Per molti responsabili della sicurezza informatica il 30 giugno rappresenta una delle date più importanti del calendario NIS2. Entro questa scadenza, infatti, i soggetti essenziali e importanti individuati dall’Agenzia per la Cybersicurezza Nazionale (ACN) devono completare la categorizzazione delle attività e dei servizi prevista dall’articolo 30 del decreto legislativo 138/2024 e aggiornare le informazioni richieste attraverso la piattaforma dell’Autorità.
Sarebbe però un errore fermarsi all’aspetto formale dell’adempimento. Perché dietro il caricamento di alcune informazioni sulla piattaforma ACN si nasconde un cambiamento molto più profondo nel modo di affrontare la cybersecurity.
In realtà è probabilmente il momento nel quale la NIS2 cambia natura.
Se la prima fase della NIS2 aveva l’obiettivo di individuare i soggetti che rientrano nel nuovo perimetro normativo, la scadenza del 30 giugno apre una fase completamente diversa. Alle aziende non viene più chiesto soltanto di dichiarare chi sono, ma di individuare quali attività, servizi e dipendenze digitali risultano davvero indispensabili per garantire la continuità operativa.
La risposta abbraccia i processi di business, le persone, i fornitori, la continuità operativa e, in ultima analisi, la capacità di un’impresa di continuare a operare anche durante un incidente informatico.
È questo il vero cambio di paradigma introdotto dalla NIS2.
LEGGI ANCHE: Sanità digitale sotto pressione: perché NIS2 impone un ripensamento strutturale della cybersecurity
Che cosa devono fare le aziende entro il 30 giugno
Dal punto di vista operativo, la scadenza del 30 giugno conclude la finestra temporale, aperta il 1° maggio, durante la quale i soggetti NIS devono trasmettere all’ACN una serie di informazioni destinate a diventare il riferimento dell’intero percorso di conformità.
Il passaggio più importante riguarda la categorizzazione delle attività e dei servizi, che prevede l’identificazione delle attività rilevanti svolte dall’organizzazione, dei servizi che esse erogano o supportano, della loro categoria di rilevanza e delle principali dipendenze tecnologiche e organizzative.
A questo si affianca l’aggiornamento delle informazioni richieste dall’Autorità, compresa l’individuazione dei fornitori ritenuti rilevanti ai fini della continuità dei servizi.
Si tratta di informazioni che, almeno in apparenza, hanno un carattere descrittivo. In realtà rappresentano il primo tassello di un modello destinato a guidare tutte le successive fasi di attuazione della direttiva.
È infatti proprio dalla classificazione effettuata oggi che dipenderà, nei prossimi anni, l’applicazione delle misure di mitigazione, la definizione delle priorità di sicurezza, la gestione della supply chain, le verifiche dell’Autorità e, più in generale, l’intero percorso di governance del rischio cyber.
NIS2: la domanda che cambia tutto
Ma, come abbiamo già anticipato, per capire perché questa scadenza sia così importante bisogna guardare oltre il singolo adempimento.
La categorizzazione richiesta dalla NIS2 parte da una logica diversa rispetto a quella con cui molte organizzazioni hanno affrontato finora la cybersecurity. Il punto di partenza non è l’infrastruttura tecnologica, ma il business. La domanda non è più “quali sistemi possiedo?”, bensì “quali attività devo essere in grado di garantire anche durante un incidente?”.
Da questa risposta discende tutto il resto. La criticità di un server, di un ERP o di un servizio cloud non dipende dalle sue caratteristiche tecniche, ma dal ruolo che svolge nel garantire la continuità delle attività aziendali.
Tutti questi elementi assumono importanza soltanto se sostengono un’attività dalla cui interruzione deriverebbe un impatto significativo sull’organizzazione, sui clienti o, nel caso dei soggetti essenziali, sulla continuità di servizi di interesse pubblico.
La tecnologia, insomma, eredita la propria criticità dal business.
È un principio semplice, ma destinato a cambiare il modo con cui molte organizzazioni affrontano la cybersecurity.
Dalla classificazione dipenderanno le decisioni future
La categorizzazione rappresenta la base sulla quale verranno costruite tutte le decisioni successive. Le categorie attribuite alle attività e ai servizi costituiranno infatti il punto di partenza per definire i livelli di mitigazione richiesti, orientare gli investimenti, stabilire le priorità di ripristino in caso di incidente, organizzare la continuità operativa e valutare la rilevanza dei fornitori coinvolti nell’erogazione dei servizi.
Anche la gestione degli incidenti cambia prospettiva.
Durante un attacco cyber non sarà più sufficiente sapere quali sistemi sono stati compromessi. Diventerà fondamentale comprendere quali servizi sostengono, quali processi di business vengono interrotti, quali clienti risultano coinvolti e quale impatto operativo ed economico può derivarne.
In altre parole, la classificazione effettuata oggi diventerà la bussola con cui affrontare le crisi di domani.
[Esattamente al centro, nel cuore di un panorama così delicato si inserisce il ritorno di AI & Security Channel Hub, il grande appuntamento organizzato da Computer Gross che l’8 ottobre riunirà a Milano vendor, partner, system integrator, MSP e professionisti della cybersecurity]
La cybersecurity esce definitivamente dal reparto IT
Tuttavia, non è difficile comprendere come il cambiamento più profondo riguardi però le persone chiamate a prendere queste decisioni.
La categorizzazione richiesta dalla NIS2 è uno dei primi esercizi che coinvolge trasversalmente l’intera organizzazione. Per attribuire il corretto livello di rilevanza a un’attività occorre comprenderne il ruolo nel business, il valore che genera, le dipendenze tecnologiche che la sostengono e le conseguenze di un’eventuale interruzione. Sono informazioni distribuite tra le diverse funzioni aziendali: chi conosce i processi produttivi, chi gestisce la logistica, chi segue i clienti, chi governa la supply chain, chi presidia la continuità operativa e chi assume le decisioni strategiche.
È anche per questo che la direttiva attribuisce responsabilità dirette agli organi amministrativi e direttivi. La cybersecurity entra così nella governance dell’impresa e diventa un tema sul quale convergono competenze tecnologiche, organizzative e manageriali.
I fornitori diventano parte della resilienza aziendale
Lo stesso principio vale per i fornitori.
La direttiva dedica un’attenzione crescente alla sicurezza della catena di fornitura, ma il concetto di “fornitore rilevante” non coincide necessariamente con quello di partner economicamente più importante.
Un fornitore diventa strategico quando dalla sua indisponibilità dipende la capacità dell’organizzazione di continuare a erogare un servizio essenziale.
Può trattarsi di un cloud provider, di un gestore di servizi di sicurezza, di un partner che amministra un’infrastruttura critica oppure di una società specializzata nella manutenzione di un sistema industriale.
La rilevanza di un fornitore dipende dal contributo che offre alla continuità dei servizi e delle attività aziendali. È proprio la categorizzazione a rendere evidenti queste dipendenze e a individuare le relazioni che richiedono il livello più elevato di attenzione.
Il 30 giugno non conclude la NIS2
Va sottolineato, una volta di più come la NIS2 introduce un percorso progressivo di costruzione della resilienza.
Le normative vengono generalmente percepite come una successione di scadenze: registrazione, comunicazioni, aggiornamenti, controlli.
La NIS2, invece, assomiglia molto più alla costruzione progressiva di un sistema.
La registrazione ha permesso all’Autorità di individuare i soggetti coinvolti.
La categorizzazione serve ora a comprendere come queste organizzazioni funzionano realmente.
Le prossime fasi riguarderanno invece l’applicazione concreta delle misure di sicurezza, la verifica della loro efficacia e la capacità di dimostrare che le scelte effettuate sono coerenti con il livello di rischio.
È questo il motivo per cui il 30 giugno rappresenta il momento nel quale termina la fase più burocratica della direttiva e comincia quella più impegnativa: trasformare la compliance in un modello permanente di gestione della resilienza.
In fondo, la domanda che la NIS2 pone alle imprese non è se abbiano installato gli strumenti giusti o scritto le policy corrette.
La domanda è molto più semplice e, proprio per questo, molto più difficile: l’organizzazione conosce davvero ciò che è indispensabile per continuare a funzionare quando tutto il resto si ferma?
LEGGI ANCHE: NIS 2, solo il 16% delle aziende si considera conforme
