Direttiva NIS2, come adeguarsi con il quadro nazionale per la cybersicurezza?

Il Quadro Nazionale per la Cybersicurezza: Una Guida Indispensabile per la Conformità NIS2

Lo scenario italiano della sicurezza informatica ha sperimentato una significativa evoluzione con la pubblicazione della versione 2.1 del Quadro di riferimento nazionale per la sicurezza cibernetica e la protezione dei dati (FNCDP v2.1). Questo documento, reso accessibile al pubblico nel 2025, assume un ruolo cruciale in quanto strumento di riferimento per l’armonizzazione con la Direttiva NIS2 e il decreto legislativo italiano n. 138 del 4 settembre 2024, che ha convertito la direttiva europea nel sistema legislativo nazionale. L’Agenzia per la Cybersicurezza Nazionale (ACN) designa esplicitamente questo schema come la “via maestra” per le aziende che devono soddisfare le rigide misure di protezione richieste dalla NIS2.

Struttura e Funzioni del FNCDP v2.1

Il FNCDP v2.1 rappresenta, in sostanza, una rielaborazione e un adattamento del NIST Cybersecurity Framework (CSF) v2.0. Sebbene mantenga un’impostazione operativa, introduce alcune modifiche significative. La principale è l’estensione delle “Funzioni” da cinque a sei, ognuna contrassegnata da un verbo che ne riassume il contenuto:

Govern (GV): Gestire
Identify (ID): Individuare
Protect (PR): Tutelare
Detect (DE): Investigare
Respond (RS): Rispondere
Recover (RC): Ripristinare

Queste funzioni organizzano le attività di cybersicurezza in una sequenza temporale rispetto agli incidenti informatici, comprendendo le fasi di prevenzione (Identify e Protect), identificazione (Detect) e intervento (Respond e Recover). L’importanza della funzione Gestire (GV) risiede nella sua capacità di modellare la maniera in cui una struttura concretizza le altre cinque funzioni.

Ogni funzione è ulteriormente suddivisa in categorie e sottocategorie, che rappresentano i controlli specifici da implementare. Nel FNCDP v2.1, la funzione “Identify” (ID) include una categoria supplementare, “Data Management” (DP-ID. DM), con cinque sottocategorie focalizzate sulla riservatezza dei dati e in linea con il GDPR. Complessivamente, il FNCDP v2.1 include 23 categorie e 114 sottocategorie, così ripartite:

Govern (GV): 32 sottocategorie
Identify (ID): 28 sottocategorie
Protect (PR): 22 sottocategorie
Detect (DE): 10 sottocategorie
Respond (RS): 14 sottocategorie
Recover (RC): 8 sottocategorie

Utilizzo del File Excel e Riferimenti Informativi

Il FNCDP v2.1 è disponibile in formato Excel, facilitando la consultazione e l’attuazione. Il file è strutturato in quattro colonne: Function, Category, Subcategory e Informative References. Quest’ultima colonna riporta i documenti di riferimento per ogni sottocategoria, fornendo informazioni dettagliate sui controlli da mettere in atto. Tra i riferimenti si trovano:

CCMv4.0 (Cloud Security Alliance)
CRI Profile v2.0 (Cyber Risk Institute)
NIST SP 800-53 Rev 5.1.1
ISO/IEC 29100:2011
ISO/IEC 29151:2017
ISO/IEC 27018:2014
CIS Controls v8.0 GDPR

La consultazione di questi riferimenti consente di comprendere e applicare i controlli indicati nel Framework con un livello di dettaglio maggiore.

Evoluzione Storica e Contesto Normativo

Il FNCDP italiano affonda le sue radici nel NIST CSF del 2014. Il primo documento italiano, il “2015 Italian Cyber Security Report”, è stato reso pubblico nel 2016. Nel 2019, è stata diffusa la versione 2.0 del FNCDP, basata sull’aggiornamento del NIST CSF alla versione 1.1. Il FNCDP è stato adoperato come strumento di verifica per le realtà italiane soggette alla Direttiva NIS (UE) 2016/1148, recepita con il D. Lgs. n. 65 del 18 maggio 2018. Lo sviluppo prosegue con la divulgazione del NIST CSF 2.0 nel febbraio 2024, che ha originato la recente versione 2.1 del FNCDP.

La Direttiva NIS2 mette in risalto la rilevanza della governance nella cybersicurezza, come specificato nell’Articolo 20. La pubblicazione del FNCDP v2.1, in simultanea con la Direttiva NIS2, evidenzia l’importanza di un approccio strutturato e coordinato alla protezione informatica.

Verso un Ecosistema Digitale Resiliente: Implementazione e Adeguamento

La pubblicazione della Determinazione n. 164179 da parte dell’ACN, che stabilisce le specifiche tecniche di base per l’ottemperanza agli obblighi del decreto NIS2, costituisce un passo imprescindibile. Tale determinazione fa riferimento al FNCDP v2.1 come strumento di ausilio per le organizzazioni pubbliche e private nella definizione delle “misure di sicurezza di base”.

La determinazione è corredata da quattro allegati tecnici:
Allegato 1: Misure di sicurezza di base per i soggetti importanti
Allegato 2: Misure di sicurezza di base per i soggetti essenziali
Allegato 3: Specifiche per gli incidenti significativi di base per i soggetti importanti
Allegato 4: Specifiche per gli incidenti significativi di base per i soggetti essenziali

Questi allegati offrono un manuale operativo per le realtà organizzative, raggruppando le misure in funzioni, categorie, sottocategorie e requisiti, in linea con il Framework Nazionale.

La determinazione stabilisce tempistiche precise per l’adeguamento: 18 mesi dalla notifica di inserimento nell’elenco dei soggetti NIS per l’adozione delle misure di protezione e 9 mesi per l’attivazione dei meccanismi di notifica degli incidenti significativi.

Una particolare attenzione è rivolta ai gestori di registri dei nomi di dominio e ai fornitori di servizi di registrazione, i quali dovranno conformarsi alle disposizioni dell’articolo 29 del decreto NIS entro 18 mesi dalla notifica.

La determinazione prevede regimi transitori per garantire la continuità operativa, considerando le normative precedenti (NIS1, Perimetro di Sicurezza Nazionale Cibernetica, obblighi per gli operatori di telecomunicazioni).
Per i soggetti inclusi nel campo di applicazione del decreto NIS2, è essenziale:

Verificare la classificazione (soggetto “essenziale” o “importante”)
Analizzare il divario tra le misure esistenti e quelle richieste
Sviluppare un piano di adeguamento
Aggiornare i protocolli di notifica degli incidenti
Coinvolgere gli organi di amministrazione e direttivi

Oltre la Conformità: Una Riflessione sulla Cybersecurity come Valore Fondamentale

L’aderenza normativa, benché rappresenti un imperativo, non deve costituire l’unico traguardo. La cybersicurezza necessita di essere integrata nel tessuto aziendale, divenendo un principio cardine. Gli organi di gestione devono essere coinvolti attivamente, comprendendo i rischi e le opportunità associate alla sicurezza informatica.

Dal punto di vista legale, è essenziale comprendere la differenza tra obbligazioni di mezzi e obbligazioni di risultato. Nel contesto della cybersecurity, le organizzazioni sono tenute ad adottare tutte le misure ragionevolmente necessarie per proteggere i propri sistemi (obbligazione di mezzi), ma non possono garantire l’assenza assoluta di incidenti (obbligazione di risultato).

Un concetto legale avanzato applicabile è quello della due diligence. Le organizzazioni devono dimostrare di aver agito con la dovuta diligenza nell’implementazione delle misure di sicurezza, tenendo conto delle migliori pratiche e degli standard di settore.
In definitiva, la cybersecurity non è solo una questione di conformità, ma una responsabilità condivisa. Ogni individuo, all’interno e all’esterno dell’organizzazione, deve essere consapevole dei rischi e contribuire a creare un ecosistema digitale più sicuro e resiliente. La sfida è trasformare la paura degli attacchi informatici in un’opportunità per innovare e costruire un futuro digitale più prospero e sicuro per tutti.

—–
Rielaborazioni delle frasi richieste:
riguarda il quadro di riferimento nazionale per la cybersicurezza e la protezione dei dati, FNCDP v