LET’S TALK & CONNECT

Conto alla rovescia per l’entrata in vigore del modello organizzativo in materia di NIS2. Entro il 31 dicembre i destinatari della norma dovranno adottare politiche e procedure per essere in grado di notificare le perturbazioni operative avendo a monte effettuato la gestione del rischio.

Le recenti disposizioni dell’Autorità Nazionale in materia di cybersicurezza hanno elencato in modo molto chiaro gli ambiti di intervento sui quali ogni azienda ed ente destinatario della norma dovrà provvedere a confrontarsi a stabilire sia politiche che procedure andando poi a completare l’adeguamento entro ottobre del 2026 con l’adozione delle misure tecnologiche prescritte dal legislatore o adottate sulla base del principio di accountability.

Un primo ambito di intervento che dovrà essere affrontato dai destinatari dell’adeguamento, riguarda i ruoli e le responsabilità di coloro che si troveranno a gestire la norma all’interno della propria realtà organizzativa. Se da una parte il legislatore ha imposto l’individuazione e la nomina del punto di contatto e del suo sostituto, dall’altra appare logico come ciascuna entità giuridica debba inquadrare altri soggetti che dovranno coadiuvare tali figure sotto il profilo della gestione formativa, con riferimento alle misure di sicurezza tecnologiche e certamente sulla base delle competenze inerenti la gestione della catena di approvvigionamento con particolare riferimento ai fornitori critici. Costruire un organigramma NIS2  deve costituire il punto di partenza pratico per andare a stabilire le competenze e le specifiche responsabilità di ciascun soggetto che debba contribuire all’attuazione della norma all’interno dell’organizzazione destinataria. Ciò consente di poter andare a stabilire anche il flusso comunicativo non solo tra il punto di contatto e il board ma anche tra questi ed ACN.

Gli altri punti della determina si concentrano sulla gestione dei rischi, degli asset, delle vulnerabilità sino a toccare tematiche come la continuità operativa, il ripristino in caso di disastro ed ovviamente il monitoraggio degli eventi di sicurezza. La gestione del rischio non può essere affrontata senza la costruzione di politiche e procedure di sicurezza informatica documentate tanto che ciascuna entità organizzativa dovrà essere in grado di dimostrare non solo di aver realizzato tali documenti ma di averli calati nella propria realtà ed averne consentito l’adozione pratica ed effettiva da parte degli operatori. Allo stato attuale nell’applicazione pratica della norma, qualche preoccupazione la destra la gestione della catena di approvvigionamento dei fornitori critici.

Nella definizione delle attività connesse alla catena di approvvigionamento, troviamo questo passaggio “I processi di gestione del rischio di cybersecurity della catena di approvvigionamento sono identificati, stabiliti, gestiti, monitorati e migliorati dagli stakeholder dell’organizzazione.” In sostanza ogni organizzazione dovrà essere in grado di gestire i rischi connessi alla supply chain con particolare riferimento ai fornitori cosiddetti critici. Per procedere ad applicare idoneamente la norma il primo passaggio è l’identificazione dei fornitori critici che in molte realtà non è di facile rilievo perché ovviamente possono rientrare tutti i fornitori in ambito ICT ma anche quelli che collegandosi alla rete aziendale potrebbero andare a generare delle vulnerabilità.

La mappatura pertanto è un passaggio fondamentale che spesso necessita della compartecipazione non solo dei sistemi informativi ma anche dell’ufficio acquisti o delle singole direzioni laddove l’acquisizione del fornitore sia rimessa a più aree. Una volta mappati i fornitori si deve procedere alla valutazione dei rischi informatici andando ad integrare questi rischi nel proprio piano di sicurezza. Lo strumento principale mediante il quale l’organizzazione destinataria della norma possa agire sui fornitori è ovviamente rappresentato dalle clausole contrattuali che dovranno garantire non solo la sicurezza delle informazioni e ridurre i rischi derivanti da perturbazioni operative, ma anche includere controlli e audit che dovranno essere effettuati dal soggetto che applica la NIS2. Questo implica ovviamente l’organizzazione di un sistema di monitoraggio continuo dei fornitori attivi sia attraverso procedure che garantiscano tale monitoraggio sia attraverso meccanismi contrattuali che in caso di inadeguatezza consentano di rivalutare la posizione del fornitore.

Quindi alla luce di quanto appena descritto, la grande corsa entro fine anno non sarà rivolta soltanto a generare documenti ragionati e realizzati sulla base dell’effettivo flusso organizzativo interno ma dovrà riguardare anche soggetti terzi. Le azioni pertanto da porre in essere  per la conformità non sono decisamente banali ma sono oggettivamente lo sviluppo inevitabile di un sistema organizzativo che debba monitorare i propri rischi rispetto alla cyber sicurezza con razioncinio e con una visione di insieme dei rischi.