Dopo aver esaminato la Direttiva NIS 2 in lungo e in largo, anche se non è mai abbastanza, si può certamente riconoscere che l’ambito di applicabilità non ricade solamente nei settori indicati dall’ Allegato I e II.
Infatti, molti sono gli articoli e le disamine tecniche che indicano un campo molto più ampio che andrà a coinvolgere, in maniera indiretta, tutta, o quasi, la supply chain (la catena dei fornitori): sarà una buona parte delle aziende direttamente coinvolte che, per adeguarsi alle istruzioni impartite dalla direttiva, chiederanno ai propri fornitori di fare altrettanto per mantenere un controllo e una gestione della sicurezza adeguati agli standard richiesti.
Vediamo, quindi, come le PMI possono, in qualche modo, ottimizzare le proprie risorse, sia economiche che no, per venire incontro a queste richieste adottando lo schema della ISO/IEC 27001:2022.
Indice degli argomenti
NIS 2 e ISO/IEC 27001: scenario di riferimento
La direttiva NIS 2 stabilisce lo scenario di riferimento per:
- la gestione dei rischi di cyber sicurezza;
- obblighi di segnalazione.
come viene citato nel Considerando n.22.
Nello specifico, la NIS 2 illustra le modalità per ottenere una governance completa per prevenire minacce di cyber sicurezza e per reagire correttamente ad un evento malevolo anche nella modalità di comunicare di tale evento agli enti preposti.
Il concetto di governance è un concetto ampiamente descritto e utilizzato nel mondo dell’Information Security e lo è da sempre nella ISO 27001 già dalla prima versione del 2005, ma dalla ultima versione, ovvero quella del 2022, si amplia anche alla cyber security con una forte attenzione alla protezione della privacy cambiando addirittura il suo nome in “Information security, cybersecurity and privacy protection – Information security management systems”.
Perché la ISO/IEC 27001:2022
È evidente che per ottenere una governance c’è bisogno di un sostegno strutturato con dei punti chiari e ben saldi.
La ISO/IEC 27001 fornisce il framework adatto per governare i processi aziendali e metterli in sicurezza. Anche la direttiva NIS 2 è della stessa opinione tanto da citare la famiglia 27000 nel Considerando n. 79 come un approccio adeguato ad affrontare le minacce alla sicurezza dei sistemi informatici e di rete.
Infatti, la famiglia 27000 basata sul multirischio analizza diversi scenari di rischio che non sono limitati soltanto a quello informatico, ma include anche la ([…]C. 79 – NIS 2) “sicurezza fisica e dell’ambiente dove i sistemi sono collocati, ovvero guasti del sistema, errori umani, azioni malevoli o fenomeni naturali”.
Il framework della ISO 27001 mette a disposizione una serie di controlli volti a governare queste tipologie di rischi per l’IT e, con la nuova versione cioè la 27001:2022, anche quelli per l’OT.
NIS 2 e ISO/IEC 27001:2022: punti di contatto
Analizzando ad alto livello le due norme, vediamo quali sono i punti che le accomunano.
Prima di tutto c’è il concetto di “Governance” già citato in precedenza. La NIS 2 lo introduce sia all’art. 7 che al 20: nel primo viene definita una governance strategica a livello nazionale, che definisce la necessità di avere obiettivi precisi e strategici per la gestione dei rischi di cyber sicurezza, con priorità e risorse sufficienti per raggiungerli; l’art. 20 ha proprio come titolo “Governance” e indica l’importanza di adottare delle misure di gestione e anche di formazione dei rischi di cybersicurezza.
Questo, ovviamente, va proprio nella direzione della ISO che della governance ne è fautore con la gestione del sistema della sicurezza delle informazioni, per quanto riguarda la ISO 27001, ben integrati nei processi aziendali e soprattutto con quelli che sono gli obiettivi di business.
Ragionando sempre ad alto livello, abbiamo la ISO 27001 come sistema di tutela della:
- confidenzialità;
- integrità;
- disponibilità;
che sono anche i tre presupposti definiti al punto 2 dell’art. 6 della NIS 2 da preservare, appunto, con un buon livello di sicurezza dei sistemi informatici e di rete.
La NIS 2 pone molto l’accento sull’obbligo di segnalazione dedicando all’argomento l’art. 23 dove vengono definite le modalità e le tempistiche di segnalazione di un evento malevolo. In questo caso la ISO non obbliga la segnalazione, ma fornisce gli strumenti e i controlli necessari per rispondere ad un evento di tipo malevolo e per recuperare e preservare le informazioni necessarie ad un’eventuale segnalazione.
Altro tema è la vigilanza e l’esecuzione di tali misure dove la NIS 2 dedica il “Capo VII” in cui vengono descritti come gli Stati Membri si debbano fare capo del monitoraggio della corretta applicazione di tale Direttiva.
Anche in questo caso la ISO 27001 fornisce gli strumenti adatti all’azienda per poter continuamente monitorare il suo stato di sicurezza e quindi anche la sua conformità a quelle che sono gli aspetti legali, promuovendo uno dei suoi concetti fondamentali che è il “miglioramento continuo”.
Security by design, security by default
Adottare un sistema di gestione dei rischi non significa solo eseguire meccanicamente ciò che viene indicato, ma soprattutto renderlo parte integrante delle proprie attività “day-by-day”, infondendo nelle persone un modo di pensare e ragionare orientato sempre alla sicurezza.
Solo così si innesca quello che viene definito “Security by design, security by default”: la capacità di poter sviluppare progetti, costruire sistemi informatici o progettare reti informatiche partendo dall’idea di avere dei presupposti di sicurezza che sono parte integrante delle attività quotidiane e che devono andare di pari passo con l’evoluzione di tali attività.
Le norme ISO si basano sul paradigma del PDCA: Plan – Do – Check – ACT.
Questo modello viene utilizzato per assicurare un progressivo miglioramento dei processi, in modo che siano adeguatamente alimentati e gestiti in modo da identificare anche quelle che potrebbero essere chiamate opportunità di miglioramento.
Il paradigma PDCA si basa su quattro passaggi:
- Plan (Pianificare): stabilire gli obiettivi del sistema, i suoi processi e le risorse necessarie per fornire risultati, in conformità ai requisiti del cliente e alle politiche dell’organizzazione, e identificare e affrontare i rischi e le opportunità;
- Do (Fare): attuare ciò che è stato pianificato;
- Check (Verificare): monitorare e (quando applicabile) misurare i processi e i prodotti/servizi risultanti, a fronte delle politiche, degli obiettivi, dei requisiti e delle attività pianificate, e riferire sui risultati;
- Act (Agire): intraprendere azioni per migliorare le prestazioni, per quanto necessario.
Questo modello, essendo iterativo, facilita la gestione del rischio ad ogni implementazione dando la possibilità di rispettare quelle che sono anche le revisioni del proprio impianto di sicurezza cyber imposte dalla NIS 2.
Nei prossimi due paragrafi proviamo a dare una panoramica di confronto tra la NIS 2 e la ISO/IEC 27001:2022 tra gli articoli di una e i controlli dell’altra.
Art. 7 della NIS 2 e i concetti della ISO/IEC 27001:2022
Questo articolo della NIS 2 specifica le strategie a livello nazionale per la cybersicurezza, che, con le opportune revisioni, sono i principi fondamentali della ISO 27001 calati all’interno di un’azienda.
Art. 7 c.1 par. b NIS2
Governance, obiettivi e strategie: condiviso anche nella 27001 che definisce una governance della sicurezza a partire dalla strategia aziendale per raggiungere gli obiettivi definiti a priori (par. 5 27001: Leadership).
È anche importante citare che la governance è responsabilità dell’organo di gestione aziendale e non riguarda più l’IT, condiviso sia da NIS 2 che da ISO 27001, dove nella prima, l’organo diventa ovviamente lo Stato Membro.
Art. 7 c.1 par. c – d NIS2
Ruoli e responsabilità e ricerca delle risorse e competenze: rapportato al capitolo 7 della ISO 27001 dove calando il tutto in realtà aziendale, vi è la necessità di trovare le risorse competenti e necessarie allo sviluppo di un piano adeguato. I controlli di riferimento della ISO 27001 sono dal 5.2 al 5.4 e il 5.18.
Mentre un riferimento particolare va al controllo 5.8 che introduce il concetto di “Information Security” all’interno dei processi di project management, cristallizzando l’importanza del “Security by design, security by default”.
Avere dei ruoli e responsabilità ben definiti aiuta l’azienda ad una migliore struttura del proprio ambiente, in modo da poter agire e reagire in maniera più coordinata ed organizzata ad un’incidente, come richiesto dalla NIS 2.
Art. 7 c.1 par. d – e NIS2
La risposta agli incidenti e la valutazione del rischio: la ISO mette a disposizione il capitolo 6 che identifica le azioni per affrontare rischi e opportunità.
Nel dettaglio il paragrafo 6.1.2 descrive come impiantare un processo di analisi e valutazione del rischio.
A valle di tali considerazioni ci sono i controlli dal 5.24 al 5.27 che servono proprio alla pianificazione e preparazione alla gestione del rischio in risposta agli incidenti sia in termini tecnici che comunicativi.
Art. 7 c.2 par. a NIS2
La sicurezza nella catena di approvvigionamento dei prodotti: la strategia della sicurezza della NIS 2 comprende anche la supervisione della propria supply chain la quale deve garantire il livello adeguato per rimanere conforme alla norma.
La ISO ha a disposizione una serie di controlli che vanno dal 5.19 al 5.22 per monitorare la sicurezza adottata dalla propria rete di fornitori.
Art. 7 c.2 par. c NIS2
Gestione delle vulnerabilità intesa anche come collaborazione tra gli enti per ampliare la conoscenza e la condivisione di metodologie di difesa.
Anche questo rientra nel perimetro della ISO 27001 con il capitolo 8 che oltre alle misure per l’analisi e il trattamento del rischio, suggerisce l’adozione di processi documentali per tenere sempre aggiornati i trattamenti adoperati così che questi possano essere più facilmente accessibili per la consultazione e la condivisione.
Art. 7 c.2 par. d a j NIS2
Questi paragrafi della NIS 2 possono essere facilmente riconducibili al concetto fondamentale delle ISO, ovvero il continuo miglioramento anche tramite percorsi di formazione e di divulgazione della consapevolezza sui sistemi di sicurezza delle informazioni e quindi anche di cyber, dei rischi e del loro trattamento.
Articoli 21 e i controlli della ISO
Come sappiamo, l’articolo 21 della NIS 2, elenca, anche se non in maniera esaustiva, una serie di misure da adottare per la protezione dei sistemi informatici e di rete e il loro ambiente fisico con un approccio multirischio. Queste misure sono volte a prevenire il rischio di incidenti anche a chi utilizza i servizi offerti, di fatto, garantendo così una maggiore “Business continuity”.
Concetto, quest’ultimo, pienamente condiviso anche dalle politiche della ISO 27001 che ovviamente nella sua gestione della sicurezza delle informazioni cerca di diminuire al minimo il rischio, facendolo rientrare ad un livello accettabile per la continuità del proprio business d’azienda.
Senza ripetere quindi quanto già espresso dalle norme, di seguito si riporta una tabella di matching tra le misure proposte dalla NIS 2 e i controlli di riferimento della ISO/IEC 27001:2022.
| NIS2 | ISO/IEC 27001:2022 |
| 21 2.a | 5.24 / 5.25 |
| 21 2.B | 5.26 |
| 21 2.C | 5.29 / 5.30 / 8.13 / 8.14 |
| 21 2.D | 5.19/ 5.20 / 5.21 / 5.22 /8.30 |
| 21 2.E | 5.28 / 5.35 / 6.8/ 8.8 / 8.9 / 8.16 / 8.32 |
| 21 2.F | 8.15 / 8.16 / 9.1 / 9.2.2 |
| 21 2.G | 6.1 / 6.3 |
| 21 2.H | 8.11 / 8.12 / 8.24 |
| 21 2.I | 6.2 / 5.2 / 5.3 / 5.4 / 5.10 / 5.15 / 5.16 / 5.17 / 5.18 / 6.4 / 6.6 |
| 21 2.J | 5.17 / 6.7 / 6.8 / 8.3 / 8.5 |
Gli altri controlli non citati fanno riferimento a misure più nel dettaglio che rientrano comunque in una panoramica più ampia della gestione della sicurezza che fa parte sia della NIS 2 che della ISO 27001.
Formazione, continuo miglioramento
Entrambe le norme promuovono il costante aggiornamento per garantire una piena consapevolezza del rischio di incidenti e metodi per prevenirli, ma soprattutto per tenere sempre alta l’attenzione su queste tematiche.
Un aggiornamento che può essere fatto tramite diversi canali come quello della formazione individuale, seminari, gruppi di condivisione, consulenza ecc.
Essere formati ed informati porta al già citato approccio del “Continuous Improvement” della ISO/IEC 27001, ovvero la capacità di un ente di saper migliorare in modo continuo l’idoneità, l’adeguatezza e l’efficacia del sistema di gestione della sicurezza determinando anche quelle che sono le carenze che diventano opportunità di miglioramento e per questo, continuo.
Ovviamente tutto ciò non è affidato solamente all’azienda che direttamente o indirettamente viene coinvolta dalla NIS 2. Infatti, come quest’ultima indica di istituire organi di controllo, anche la ISO 27001, nel controllo 5.35, suggerisce di adottare un auditor indipendente per revisionare il proprio sistema e il capitolo 9 fornisce gli accorgimenti da seguire per un processo di valutazione adeguato che comprende il monitoraggio, le misurazioni e le analisi.
Riesame degli organi di controllo
Sempre nel capitolo 9 della ISO/IEC 27001:2022 al paragrafo 9.3 si parla di “Revisione della Direzione”. Per la ISO, questo è un altro pilastro fondamentale perché, per garantire il successo di tale sistema di gestione, non basta applicare i controlli o seguire alla lettera i paragrafi, bisogna effettuare un cambio di mentalità all’interno dell’azienda partendo dai vertici aziendali.
Il loro supporto e, soprattutto, consapevolezza dell’utilità di tale sistema, servono a diffondere in tutte le persone l’importanza di operare sempre nella direzione del concetto di “Security by default”.
Questo concetto, così come lo esprime la ISO 27001, non lo troviamo nella NIS 2, ma quest’ultima in più punti tra gli articoli 31 e 33, parla di una vigilanza strutturata sull’adozione delle misure di sicurezza da essa impartite.
Questo significa che le aziende coinvolte devono essere pronte a poter dimostrare la loro conformità e sicuramente, come avviene negli audit della ISO, la direzione è quella che più viene presa di mira per capire il livello di consapevolezza sull’attuale grado di sicurezza della propria azienda.
Conclusione
Quanto esposto in questo articolo non vuole in nessun modo dare la convinzione che conformarsi alla ISO/IEC 27001 possa tranquillamente sostituire la conformità alla Direttiva NIS 2, ma di fatto, garantisce delle ottime fondamenta per l’adempimento agli obblighi della Direttiva ai soggetti coinvolti direttamente e anche qualche pilastro in più per quelli che sono coinvolti in maniera indiretta, dando così la possibilità di poter partecipare anche a bandi e/o gare che ne richiedono la certificazione.
In entrambi i casi, però, è consigliabile appoggiarsi a dei professionisti in grado di poter guidare l’azienda nel modo giusto e proporzionato in modo da prevenire anche eventuali sprechi economici.
