile ed efficace per affrontare le sfide del presente e del futuro.

Legge 90/2024, una solida base per la resilienza cibernetica

La Legge 90/2024 rappresenta un punto di svolta nel panorama normativo italiano per la sua capacità di anticipare le sfide emergenti in materia di cybersicurezza.

Promulgata a giugno 2024, questa legge ha preceduto di circa tre mesi il D.lgs. 138/2024 di recepimento della direttiva NIS 2 recependo in anticipo molte delle esigenze e delle criticità poi affrontate dalla normativa di derivazione europea.

Questo elemento di tempestività sottolinea l’intento strategico del legislatore italiano, che non si è limitato a rispondere a obblighi eurounitari attraverso il recepimento della NIS 2, ma ha scelto di agire con lungimiranza per rafforzare la sicurezza del Paese.

Articolata in due Capi, la legge si pone come risposta sistemica alle crescenti minacce cibernetiche. Il primo capo delinea un quadro organico di misure per potenziare la cyber sicurezza nazionale, coinvolgendo pubbliche amministrazioni, grandi comuni, aziende sanitarie, società di trasporto pubblico e altri soggetti strategici. Il secondo capo, invece, è dedicato alla prevenzione e al contrasto dei reati informatici, mettendo in campo strumenti per migliorare il coordinamento e la reattività in caso di attacchi.

Misure di sicurezza: Framework Nazionale o ISO/IEC 27001?

Le Linee Guida dell’Agenzia per la Cybersicurezza Nazionale (ACN) riportano dettagliatamente un set di misure fondamentali per la protezione dei sistemi informativi, organizzate secondo il Framework Nazionale per la Cybersecurity e la Data Protection (FNCS).

Questo Framework, ispirato al celebre NIST Cybersecurity Framework americano, è stato adattato alle esigenze italiane per fornire un modello pratico, scalabile e flessibile, capace di essere implementato sia da enti pubblici che da organizzazioni private.

Il Framework Nazionale si basa su cinque funzioni fondamentali – Identify, Protect, Detect, Respond, Recover – che tracciano un percorso completo per la gestione della sicurezza informatica. Ogni misura di sicurezza è organizzata in funzioni, categorie e sottocategorie, assicurando un approccio modulare e coerente per affrontare rischi complessi.

Per chi già utilizza la ISO/IEC 27001, il passaggio o l’integrazione con il FNCS non rappresenta un ostacolo, ma una naturale continuità. Sebbene ci siano differenze terminologiche e alcune sfumature nelle priorità operative, entrambi i framework perseguono lo stesso obiettivo: proteggere le informazioni e garantire la resilienza dei sistemi. Così, ad esempio:

1. la ISO/IEC 27001 si focalizza su un approccio gestionale alla sicurezza delle informazioni, richiedendo la creazione di un Sistema di Gestione della Sicurezza delle Informazioni (ISMS);
2. il FNCS, invece, presenta un approccio pratico e operativo, fornendo misure che possono essere direttamente implementate, specialmente in contesti organizzativi con requisiti di compliance specifici.

Nella sostanza, le misure di sicurezza raccomandate dal FNCS e dalla ISO/IEC 27001 conducono a risultati molto simili basandosi entrambe su framework di requisiti, analisi dei rischi e misure operative (indicati come controlli nella ISO/IEC 27001). Entrambe infatti garantiscono:

1. protezione dei dati e delle infrastrutture critiche;
2. gestione dei rischi attraverso valutazioni periodiche e trattamenti adeguati;
3. risposta rapida agli incidenti per minimizzare i danni e garantire il ripristino delle operatività.

Chi adotta già la ISO/IEC 27001 può agevolmente integrare il FNCS come strumento di dettaglio operativo, senza dover reinventare processi già consolidati.

Le misure chiave nelle linee guida ACN

Tra le misure più rilevanti evidenziate nelle linee guida troviamo:

1. ID.AM-1: inventario completo di sistemi e apparati fisici. Un registro accurato è il punto di partenza per qualsiasi strategia di sicurezza, al fine di garantire la visibilità su cosa deve essere protetto.
2. ID.RA-5: valutazione sistematica dei rischi, basata su minacce, vulnerabilità e impatti. Questa misura consente di attribuire priorità alle azioni di mitigazione e pianificare investimenti mirati.
3. PR.AT-1: formazione continua per il personale. La consapevolezza degli utenti è una delle difese più efficaci contro gli attacchi informatici.
4. RS.RP-1: piano di risposta agli incidenti. Questo garantisce una reazione tempestiva ed efficace per contenere gli impatti di eventuali compromissioni.

Vediamo come le misure raccomandate dall’ACN non solo aumentino il livello di protezione, ma favoriscano anche la conformità a normative già in vigore, come il Perimetro di Sicurezza Nazionale Cibernetica e il GDPR. La stretta correlazione tra i requisiti del FNCS e le norme italiane ed europee assicura che le organizzazioni possano allinearsi con un’unica strategia coerente, evitando duplicazioni e riducendo gli oneri amministrativi.

Il Framework Nazionale, quindi, non è un’alternativa alla ISO/IEC 27001, ma un prezioso alleato per chi cerca un approccio pratico e immediatamente applicabile. La sua integrazione nelle linee guida ACN garantisce che ogni organizzazione, indipendentemente dalla sua maturità digitale, possa implementare misure di sicurezza efficaci e universalmente riconosciute, contribuendo così a rafforzare la resilienza digitale dell’intero Paese.

L’importanza della governance

La governance della cyber sicurezza non è solo un elemento strategico, ma il cuore pulsante di qualsiasi organizzazione che voglia proteggere i propri asset digitali e mantenere la fiducia di clienti, partner e stakeholder.

La Legge 90/2024 e le relative linee guida dell’ACN sottolineano l’importanza cruciale di una struttura organizzativa dedicata alla sicurezza cibernetica, evidenziando la necessità di un approccio chiaro, coordinato e trasparente.

Il ruolo centrale della struttura per la cyber sicurezza

Ogni organizzazione è chiamata a istituire una struttura dedicata alla cyber sicurezza, che non deve essere intesa come un mero gruppo tecnico, ma come un’entità strategica che permea tutti i livelli dell’organizzazione.

Questa struttura ha il compito di:

1. definire politiche di sicurezza: creare linee guida, procedure e standard che riflettano le specificità organizzative e il contesto normativo;
2. monitorare vulnerabilità e minacce: garantire che i rischi emergenti siano costantemente identificati, analizzati e trattati;
3. pianificare e attuare interventi: assicurare che le misure di sicurezza siano implementate in modo tempestivo ed efficace, rispondendo alle esigenze operative e ai requisiti di compliance.

Il referente per la cyber sicurezza

All’interno di questa struttura, la figura del referente per la cyber sicurezza gioca un ruolo determinante. Non è solo un tecnico, ma un professionista con competenze trasversali che abbracciano:

1. aspetti tecnici, per comprendere e affrontare le sfide tecnologiche;
2. conoscenze normative, per garantire la conformità alle leggi, come la Legge 90/2024 e il GDPR;
3. capacità gestionali, per coordinare team e processi, nonché comunicare con i vertici aziendali e con le autorità competenti.

Il referente è responsabile di tradurre le strategie di sicurezza in azioni concrete, mantenendo il focus sugli obiettivi di business. Inoltre, questa figura funge da collegamento tra l’organizzazione e l’Agenzia per la Cybersicurezza Nazionale (ACN), assicurando che le notifiche e le segnalazioni siano gestite in modo accurato e tempestivo.

Trasparenza e revisione: i pilastri di una governance efficace

Una governance efficace si basa sulla trasparenza dei processi e sulla loro revisione periodica. La trasparenza non si limita alla documentazione, ma riguarda la chiarezza dei ruoli e delle responsabilità, sia all’interno dell’organizzazione sia nei rapporti con terze parti.

I due pilastri della governance, quindi, sono:

1. una documentazione strutturata: ogni azione intrapresa, dal monitoraggio delle vulnerabilità all’implementazione delle misure di sicurezza, deve essere adeguatamente documentata, per consentire audit interni ed esterni;
2. una revisione continua: i processi e le politiche di sicurezza devono essere aggiornati regolarmente, per rispondere a nuovi scenari normativi, tecnologici e di rischio.

Questa dinamica garantisce non solo la conformità alle normative, ma anche l’efficienza operativa e la capacità di anticipare e gestire le minacce in modo proattivo.

La governance e il referente per la cyber sicurezza sono i cardini su cui si regge l’intera struttura di protezione di un’organizzazione. Con una governance trasparente e un referente competente, ogni ente può trasformare la sicurezza cibernetica da obbligo normativo a leva strategica per la crescita e la fiducia, costruendo un futuro digitale più sicuro e resiliente.

Strumenti pratici per l’implementazione

Le linee guida includono indicazioni dettagliate su come costruire un impianto documentale solido. I documenti essenziali comprendono:

1. inventari di sistemi, software e flussi informativi;
2. piani di gestione del rischio;
3. relazioni periodiche sui test di vulnerabilità. Questi strumenti facilitano l’audit interno ed esterno, offrendo una base per dimostrare la conformità.

Giova evidenziare che tali linee guida si basano, come la gran parte dei framework sulla sicurezza delle informazioni su tre macrocategorie:

1. framework di controllo: contengono una serie di controlli di base da implementare;
2. framework di requisiti: definiscono i requisiti per progettare, implementare, mantenere e migliorare un sistema di sicurezza delle informazioni efficace;
3. framework di rischio; descrivono il processo di gestione dei rischi.

Conclusioni

Le linee guida dell’ACN sono un importantissimo strumento per le organizzazioni che aspirano a raggiungere una resilienza cibernetica sostenibile. Adottarle consente di rispettare la legge, e di proteggere dati e infrastrutture critiche. Integrando principi di governance, strumenti operativi e formazione continua, queste indicazioni aprono la strada a un futuro in cui sicurezza e innovazione viaggiano di pari passo.

L’Italia, con la Legge 90/2024 e il supporto strategico dell’ACN, dimostra di voler essere protagonista in un contesto sempre più globalizzato, dove resilienza e capacità di adattamento fanno la differenza tra “subire gli eventi” e “governarli”. In un mondo interconnesso, la sicurezza cibernetica non è più un’opzione, ma una responsabilità collettiva e un’opportunità per trasformare il rischio in vantaggio competitivo.

Le linee guida non chiedono di cambiare radicalmente, ma di evolvere consapevolmente. Per chi le saprà leggere e, soprattutto, applicare, il beneficio non sarà solo di proteggere sistemi e dati, ma di rafforzare la fiducia di utenti, cittadini e partner in un ecosistema digitale più sicuro, affidabile e sostenibile.

Il futuro della cyber sicurezza non è domani: comincia oggi.