Introduzione
Addentrarsi e orientarsi nei meandri della cybersecurity non è una cosa facile, ma è diventata una necessità strategica ed imprescindibile a causa dello scenario geopolitico globale. I dati sono considerati un asset strategico ed il legislatore europeo, attraverso la Direttiva NIS2 (Network and Information Security), ha indicato a tutti gli stati membri la via da percorrere per adeguarsi in materia di sicurezza informatica.

Anche in Italia, attraverso la pubblicazione del decreto legislativo n. 138/2024 sulla Gazzetta Ufficiale che di fatto recepisce la Direttiva NIS2, possiamo dire che è iniziata una nuova era nella gestione della sicurezza informatica. Quando si parla di cybersecurity ci si riferisce ad un insieme di tecnologie, processi e misure di protezione progettate per ridurre il rischio di attacchi informatici, ovvero che qualcuno acceda alle informazioni sensibili che custodiamo nei nostri sistemi digitali. Andando oltre la definizione possiamo semplificare affermando che la sicurezza informatica si appoggia su tre elementi portanti: persone, processi e tecnologia.

Iniziamo dalle persone che devono essere sia consapevoli che un comportamento non corretto possa esporre a rischio di minacce informatiche, e sia pronte ad intervenire (i.e. i tecnici specializzati) per contrastare la continua evoluzione dei tentativi di attacco. I processi diventano fondamentali per definire come il flusso delle informazioni è interconnesso e distribuito all’interno di una organizzazione ed, infine, la tecnologia che ha lo scopo di proteggere, prevenire e ridurre il rischio di subire delle violazioni.

Novità della Direttiva NIS2
Gli Stati membri dell’Unione Europea sono obbligati a definire dei piani nazionali di sicurezza informatica. Questi piani devono includere la nomina di autorità di gestione e controllo delle emergenze informatiche, in grado di creare meccanismi di vigilanza e sanzione. In caso di incidenti ritenuti gravi viene richiesta una rapida reazione anche e soprattutto attraverso la collaborazione tra gli Stati membri.

A tal proposito viene introdotta la definizione del CSIRT (Computer Security Incident Response Team), ovvero un team in grado di assistere gli operatori economici monitorando, intercettando, analizzando e rispondendo alle minacce di attacco. La Direttiva NIS2 ridefinisce e amplia le categorie di soggetti in cui viene applicata individuando soggetti essenziali (settori ad alta criticità) e soggetti importanti (altri settori critici), entrambe saranno obbligate a registrarsi sulla piattaforma gestita dalla Agenzia per la Cybersicurezza Nazionale (ACN) I soggetti essenziali sono tutte le organizzazioni pubbliche e private che gestiscono i servizi essenziali per la società e includono, ad esempio, le imprese di produzione e distribuzione dell’energia, i trasporti, le infrastrutture, i servizi bancari e finanziari e la sanità pubblica e privata.

I soggetti importanti (altri settori critici) sono invece individuati nei servizi postali, nella gestione dei rifiuti, la produzione e trasformazione degli alimenti, la ricerca, dispositivi medici e medico diagnostici, la produzione elettronica, la produzione industriale di macchinari, il settore automotive ed i fornitori di servizi digitali. La nuova classificazione introdotta apre le porte anche ad un altro nuovo paradigma strategico: la catena di approvvigionamento e le interdipendenze emergono come un fattore critico dove porre attenzione.

La normativa non si limita più a valutare i rischi delle singole organizzazioni ma estende l’applicabilità anche a tutta la catena che diventa riconosciuta come potenzialmente vulnerabile. Secondo questo nuovo concetto, la sicurezza informatica deve avere l’obiettivo di costruire tutto l’ecosistema secondo una visione integrata, resiliente, estesa e condivisa a tutti gli stakeholder.

La Direttiva NIS2 (Network and Information Security Directive) ha un impatto significativo su un vasto numero di soggetti per rafforzare la resilienza informatica.

ISO27001 non è più sufficiente
Dal punto di vista IT (Information Technology) essere certificati ISO27001, ovvero detenere una certificazione riconosciuta internazionalmente, significa avere un vantaggio nell’iter che porta ad essere conformi ai requisiti della NIS2. Confrontando le novità introdotte dalla nuova NIS2 appare chiaro che ISO27001 da sola non è sufficiente a garantire conformità ed allineamento. Le aziende che avevano scelto di implementare un SGSI (Sistema di Gestione della Sicurezza Informatica) si trovano nelle condizioni di rivalutare l’attuale gap ed adottare nuove misure.

Il fattore positivo è la familiarità con un framework che si basa sul ciclo PDCA (Plan-Do-Check-Act) di Deming e costituisce una base di partenza per affrontare la nuova sfida dettata appunto dalla NIS2. Provando a definire un possibile caso pratico si può ipotizzare che l’integrazione della ISO27001 con la NIS2 possa essere perseguito adattando le procedure, ridefinendo i processi, rimappando l’analisi dei rischi e individuando nuove pratiche di risposta (incident response).

IEC62443 ed il mondo OT
Con la ISO27001, parlare di sicurezza informatica implicava che i sistemi fossero in capo alla funzione IT (Information Technology). Nella realtà vanno considerate anche tutte le applicazioni che hanno a che fare anche con OT (Operation Technology) ed, infatti, la NIS2 con il concetto di Supply Chain include tutti gli aspetti operativi di una organizzazione e li identifica come vulnerabili.

Una risposta a questa esigenza può essere ricercata nella famiglia di standard IEC62443 che è stata sviluppata con l’obiettivo di creare delle linee guida per trasferire ed estendere il paradigma della cybersecurity anche al mondo OT. La Commissione Elettrotecnica Internazionali (IEC) con la IEC 62443 ha sviluppato una serie di standard da applicare alla sicurezza dei sistemi di automazione e controllo industriali (IACS).

Esempi di IACS sono quindi i dispositivi industriali come PLC, HMI e SCADA A differenza della ISO27001, focalizzata sulla sicurezza IT, le parti che compongono la IEC62443 affrontano i relativi aspetti della sicurezza in ambito IACS. Senza scendere nel dettaglio, le 4 diverse macro componenti della IEC62443 sono mirate a creare un approccio security-by-design dove la cybersicurezza viene messa al centro di tutta il ciclo di vita del prodotto o del sistema.

Un altro aspetto molto interessante della IEC62443 è la definizione dei livelli di sicurezza che deve essere identificato e associato a componenti o aree all’interno di un sistema di automazione e controllo industriale: dal livello S1 (bassa sicurezza, bassissimo rischio), passando per S2 ed S3, si arriva al livello S4 in cui la sicurezza è massima in funzione dell’altissimo rischio di attacco e della criticità del processo.

Sinergia normativa necessaria
È evidente che gli incidenti informatici non si verificano più solo in ambito IT ma si stanno sviluppando anche in ambiente OT. Per questa ragione i 2 mondi devono essere sempre più interconnessi e sinergici. La NIS2 identifica delle potenziali carenze nelle organizzazioni che hanno aderito alla ISO27001 e con il paradigma della supply chain implica il ricorso alla IEC62443, la quale offre una ottima base per promuovere appunto le necessarie sinergie.

A margine di questa valutazione emerge, a mio avviso, un aspetto molto critico: l’approccio generalista e non strutturato nell’affrontare un argomento molto delicato, strategico ed impattante non solo sulle pratiche lavorative ma anche nella quotidianità. Se da una parte troviamo chi ha aderito preventivamente alla ISO27001 e chi ha adottato le pratiche security-by-design della IEC62443, dall’altra parte troviamo troppe organizzazioni che hanno ignorato l’importanza di questo argomento.

Purtroppo, sia in ambito industriale e sia in quello governativo, siamo in un contesto in cui la sfida tra “sicurezza” ed “economia” passa anche per la sicurezza informatica e gli stakeholder che sono “rimasti al palo” rischiano di esporre tutta la catena a rischi. La tecnologia rimane sia un supporto allo sviluppo industriale ma anche uno strumento di offesa e attacco. Nessuno dovrebbe dimenticare questo aspetto e continuare ad adeguarsi e camminare in avanti, con la consapevolezza dei rischi esistenti.