In sintesi
Nella NIS2 italiana, sistemi informatici condivisi come ERP, IAM, SOC e cloud, se abilitano servizi a impatto elevato, diventano essi stessi critici. Le organizzazioni devono mappare le dipendenze operative e applicare il criterio dell'impatto maggiore per definire controlli di sicurezza ACN proporzionati. Non basta categorizzare i servizi, è fondamentale valutare l'impatto della compromissione degli asset sottostanti.
Contesto
La prima stagione attuativa della NIS2 italiana ha richiesto alle organizzazioni di elencare e categorizzare attività e servizi rilevanti. Tuttavia, l'adempimento nasconde un lavoro più profondo: la comprensione delle dipendenze operative, tecnologiche, informative e contrattuali tra servizi e asset. La sfida emerge con gli 'asset trasversali', ovvero sistemi condivisi (es. ERP, IAM, SOC, piattaforme cloud) che abilitano molteplici servizi con diverse categorie di impatto. La NIS2, letta con le determinazioni ACN, richiede di valutare la rilevanza regolatoria di questi asset in base al servizio più critico che essi sostengono, non basandosi sulla funzione più ordinaria. Gli esempi includono ERP che gestiscono processi sia ordinari che critici, e sistemi IAM che abilitano l'accesso a servizi di diversa importanza.
Perché conta
Questo approccio è fondamentale per la conformità alla Direttiva NIS2, poiché le organizzazioni devono definire misure di sicurezza proporzionate al rischio. Sottovalutare la criticità di un asset condiviso, considerandolo 'generale' o 'di supporto', può portare a una insufficiente protezione dei servizi più critici e a una violazione dei requisiti ACN. Se un sistema abilitato supporta servizi che trattano dati personali, una sua compromissione impatta direttamente sulla riservatezza, integrità e disponibilità dei dati, con potenziali ricadute sul GDPR, anche se non esplicitamente citato. La capacità di dimostrare, documentare e ricondurre le valutazioni del rischio a un quadro credibile è inoltre essenziale per qualsiasi sistema di gestione della sicurezza.
Cosa fare
- Comprendere le dipendenze operative, tecnologiche, informative e contrattuali dei servizi rispetto agli asset sottostanti.
- Applicare il criterio dell'impatto maggiore per determinare la criticità regolatoria dei sistemi informativi condivisi.
- Definire misure di sicurezza ACN proporzionate basandosi sul servizio con l'impatto più elevato abilitato da un asset.
- Documentare e dimostrare eventuali segregazioni tecniche, domini separati, tenant distinti e controlli di accesso differenziati implementati sui sistemi comuni.
- Coinvolgere non solo l'IT ma anche le funzioni di business nella perimetrazione dei sistemi informativi e di rete rilevanti.
Cosa evitare
- Sottostimare il peso regolatorio di sistemi condivisi classificandoli come 'generali' o 'di supporto'.
- Determinare la criticità di un sistema condiviso basandosi solo sulla funzione più ordinaria che svolge.
- Non dimostrare o documentare adeguatamente le misure di mitigazione implementate sui sistemi condivisi.
- Decidere la perimetrazione dei sistemi rilevanti basandosi esclusivamente sull'inventario tecnico dell'IT, senza un'analisi del rapporto con servizi NIS e impatti di business.
Implicazioni pratiche
Le organizzazioni devono effettuare una Business Impact Analysis approfondita che vada oltre la mera categorizzazione dei servizi, per identificare la reale rilevanza regolatoria degli asset tecnologici condivisi. Una valutazione errata o superficiale può portare a misure di sicurezza inadeguate, esponendo l'organizzazione a rischi operativi e a sanzioni per non conformità alla Direttiva NIS2, qualora non sia in grado di giustificare e dimostrare il livello di protezione applicato.
Azioni da fare
- Eseguire una Business Impact Analysis (BIA) per mappare in dettaglio tutti i servizi e le funzioni abilitate dagli asset trasversali (es. ERP, IAM, SOC, cloud).
- Associare a ciascun asset condiviso la categoria di impatto più elevata tra tutti i servizi che abilita.
- Implementare e adeguare i controlli di sicurezza (es. MFA, gestione utenze privilegiate, logging, monitoraggio) alla massima criticità degli asset IAM, ERP, SOC e cloud.
- Predisporre la documentazione che dimostri le valutazioni di rischio, le segregazioni tecniche e le mitigazioni adottate sui sistemi condivisi.
- Assicurare che la governance della sicurezza includa un processo decisionale che coinvolga sia le competenze tecniche IT che le funzioni di business per la corretta perimetrazione degli asset critici.
Errori da evitare
- Rischiare l'inadeguatezza delle misure di sicurezza per i servizi critici a causa della sottovalutazione degli asset condivisi.
- Esporre l'organizzazione a non conformità NIS2 per una perimetrazione errata o indimostrata dei sistemi rilevanti.
- Mancare la capacità di spiegare su quali sistemi si applicano i controlli di sicurezza richiesti da ACN durante un audit.
Domande di self-assessment
- Quali servizi e processi NIS abilitano i nostri sistemi ERP, IAM, SOC e piattaforme cloud, e quali sono le loro dipendenze?
- Abbiamo applicato il criterio dell'impatto maggiore per determinare la criticità di tutti i nostri asset condivisi?
- Siamo in grado di dimostrare e documentare le segregazioni tecniche, i controlli di accesso differenziati e le misure di resilienza applicate ai nostri sistemi comuni?
- Il nostro processo di perimetrazione dei sistemi rilevanti coinvolge attivamente le funzioni di business, oltre all'IT?
- I controlli di sicurezza implementati su asset come IAM e ERP sono proporzionati al servizio di maggiore impatto che essi abilitano?
Riferimenti
Normativa nazionale: Direttiva NIS2 · ACN (Agenzia per la Cybersicurezza Nazionale) - determinazioni sulle misure di sicurezza e sulla categorizzazione
Leggi l'articolo originale su Agenda Digitale ↗
