Valutazione del rischio NIS2: Un quadro strutturato per identificare e dare priorità alle sue lacune informatiche.

L'articolo 21 del NIS2 prevede che le entità essenziali e importanti adottino un approccio alla cybersecurity basato sul rischio. Ma la direttiva non prescrive una metodologia specifica. Le organizzazioni devono scegliere e implementare un quadro adeguato alle loro dimensioni, alla loro esposizione e al loro settore. Questa guida presenta una metodologia strutturata in sei fasi, allineata alla norma ISO 27005:2022 (Gestione dei rischi per la sicurezza delle informazioni) e alla guida ENISA, su misura per le organizzazioni soggette al NIS2.

Perché un quadro strutturato è importante

Le misure di sicurezza ad hoc, per quanto ben intenzionate, non soddisfano lo standard NIS2. L'Articolo 21 richiede misure appropriate e proporzionate, il che implica una motivazione documentata per ogni decisione di sicurezza. Un quadro strutturato di valutazione del rischio fornisce tale motivazione. Assicura che le risorse siano assegnate ai rischi a più alto impatto, che i rischi residui siano consapevolmente accettati dalla direzione e che la conformità possa essere dimostrata alle autorità di vigilanza.

Il quadro qui presentato segue sei fasi sequenziali. Ogni fase produce dei risultati documentati che confluiscono nella successiva, creando un processo di gestione del rischio completo e verificabile.

Fase 1: Identificazione e valutazione delle attività

Prima di poter valutare il rischio, deve sapere cosa sta proteggendo. L'identificazione delle risorse crea un inventario completo delle risorse informative, dei sistemi di rete e informativi e dell'infrastruttura di supporto nell'ambito del suo NIS2.

Categorie di beni da inventariare:

• Beni informativi: database dei clienti, proprietà intellettuale, registri dei dipendenti, dati finanziari, dati operativi.
• Beni hardware: server, postazioni di lavoro, apparecchiature di rete, dispositivi IoT, dispositivi mobili.
• Risorse software: sistemi operativi, applicazioni, middleware, firmware
• Risorse di rete: Infrastruttura LAN/WAN, firewall, VPN, connettività cloud
• Beni di servizio: servizi cloud, piattaforme SaaS, servizi gestiti, API di terze parti.
• Personale: ruoli chiave e relativi livelli di accesso

Ogni asset deve essere valutato in base alla sua criticità per le sue operazioni e alla sensibilità dei dati che contiene. La ISO 27005 raccomanda di assegnare un valore di impatto aziendale (ad esempio, basso, medio, alto, critico) in base alle potenziali conseguenze di una compromissione della riservatezza, dell'integrità e della disponibilità.

Passo 2: Analisi delle minacce

L'analisi delle minacce identifica le fonti e gli eventi potenziali che potrebbero compromettere le sue risorse. Le minacce possono essere classificate come:

• Deliberati: attacchi informatici mirati, ransomware, minacce interne, spionaggio, hacktivismo.
• Accidentale: errore umano, configurazioni errate, bug del software, guasti dell'hardware.
• Ambiente: disastri naturali, interruzioni di corrente, interruzioni della catena di approvvigionamento

Utilizzi le fonti di intelligence sulle minacce per calibrare la sua analisi. L'ENISA pubblica ogni anno il rapporto Threat Landscape, che identifica le principali minacce per le organizzazioni europee. Gli ISAC (Centri di condivisione e analisi delle informazioni) specifici del settore forniscono informazioni rilevanti per l'industria. La sua analisi deve prendere in considerazione sia la probabilità di ogni minaccia che le capacità degli attori interessati.

Passo 3: Valutazione della vulnerabilità

La valutazione delle vulnerabilità identifica i punti deboli dei suoi sistemi, processi e controlli che potrebbero essere sfruttati dalle minacce identificate nel passaggio 2. Questo include:

• Vulnerabilità tecniche: software senza patch, configurazioni deboli, porte aperte, crittografia mancante.
• Vulnerabilità organizzative: politiche di sicurezza inadeguate, formazione insufficiente, responsabilità poco chiare.
• Vulnerabilità fisiche: controlli di accesso inadeguati, mancanza di protezione ambientale.
• Vulnerabilità della catena di approvvigionamento: software di terze parti non verificato, API insicure, pratiche di sicurezza deboli dei fornitori.

Gli strumenti di scansione automatica delle vulnerabilità forniscono una linea di base, ma devono essere integrati da test manuali (test di penetrazione) e da revisioni dei processi. L'Articolo 21(2)(e) del NIS2 richiede specificamente capacità di gestione e divulgazione delle vulnerabilità.

Passo 4: Analisi dell'impatto

Per ogni coppia plausibile minaccia-vulnerabilità, valutare l'impatto potenziale se il rischio si concretizza. L'impatto deve essere valutato su più dimensioni:

• Impatto operativo: interruzione del servizio, tempi di recupero, perdita di funzionalità critiche.
• Impatto finanziario: costi diretti (risposta all'incidente, bonifica), costi indiretti (perdita di entrate, penali contrattuali).
• Impatto normativo: Sanzioni NIS2 (fino a 10 milioni di euro o al 2% del fatturato per le entità essenziali), multe GDPR se sono coinvolti dati personali.
• Impatto sulla reputazione: fiducia dei clienti, esposizione ai media, posizionamento competitivo.
• Impatto sulla sicurezza: danno fisico (rilevante per i settori della sanità, dell'energia, dei trasporti)

Utilizzare una scala di impatto coerente (ad esempio, trascurabile, minore, moderato, maggiore, catastrofico) con criteri definiti per ogni livello. Questo assicura la comparabilità tra i rischi e supporta la definizione delle priorità.

Fase 5: Valutazione del rischio e definizione delle priorità

Il rischio è la combinazione della probabilità che una minaccia sfrutti una vulnerabilità e l'impatto nel caso in cui lo faccia. Utilizzi una matrice di rischio per tracciare ogni rischio identificato:

Livello di rischio = Probabilità x Impatto. Classificare i rischi come: Critico (è necessaria un'azione immediata), Alto (è necessaria un'azione entro tempi definiti), Medio (monitorare e programmare la riparazione), Basso (accettare o monitorare).

La fase di valutazione del rischio è il momento in cui la responsabilità gestionale ai sensi dell'Articolo 20 del NIS2 diventa concreta. L'organo di gestione deve rivedere e approvare formalmente la valutazione del rischio, accettando i rischi residui con piena consapevolezza delle loro potenziali conseguenze.

Fase 6: Pianificazione del trattamento del rischio

Per ogni rischio superiore alla propensione al rischio definita dalla sua organizzazione, selezioni un'opzione di trattamento:

• Mitigare: Implementare controlli per ridurre la probabilità o l'impatto (il trattamento più comune).
• Trasferimento: Spostare il rischio a una terza parte, in genere attraverso l'assicurazione cyber o l'outsourcing a un fornitore specializzato.
• Evitare: Eliminare il rischio interrompendo l'attività che lo genera.
• Accettare: Accettare consapevolmente il rischio quando i costi del trattamento superano l'impatto potenziale (deve essere documentato e approvato dalla direzione).

Per ogni controllo di mitigazione, documenti la riduzione del rischio prevista, la tempistica di implementazione, il proprietario responsabile e i requisiti di risorse. Questo diventa il suo piano di trattamento dei rischi, un documento vivo che guida gli investimenti e le priorità della sua cybersecurity.

Struttura del registro dei rischi

Il registro dei rischi è l'artefatto centrale della sua valutazione dei rischi. Dovrebbe contenere i seguenti campi per ogni rischio identificato:

• ID rischio: Identificatore univoco
• Attività: l'attività o le attività a rischio.
• Minaccia: La fonte della minaccia e l'evento
• Vulnerabilità: La debolezza che viene sfruttata
• Controlli esistenti: Misure attuali già in atto
• Probabilità: Probabilità valutata (ad esempio, scala 1-5).
• Impatto: Conseguenza valutata (ad esempio, scala 1-5)
• Livello di rischio intrinseco: Prima del trattamento aggiuntivo
• Opzione di trattamento: Mitigare, trasferire, evitare o accettare.
• Controlli previsti: Misure aggiuntive da implementare
• Livello di rischio residuo: Dopo il trattamento pianificato
• Proprietario del rischio: persona responsabile della gestione di questo rischio.
• Data di revisione: prossima rivalutazione programmata

Allineamento con la ISO 27005 e la Guida ENISA

Questa metodologia in sei fasi è strettamente allineata con la norma ISO 27005:2022, che fornisce il quadro di riferimento per la gestione del rischio di sicurezza delle informazioni all'interno di un sistema di gestione ISO 27001. Le organizzazioni che perseguono la certificazione ISO 27001 scopriranno che una valutazione del rischio ben eseguita secondo questa metodologia soddisfa i requisiti della Clausola 6.1.2 della ISO 27001.

L'ENISA ha pubblicato diverse risorse di supporto, tra cui la Guida all'implementazione di NIS2 e il Quadro di gestione del rischio interoperabile. Queste risorse forniscono scenari di rischio specifici per il settore, cataloghi di minacce e mappature dei controlli che possono essere utilizzati per accelerare la valutazione del rischio.

Miglioramento continuo

Una valutazione del rischio non è un esercizio puntuale. L'Articolo 21(2)(f) di NIS2 richiede politiche e procedure per valutare l'efficacia delle misure di gestione del rischio di cybersecurity. Ciò significa che:

• Rivaluta i rischi almeno annualmente e dopo qualsiasi cambiamento significativo (nuovi sistemi, cambiamenti organizzativi, minacce emergenti).
• Monitorare l'efficacia dei controlli implementati attraverso KPI e metriche di sicurezza.
• Conduca esercitazioni e simulazioni su tavolo per testare i suoi scenari di rischio.
• Aggiornare regolarmente gli input dell'intelligence sulle minacce
• Riferire i risultati della valutazione del rischio alla direzione come parte del ciclo di governance NIS2.

Una valutazione del rischio strutturata, documentata e regolarmente aggiornata non è solo un esercizio di conformità. È la base di un programma di cybersecurity efficace che protegge la sua organizzazione, i suoi clienti e la sua posizione competitiva in un panorama di minacce sempre più ostile.