NIS2, come mappare attività e servizi nelle macro-aree ACN

Introduzione

La categorizzazione delle attività e dei servizi richiesta nel quadro NIS2 serve a collegare processi, sistemi ICT e funzioni aziendali alle macro-aree ACN. Il corretto livello di dettaglio evita elenchi ingestibili e consente una base più solida per il risk assessment.

Il contesto normativo

L'entrata in vigore del recepimento italiano della Direttiva NIS2, consolidato nel Decreto Legislativo 138/2024, ha spostato l’asse della compliance aziendale da una logica puramente perimetrale a una prettamente funzionale. In questo nuovo scenario normativo, il processo di “categorizzazione” delle attività e dei servizi svolti dall’organizzazione non rappresenta un mero adempimento formale, bensì il pilastro operativo su cui edificare l’intera postura di sicurezza cyber. La norma impone un cambio di paradigma: non è più sufficiente proteggere l’infrastruttura in quanto tale, ma è necessario declinare i presidi di sicurezza in funzione della criticità dei servizi aziendali. Il punto di partenza è la creazione di una sorta di “inventario delle attività e dei servizi”.

Il perimetro da considerare

Il perimetro delle attività e dei servizi da prendere in considerazione deve rispondere contemporaneamente a tre specifiche declinazioni logico-operative:

• L’attività deve essere operativa, svolta fisicamente nell’azienda o da fornitori;
• Deve essere abilitata attraverso l’utilizzo di sistemi ICT;
• Deve rientrare nell’ambito delle macro-aree definite da ACN (Agenzia per la Cybersicurezza Nazionale).

Un potenziale punto di confusione

Un punto di potenziale confusione per i compliance manager riguarda la demarcazione tra la mappatura delle attività e la parallela individuazione della catena di fornitura. Mentre il processo di scrutinio dei “fornitori critici” richiede di censire e comunicare ad ACN anche la filiera non propriamente ICT (come i fornitori di logistica fisica, manutenzione impianti o vigilanza), la categorizzazione NIS2 si focalizza in modo stringente ed esclusivo sulle attività supportate da sistemi ICT.

Assegnazione responsabilità

Tale attività, con molta probabilità, ricadrà sui CISO e i responsabili IT, che dovranno avvalersi della collaborazione dei responsabili di funzione, pertanto, è necessario creare un gruppo di lavoro.

Materiale preesistente

Talune organizzazioni possono utilizzare elenchi predisposti anche per altri fini come mansionari operativi o, ancor meglio, i registri dei processi derivanti dalla Business Impact Analysis (BIA) nell’ambito della Business Continuity.

Due approcci metodologici

Per le realtà che devono strutturare la mappatura ex novo, le indicazioni metodologiche ufficiali fornite dall’Agenzia per la Cybersicurezza Nazionale (ACN) delineano due approcci speculari:

• L'approccio top-down, che parte dall’elenco ufficiale delle macro-aree ACN e richiede di mappare le attività in esse inclusi;
• L'approccio bottom-up, che parte dagli asset ICT disponibili e ricostruisce retrospettivamente le attività e i servizi da essi supportati.

Tenuto conto che la responsabilità di condurre questa ricognizione viene demandata alle funzioni IT, l’approccio bottom-up si rivela il più immediato, concreto e meno incline a errori di omissione tecnica.

Risultato finale

L’obiettivo finale dovrebbe essere quello di strutturare un elenco in grado di legare univocamente la catena logica: Attività/Servizio – Sistemi ICT impiegati (strumenti) – Funzione aziendale abilitante (risorse umane).

Raccomandazioni per la classificazione

In fase di definizione delle modalità di catalogazione risulta particolarmente utile far riferimento alle 10 macro-aree ACN e alle relative descrizioni. Ricordiamo che le 10 macro-aree sono:

• Territorio e Protezione Civile;
• Transizione Energetica e Ambiente;
• Trasporti;
• Comunicazioni;
• Energia;
• Finanza;
• Sanità e Cura della Persona;
• Educazione;
• Industria;
• Spettacolo, Cultura e Media.

Un ulteriore aspetto problematico è quello di definire il livello di dettaglio delle attività (l’errore più comune è l’eccesso di frammentazione). Mappare ogni singola sotto-attività rischia di generare un elenco complesso, impossibile da mantenere aggiornato e disfunzionale in fase di risk assessment.

Aggregazione delle attività

L’indicazione operativa è quella di aggregare e considerare unitariamente le attività che soddisfano contemporaneamente tre requisiti di omogeneità:

• Condivisione di strumenti ICT;
• Condivisione di processi e responsabili;
• Banca dati e archivio comuni.

Si tenga conto che qualora un’attività o un servizio sia riconducibile a più macro-aree è necessario procedere a una ulteriore scomposizione, al fine di attribuirla alla propria macro-area. In molte situazioni è presente in azienda un unico applicativo che gestisce più attività ricadenti in due o più macro-aree che teoricamente potrebbe essere accorpate che non risulta possibile in base alle indicazioni ACN.

Relevanza e misure di sicurezza

Comunque, al di fuori degli aspetti obbligatori previsti da ACN, è consigliabile evitare elenchi particolarmente laboriosi, soprattutto a parità di rischio e di infrastruttura applicata.

L’allegato 1 e 2 che definisce le macro-aree indica anche la “categoria di rilevanza”, ossia la valutazione dell’impatto che viene definita con la scala: alto, medio, basso e minimo.

Per le macro-aree ad impatto medio e alto ACN provvederà ad elaborare delle ulteriori misure di sicurezza definite come “misure di lungo periodo”.

Conclusione

In conclusione, la categorizzazione richiesta da ACN non è un semplice adempimento documentale e burocratico, ma rappresenta il primo mattone di un risk assessment efficace. Un elenco delle attività ben fatto è utile anche ad altri fini, come la privacy, se collegato al trattamento dei dati personali.