AS2_2025

Automazione e Strumentazione Marzo 2025 Tecnica 89 CONTROLLO Gli organi di amministrazione e gli organi diret- tivi dei soggetti essenziali e importanti sono tenuti a seguire una formazione in materia di sicurezza informatica e devono promuovere l’offerta periodica di una formazione coerente ai loro dipendenti, per favorire l’acquisizione di conoscenze e competenze sufficienti al fine di individuare i rischi e valutare le pratiche di gestione dei rischi per la sicurezza informatica e il loro impatto sulle attività del soggetto e sui servizi offerti. Avviene quindi un cambio di paradigma, dove l’incidente cyber non viene più considerato un problema che l’IT manager (o il CISO) deve sbrogliare da solo ma un problema aziendale che tutti, manager in prima fila, devono affrontare. 2.5 Gestione del rischio A tal fine, per la gestione dei rischi, l’articolo 24 del decreto prescrive un approccio multi-rischio, per cui i soggetti essenziali e importanti devono adottare “misure tecniche, operative e organiz- zative adeguate e proporzionate, alla gestione dei rischi posti alla sicurezza dei sistemi infor- mativi e di rete” sia per le proprie attività che per evitare danni a terzi. I pilastri di questo approccio sono riepilogabili in: adeguatezza e proporzionalità . Adeguatezza ai rischi esistenti, allo stato dell’arte, alle norme nazionali e internazionali e ai costi di attuazione. Proporzionalità al grado di esposizione ai rischi del soggetto, alle dimensioni, alla probabilità che si verifichino incidenti, alla loro gravità, compreso il loro impatto sociale ed economico. La direttiva si spinge a delineare in modo molto specifico come questi principi devono essere messi a terra e possono essere letti chiaramente all’articolo 24 del decreto ma, in questo conte- sto, preferirei soffermarmi su alcuni punti che ritengo fondamentali. In primo luogo, la valutazione dei rischi e di quella che viene definita la postura aziendale in termini di sicurezza informatica. L’assesment dei sistemi informativi e di rete è il primo passo necessario per guadagnare consapevolezza delle criticità e della esposizione; negli ambienti produttivi, dove si mescolano attrezzature nuove con macchinari che possono funzionare solo con sistemi opera- tivi obsoleti, un’analisi di questo tipo porta a galla molto spesso situazioni di cui l’IT manager non era assolutamente a conoscenza. Il secondo pilastro è la gestione degli incidenti perché, anche in un ambiente perfetto, non si può impedire che avvenga un incidente e serve un team di risposta rapida che sia in grado di garantire la continuità operativa (backup, ripri- stino). Terzo e fondamentale, la sicurezza della catena di approvvigionamento, soprattutto per quanto riguarda i servizi digitali. A tale proposito pos- siamo utilizzare il “Framework nazionale per la cybersecurity e la data protection”, nella sezione che tratta del “Supply Chain Risk Management (ID.SC )” La gestione del rischio della supply chain si fa identificando e valutando i fornitori tramite un processo di valutazione del rischio e utilizzando i contratti per rispettare gli obiettivi del piano di gestione del rischio; tali obblighi contrattuali vanno verificati regolarmente. In questo frangente le piccole e micro imprese, che erano state lasciate fuori dal perimetro di attuazione Nis, vengono invece coinvolte perché inserite nella catena di approvvigionamento. Per loro gli obblighi non saranno più definiti dalla legge ma direttamente dai contratti sottoscritti con i propri clienti. Della formazione si è già parlato, estesa anche ai livelli manageriali, mentre non bisogna dimen- ticare la sicurezza e affidabilità del personale e le politiche di controllo dell’accesso, dove solu- zioni di autenticazione a più fattori possono essere necessarie. 2.6 Quadro normativo di riferimento Al fine di dimostrare il rispetto degli obblighi di gestione dei rischi di cybersicurezza, la Diret- tiva UE prevede che gli Stati membri possono imporre l’utilizzo di determinati prodotti, servizi e processi, che siano in possesso di idonee certi- ficazioni. ENisA, ente europeo per la sicurezza informatica, ha già preparato una prima guida per l’implemen- tazione della Nis2, dove, in maniera molto utile, aggancia i requisiti della direttiva alle principali norme europee sulla cybersecurity; tra queste, trova rilievo la ISO/IEC 27001, standard interna- zionale per la gestione della sicurezza delle infor- mazioni. La direttiva Nis2 impattando soprattutto i settori industriali (OT) nella sua attuazione si incrocerà sicuramente con la norma ISO/IEC 62443, serie internazionale di standard che affrontano la sicu-