L’Enisa mappa ruoli chiave e competenze per adempiere agli obblighi NIS 2

Enisa: la mappa degli obblighi e e competenze NIS 2

Il recepimento nazionale della direttiva Nis 2, tuttora in corso, interessa decine di migliaia di soggetti – quasi il 90% secondo le stime della stessa Enisa – in tutta la Ue, chiamati ad adeguarsi ai nuovi adempimenti di legge.

Così la direttiva ha generato nuove esigenze di personale, escluse le aziende già strutturate.

Per le organizzazioni, in particolare per le piccole medie imprese, sta rappresentando una sfida importante tradurre gli obblighi legali in compiti chiari e attuabili per la propria forza lavoro.

Del resto, per garantire la conformità alla direttiva NIS 2 non basta la legge, ma occorrono anche le giuste condizioni, affinché la legislazione stessa possa essere messa efficacemente in pratica.

Dal canto loro, le Autorità competenti sono chiamate a “tradurre gli obblighi normativi in politiche chiare, iniziative di sviluppo delle capacità e strategie per la forza lavoro che consentano sia al settore pubblico che a quello privato di soddisfare i requisiti di sicurezza informatica”.

Per contribuire a superare queste sfide, ecco che l’Enisa ha elaborato queste linee guida pratiche e utili a fornire il corretto “orientamento sulle competenze e i ruoli dei professionisti della cibersicurezza necessari per soddisfare efficacemente tali requisiti giuridici”, come si legge nel documento.

L’Ecsf è, invece, il quadro di riferimento della UE per la “definizione e la valutazione delle competenze in materia di cibersicurezza per i professionisti”, come descritto nella comunicazione sull’Accademia delle competenze in materia di cibersicurezza.

I vantaggi della mappatura di Enisa sugli obblighi NIS 2

La guida di Enisa rappresenta una mappatura dettagliata degli obblighi delineati dalla NIS 2 e dei profili di ruolo dell’Ecsf, concentrandosi esclusivamente sui soggetti essenziali e importanti contemplati dalla direttiva stessa.

Ogni ruolo è mappato nei suoi compiti specifici, affinché le organizzazioni comprendano quali capacità del personale siano necessarie per adempiere positivamente a tali obblighi.

Ecco i vantaggi:

• una maggiore responsabilità e governance, chiarendo i ruoli e i compiti chiave, in modo tale da consentire all’alta dirigenza di supervisionare in modo più efficace l’effort nella conformità alla sicurezza informatica, grazie a una leadership pienamente consapevole e all’accountability;
• piramide organizzativa ottimizzata che favorisca una struttura chiara, grazie alla definizione di quali attività esternalizzare, a una semplificazione delle operazioni di sicurezza informatica, e al continuo miglioramento dell’efficienza complessiva nella gestione dei rischi informatici;
• chiarezza dei ruoli al fine di (poter) soddisfare i requisiti NIS 2 e in linea con i relativi obblighi, garantendo che ogni membro del team comprenda i propri specifici compiti;
• risposte e segnalazioni degli incidenti semplificate onde promuovere un approccio strutturato alla gestione degli incidenti, ottenendo una gestione più rapida ed efficiente degli eventi di sicurezza, anche grazie alla reportistica tempestiva e conforme;
• allineamento delle attività con i requisiti della direttiva, grazie a ruoli/compiti personalizzati, per soddisfare gli obblighi NIS 2, riducendo al minimo le eventuali ambiguità;
• sviluppo mirato della forza lavoro, facendo uso di certificazioni già allineate con il quadro Ecsf.

Per ulteriori dettagli, si rimanda direttamente alla sezione specifica del Report (4) dell’Enisa che, attraverso una strutturata tabella, e per ciascun profilo di ruolo Ecsf, descrive bene le principali responsabilità, obblighi, risultati e potenziali collaborazioni NIS 2 con altri profili di ruolo Ecsf, organizzati in articoli Nis 2 pertinenti.

I ruoli Ecsf come leva strategica della mappatura dei profili

I ruoli dell’Ecsf aiutano le autorità nazionali competenti di settore/materia (per esempio, l’Acn) a tradurre i riferimenti giuridici in responsabilità pratiche, ottenendo una pianificazione strategica della forza lavoro e capacity building.

Ancora, la mappatura dei profili di ruolo Ecsf, se, da un lato, rappresenta un semplice strumento per le organizzazioni che lavorano per la conformità NIS 2 e pratiche di sicurezza informatica più solide, dall’altro, è una risorsa preziosa per gli Stati membri.

Utilizzando, infatti, una metodologia di mappatura, ecco che appaiono più chiari i ruoli e le responsabilità.

Obblighi NIS 2: focus su misure di gestione dei rischi e oneri di comunicazione

Facciamo ora un focus sui tanti requisiti che l’Enisas stessa, in questa guida sugli obblighi NIS 2 analizza, a partire da:

• misure di gestione dei rischi per la cyber sicurezza (art. 21);
• obblighi di comunicazione (art. 23).

Misure di gestione dei rischi per la cybersicurezza

I soggetti essenziali e importanti devono adottare, tra gli altri, misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza delle reti e dei sistemi informativi.

Tenendo conto dello stato dell’arte e, se del caso, delle pertinenti norme europee e internazionali, nonché dei costi di attuazione, le misure, di cui al primo comma dell’art. 21 “garantiscono un livello di sicurezza delle reti e dei sistemi informativi adeguato ai rischi presentati”.

Nel valutare la proporzionalità di tali misure, scrive Enisa nel report, “si tiene debitamente conto del grado di esposizione dell’entità ai rischi, delle dimensioni dell’entità e della probabilità che si verifichino incidenti e della loro gravità, compreso il loro impatto sociale ed economico”.

Si tratta di misure che si basano evidentemente su un approccio multirischio, volto a proteggere le reti e i sistemi informativi nonché l’ambiente fisico di tali sistemi dagli incidenti, comprendendo almeno i seguenti elementi:

• politiche in materia di analisi dei rischi e sicurezza dei sistemi informativi;
• gestione degli incidenti;
• business continuity (come la gestione del backup e del disaster recovery, e la
  gestione delle crisi eccetera);
• sicurezza della supply chain (o catena di approvvigionamento), ivi compresi gli aspetti relativi alla sicurezza relativi alle relazioni tra ciascun soggetto e i suoi fornitori diretti o prestatori di servizi;
• sicurezza nell’acquisizione, nello sviluppo e nella manutenzione di reti e sistemi informativi, compresa la gestione e la divulgazione delle vulnerabilità;
• politiche e procedure per valutare l’efficacia della gestione dei rischi di cibersicurezza.

Obblighi di comunicazione

Ciascuno Stato membro è tenuto a provvedere affinché i soggetti essenziali e importanti notifichino senza indebito ritardo al proprio CSIRT o, se del caso, alla propria autorità competente, qualsiasi incidente che abbia un impatto significativo sulla fornitura dei loro servizi (il cosiddetto “incidente significativo”).

In tale caso, inoltre, se transfrontaliero o intersettoriale, gli Stati membri provvedono affinché i loro “punti di contatto” unici ricevano a tempo debito le informazioni pertinenti notificate.

Un incidente è significativo se e quando ha:

• causato o è in grado di causare gravi perturbazioni operative dei servizi o perdita finanziaria per l’entità interessata;
• colpito o può colpire altre persone fisiche o giuridiche cagionando danni materiali o immateriali considerevoli.

Inoltre, gli Stati membri provvedono, affinché i soggetti interessati presentino al Csirt o, se necessario all’Autorità competente, ai fini della notifica:

• senza indebito ritardo e in ogni caso entro 24 ore dal momento in cui si è venuti a conoscenza dell’incidente significativo, un allarme tempestivo che, se necessario, indica se si sospetta che l’incidente significativo sia causato da atti illeciti o dolosi o possa avere un impatto transfrontaliero;
• senza indebito ritardo e in ogni caso entro 72 ore dal momento in cui si è venuti a conoscenza dell’incidente, una notifica dello stesso, indicando una valutazione iniziale dell’incidente significativo, compresa la sua gravità e il suo impatto, nonché, se disponibili, gli indicatori di compromissione;
• su richiesta di un Csirt o, se necessario, dell’autorità competente, una relazione intermedia sui pertinenti aggiornamenti di stato;
• una relazione finale entro un mese dalla presentazione della notifica dell’incidente (con descrizione dettagliata dell’incidente, compresa la sua gravità e il suo impatto, il tipo di minaccia o la causa principale che potrebbe aver innescato l’incidente, le misure di mitigazione applicate e in corso, e se necessario, l’impatto transfrontaliero dell’incidente, e infine una eventuale relazione – ove richiesta – sullo stato di avanzamento dei lavori e una relazione finale entro un mese dalla data in cui sono stati in grado di gestire l’incidente.

Casi d’uso: ecco i due scenari

Per rendere gli obblighi NIS 2 e la loro mappatura ai profili di ruolo dell’Ecsf più accessibili e comprensibili per i soggetti, Enisa illustra due scenari utili a dimostrare come “l’Ecsf può essere sfruttato per migliorare la maturità della cibersicurezza”.

Entrambi gli scenari si basano su un’organizzazione di medie dimensioni con risorse finanziarie e umane limitate, caratterizzata da una governance informale e decentralizzata della cyber security e da un basso livello di maturità.

Primo scenario

Il primo scenario delinea il modo in cui l’Ecsf può essere sfruttato per gli sforzi di attuazione della NIS 2. Nello specifico, Enisa si avvale di un caso d’uso che illustra come un’organizzazione di medie dimensioni possa utilizzare l’Ecsf per sviluppare un quadro organizzativo in materia di sicurezza informatica, al fine di lavorare per l’attuazione della direttiva NIS 2.

Il framework con tutta evidenza facilita “l’allineamento organizzativo strategico, guidando il management nell’assunzione di un responsabile della sicurezza informatica dedicato, nell’aggiornamento del personale esistente e nell’esternalizzazione di funzioni critiche come l’intelligence sulle minacce e la risposta agli incidenti e attività occasionali come l’esecuzione di audit di sicurezza, scansioni di sicurezza e formazione”.

Si tratta di un approccio strutturato che migliora anche la posizione complessiva dell’organizzazione in materia di sicurezza informatica, dimostrando in maniera lampante il ruolo vitale dell’Ecsf nella promozione di solide pratiche di sicurezza informatica all’interno delle singole organizzazioni.

Secondo scenario

Il secondo si concentra sulla segnalazione invece sul “post-incidente”, illustrando come un’organizzazione di medie dimensioni possa affrontare efficacemente gli obblighi di risposta e segnalazione post-incidente delineati nel Task 10 (art. 23, NIS 2), istituendo un team dedicato con ruoli e responsabilità chiaramente definiti, comprese le risorse interne ed esterne.

Quest’altro approccio, pur sempre graduale, dimostra come “le attività specifiche e le collaborazioni tra i profili di ruolo Ecsf possano essere sfruttate per gestire gli incidenti in modo efficiente, [e non di meno] rispettare le scadenze di segnalazione e ridurre al minimo l’impatto” scrive Enisa.

Questo metodo ben strutturato e decisamente collaborativo non solo è in linea con la normativa, ma rafforza anche la posizione di sicurezza informatica dell’organizzazione e la resilienza contro incidenti futuri.

L’importanza di avere un team

Non solo è importante avere un team, ma anche allineare e implementare, a livello organizzativo, l’allocazione delle risorse grazie a varie fasi di:

• sviluppo di un piano di risposta agli incidenti;
• prontezza alla risposta di incidenti/simulazioni;
• rilevamento, l’analisi e la classificazione di un incidente;
• reporting iniziale nella finestra stretta delle 24 ore;
• elaborazione di un rapporto più dettagliato nelle 72 ore;
• comunicazione costante e continua con report intermedi;
• report finale di notifica dell’incidente;
• revisione e follow up post-incidente.

La metodologia proposta nelle sue 5 fasi

Enisa propone anche una metodo per attuare tutto ciò, individundoa cinque fasi, e in particolare:

• identificare i riferimenti normativi NIS2 pertinenti cioè quali sono le norme che disciplinano gli obblighi per i soggetti essenziali e importanti (fase iniziale);
• specificare i singoli obblighi e annesse attività;
• definire gli output previsti per ciascuna attività, cioè o i deliverable attesi di cui al punto precedente;
• mappare le attività con i profili di ruolo Ecsf;
• convalidare la mappatura dei ruoli e identificare le sovrapposizioni (fase finale).

Prospettive future

Le competenze in materia di sicurezza informatica sono sempre più strategicamente allineate con i requisiti di gestione del rischio, risposta agli incidenti e segnalazione.

Dunque, la mappatura proposta da Enisa sugli obblighi Nis 2, diventa un documento prezioso, una guida pratica e una leva strategica per le organizzazioni chiamate a implementare se non prima a sviluppare le capacità di cibersicurezza a lungo termine tanto a vantaggio delle Organizzazioni che in questo modo sanno come fare a rafforzare la loro resilienza informatica allineando i ruoli Ecsf con NIS 2, da un lato, e, dall’altro, in favore degli Stati membri i quali debbono sostenere l’attuazione, colmare le lacune di competenze e sviluppare capacità informatiche a lungo termine.

“Questa iniziativa sostiene la visione di un’Europa sicura e resiliente, in cui una forza lavoro qualificata e ben preparata in materia di cibersicurezza svolge un ruolo fondamentale nel mantenere la conformità normativa e la forza operativa.

In un’epoca di minacce sempre più complesse, questo sforzo è un passo avanti verso la costruzione di un futuro affidabile e sicuro dal punto di vista informatico per l’UE”, conclude l’Enisa nel commentare questo suo ultimo lavoro.

Non possiamo che essere d’accordo.