In sintesi
La categorizzazione di attività e servizi NIS2, se non basata su una Business Impact Analysis (BIA), può portare a misure di sicurezza inadeguate e a rischi di compliance. Una classificazione debole non permette di comprendere l'impatto reale di una compromissione sui servizi erogati. Questo rende difficile dimostrare la corretta gestione del rischio cyber e orientare le future misure di mitigazione.
Contesto
Il percorso di attuazione della disciplina NIS2 in Italia prevede la registrazione sulla piattaforma ACN e l'adozione di misure di sicurezza di base. La fase successiva impone l'elencazione, caratterizzazione e categorizzazione delle attività e dei servizi, fondamentale per dimostrare la comprensione e la gestione del rischio cyber. Il D.Lgs. 4 settembre 2024, n. 138 (Art. 30) stabilisce che i soggetti essenziali e importanti comunichino e aggiornino annualmente (dal 1° maggio al 30 giugno) l'elenco delle proprie attività e servizi, attribuendo una categoria di rilevanza tramite la piattaforma digitale ACN.
La Determinazione ACN n. 155238/2026 ha dato attuazione a questa previsione, definendo il processo e i criteri. La categoria assegnata esprime l'impatto di una potenziale compromissione sulla capacità dell'organizzazione di erogare i servizi. Ciò richiede una ricostruzione delle dipendenze tra processi, servizi, sistemi informativi, fornitori, utenti, livelli di servizio e tempi di ripristino. Questa impostazione richiama le funzioni tipiche di una Business Impact Analysis (BIA), sebbene non espressamente citata nell'Articolo 30.
L'articolo 24 del D.Lgs. 138/2024 impone l'adozione di misure tecniche, operative e organizzative adeguate e proporzionate alla gestione dei rischi, con l'obiettivo di prevenire o ridurre l'impatto degli incidenti sui destinatari dei servizi. L'articolo 30 connette la categorizzazione a tali misure, mentre l'articolo 31 consente all'Autorità nazionale competente NIS di stabilire obblighi proporzionati in base al grado di rischio, dimensione dei soggetti e impatto degli incidenti, anche in relazione alle categorie di rilevanza.
Perché conta
Una categorizzazione inadeguata, non supportata da una Business Impact Analysis (BIA), comporta il rischio di produrre classificazioni deboli, sottostimate o difficili da difendere, compromettendo la capacità dell'organizzazione di orientare correttamente le misure di sicurezza a lungo termine. Questo può tradursi in una mancata conformità con gli articoli 24, 30 e 31 del D.Lgs. 138/2024, che richiedono l'adozione di misure adeguate e proporzionate all'impatto degli incidenti sui servizi. Senza una BIA, l'adeguatezza delle misure non può essere stimata correttamente, aumentando l'esposizione al rischio cyber.
L'errore nella categorizzazione impedisce di comprendere quale attività sia supportata dalla tecnologia, quali servizi vengano erogati e quali conseguenze deriverebbero da una compromissione, rendendo difficile la dimostrazione della corretta gestione del rischio cyber richiesta dalla Direttiva NIS2 e potenzialmente impattando la capacità di dimostrare la conformità a standard che richiedono un approccio basato sul rischio.
Cosa fare
- Effettuare una Business Impact Analysis (BIA) o un'analisi equivalente per identificare servizi, stimare gli impatti della loro interruzione e comprendere le dipendenze organizzative e tecnologiche.
- Ricostruire in modo ordinato le dipendenze tra processi, servizi, sistemi informativi, fornitori, utenti, livelli di servizio e tempi di ripristino per ogni attività o servizio critico.
- Comunicare e aggiornare annualmente (dal 1° maggio al 30 giugno) sulla piattaforma digitale ACN l'elenco delle proprie attività e servizi, attribuendo la corretta categoria di rilevanza.
- Assicurarsi che le misure di sicurezza siano proporzionate all'impatto reale che un incidente potrebbe avere sui servizi e non solo alla tecnologia utilizzata.
Cosa evitare
- Produrre classificazioni deboli, sottostimate o difficili da difendere per le attività e i servizi NIS2.
- Limitarsi a una compilazione astratta della categorizzazione, ignorando l'effettiva criticità dei servizi e il loro impatto di business.
- Stimare l'adeguatezza delle misure di sicurezza osservando soltanto la tecnologia, senza comprendere l'attività supportata, il servizio erogato e le sue conseguenze.
Implicazioni pratiche
Una categorizzazione errata o superficiale sotto NIS2 può portare a sanzioni per mancata compliance e a una reale inefficacia delle misure di sicurezza implementate, lasciando l'organizzazione vulnerabile a incidenti cyber con gravi ripercussioni operative, economiche e reputazionali. L'incapacità di dimostrare una corretta gestione del rischio può inoltre pregiudicare la reputazione e la fiducia dei clienti.
Azioni da fare
- Integrare la Business Impact Analysis (BIA) nel processo di categorizzazione NIS2 per una valutazione olistica.
- Valutare l'impatto sociale ed economico degli incidenti, oltre a quello tecnico, per ogni servizio.
- Allineare le misure di sicurezza tecniche, operative e organizzative alla reale categoria di rilevanza dei servizi.
- Formare il personale sulle procedure di categorizzazione e sull'importanza della BIA per la resilienza complessiva.
Errori da evitare
- Sottovalutare l'importanza della categorizzazione come base per tutte le future misure di sicurezza e obblighi NIS2.
- Basare la categorizzazione solo sull'organigramma o sull'inventario applicativo, senza considerare l'impatto di business reale.
- Ritardare la comunicazione e l'aggiornamento delle attività e dei servizi sulla piattaforma ACN.
Domande di self-assessment
- La nostra organizzazione ha condotto una Business Impact Analysis per identificare la rilevanza dei servizi NIS2?
- Le nostre misure di sicurezza attuali sono proporzionate all'impatto che una compromissione dei nostri servizi potrebbe avere?
- Abbiamo mappato accuratamente le dipendenze tra processi, sistemi informativi, fornitori e servizi per la categorizzazione?
- Siamo in grado di dimostrare come abbiamo compreso e ordinato il rischio cyber in base alla criticità dei nostri servizi?
Riferimenti
Normativa nazionale: D.Lgs. 4 settembre 2024, n. 138 (Art. 24, Art. 30, Art. 31) · Determinazione ACN n. 155238/2026 · Direttiva NIS2
Leggi l'articolo originale su Agenda Digitale ↗
