Nel nostro approccio alla NIS 2, lavoriamo con le agenzie sulla costruzione di un piano di implementazione delle misure tecniche e organizzative in grado di guidare veramente l’agenzia nella sicurezza per superare verifiche e ispezioni e resistere ad incidenti.
Il punto di partenza è la gap analysis, ma in continuità con l’attivazione di un piano d’azione.
La Direttiva NIS 2 richiede alle organizzazioni non solo di adottare misure di sicurezza, ma di dimostrare di aver costruito un sistema strutturato di gestione del rischio cyber, un ecosistema che si propone di lavorare su due livelli: un livello strategico e un livello operativo.
Dalla gap analysis al progetto operativo NIS 2
La gap analysis è una fotografia dello stato di conformità dell’agenzia di comunicazione rispetto alla NIS 2 (e, nel contesto italiano, al D.Lgs. 138/2024). Con le checklist che abbiamo elaborato, possiamo fornire un report ragionato sul’as is, per poi valutare insieme il wanna be.
Il valore della gap analysis emerge quando viene trasformata in un programma operativo strutturato.
Il piano di implementazione che costruiamo, prevede almeno:
- Raccolta dei dati della gap analysis e rielaborazione, come base documentale del progetto
- Definizione del piano di adeguamento, con tempi, priorità, responsabilità
- Definizione del budget, elemento essenziale per rendere il piano realmente attuabile;
- Elencazione degli interventi, distinguendo tra immediati e strutturati
- Individuazione degli indicatori di monitoraggio e dei periodi di verifica
Il piano di implementazione della sicurezza informatica
É il decreto legislativo italiano a dirci le misure organizzative e tecniche di conformità: ma siamo noi che, dobbiamo dare un’adeguata lettura alla norma, in base alla nostra realtà aziendale.
La pianificazione delle attività per l’adozione delle misure è un elemento fondamentale per il successo del piano d’implementazione. Le misure sono tecniche e organizzative e procedono in parallelo in relazione al tipo di misura e richiedono delle professionalità diverse, anche esterne. Ad esempio, per l’adozione delle policies è fondamentale rivolgersi ad un consulente legale che possa tradurre e coordinare l’effettiva adozione.
Per l’adozione di alcune misure possiamo usare la logica Plan Do Check Act. Se non sai cos’è, in sede di consulenza, avrai modo di vedere in modo approfondito il processo e farlo tuo anche per altri processi interni aziendali. Chiaramente, oltre ad aver messo in campo le misure, è necessario anche curare un progetto di miglioramento continuo e un adeguamento costante.
L’igiene informatica come priorità per l’adeguamento a NIS 2
Esiste una procedura per il recupero degli account bloccati? C’è uno strumento per la gestione degli asset IT? I dati di backup sono crittografati durante il trasferimento?
Queste sono solo alcune delle domande che vengono fatte durante la fase di gap analysis e che rientrano poi tra le attività del piano di adeguamento a NIS 2.
Siamo sinceri: per fretta, disorganizzazione o fiducia nell’universo, le misure di igiene informatica vengono spesso trascurate: questo si traduce in rischi, responsabilità, violazioni, sanzioni. Sotto il profilo legale avere un assetto di igiene informatica adeguato si traduce in policies, procedure e formazione adeguata ai dipendenti ma presuppone l’adozione di misure tecniche.
Nel corso della consulenza per l’adeguamento a NIS 2, andiamo ad adottare ed aggiornare, nel tempo e per gradi, le varie misure tecniche ed organizzative per garantire rispettare quanto previsto dalla normativa.
Cosa fare per iniziare? Iniziare a introdurre un cambiamento culturale. Serve una consapevolezza diffusa, una responsabilizzazione in capo alle persone che i dati li trattano (praticamente tutti i dipendenti), serve decidere di canalizzare alcune risorse verso questa destinazione, altrimenti i rischi, anche reputazionali, sono elevati.
Se vuoi iniziare a cambiare approccio, puoi contattarci.
Le misure tecniche e organizzative
La fase successiva è quella di identificare ed implementare le misure tecniche e organizzative da adottare per prevenire, evitare o gestire i rischi di cybersicurezza.
Si deve elaborare un inventario degli asset, per sapere cosa proteggere. E posso assicurarti che non tutte le aziende ce l’hanno, oppure non è aggiornato, non è completo, non contiene alcun elementi essenziali (ad esempio la configurazione dei device).
Serve poi una politica per la gestione degli aggiornamenti e delle vulnerabilità. Un sistema di controllo delle installazioni.
Le misure possono coinvolgere anche la catena dei fornitori: conoscere ad esempio se i nostri fornitori hanno eseguito dei test di vulnerabilità, o se sono in grado di dimostrare la capacità di rispettare delle misure tecniche e organizzative che sottoponiamo, ci consente di valutare l’affidabilità e quindi anche l’eventuale nostra esposizione verso il nostro cliente.
Il piano come strumento di accountability per la NIS 2
Uno dei principi della direttiva è l’accountability ossia la responsabilità di rispondere del proprio operato e di dimostrare l’effettiva adozione della misura in caso di ispezioni o di violazioni.
E quindi il nostro lavoro è proprio quello di formalizzare policy e procedure, definire le responsabilità (o il team) e documentare l’attività (anche di formazione e comunicazione) affinché tutto il lavoro svolto sia documentato.
In questo modo, il piano d’implementazione che proponiamo diventa uno strumento essenziale anche per la governance societaria interna, una base per la definizione delle responsabilità ed un elemento di difesa. Quello che ci proponiamo di fare è infatti trasformare delle norme in un sistema sostenibile, integrato ed effettivo.
Image by Pete Linforth from Pixabay
