L’ACN, Agenzia per la cybersicurezza nazionale, ha pubblicato lo scorso 20 aprile una determinazione che specifica le nuove regole operative per i soggetti NIS2 in materia di mappatura e classificazione delle loro attività e dei servizi offerti. I soggetti NIS2 hanno infatti l’obbligo di elencare tutte le attività e servizi, interni ed esterni, che risultano supportati, svolti o erogati da sistemi informativi o di rete, al fine di valutare l’impatto di una loro eventuale compromissione sul business dell’organizzazione, a seguito di un attacco informatico.
La nuova determinazione evidenzia quindi come le attività e i servizi delle organizzazioni soggette alla NIS2 rappresentino elementi centrali della sicurezza informatica aziendale, consolidando un approccio che sposta l’attenzione dalla sola protezione degli asset tecnologici alla resilienza dei servizi e dei processi di business. La loro tutela informatica diventa infatti essenziale per garantire continuità operativa e protezione delle attività nei settori critici disciplinati dalla Direttiva. Il documento definisce in particolare il processo, le modalità e i criteri per l’elencazione, la caratterizzazione e la categorizzazione delle attività e dei servizi, rivolgendosi ai soggetti NIS essenziali e importanti e offrendo una procedura di analisi dell’impatto semplificata, armonizzata e condivisa. Questi soggetti dal primo maggio al 30 giugno di ogni anno avranno dunque l’obbligo di comunicare all’ACN gli esiti aggiornati di questa analisi condotta su servizi e attività erogati.
Come evidenziato nelle Linee Guida dell’ACN, l’obiettivo dell’elencazione e della categorizzazione è aggregare attività e servizi secondo le categorie di rilevanza previste dal modello elaborato dall’Agenzia. Tale modello è stato progettato per identificare le porzioni dei sistemi informativi e di rete delle organizzazioni sulle quali applicare misure di mitigazione del rischio informatico più incisive e mirate, una volta completato il percorso di adeguamento ai requisiti di sicurezza di base previsti dalla Direttiva NIS2.
Il modello di categorizzazione elaborato dall’ACN organizza le attività e i servizi dei soggetti NIS2 in dieci macro-aree. Ciascuna rappresenta un insieme astratto di attività e servizi che, all’interno di un’organizzazione, possono condividere elementi comuni, come utenti, finalità o tipologia di prestazione. Il modello è concepito per coprire l’intero spettro delle attività aziendali e include anche una categoria residuale, “Altri servizi e attività”, utilizzabile qualora una specifica attività o servizio non rientri in modo appropriato nelle altre macro-aree previste. Le dieci macro-aree, elencate nell’Appendice A delle Linee guida, sono: Monitoraggio e controllo; Produzione di beni e servizi; Ricerca, sviluppo e progettazione; Gestione finanziaria; Gestione dei clienti; Gestione HR; Logistica; Comunicazione e marketing; Gestione amministrativa; Altri servizi e attività.
I soggetti NIS2 devono allora provvedere all’elencazione e alla categorizzazione di tutte le attività e servizi svolti, suddivisi e assegnati alle macro-aree definite del Modello di categorizzazione dell’ACN. Le organizzazioni possono a tal fine adottare un processo articolato in tre fasi, Identificazione delle attività/servizi, Mappatura e attribuzione della Categoria di rilevanza. L’ACN ha definito in particolare quattro Categorie di rilevanza, seguendo un criterio crescente nel livello di impatto di una eventuale compromissione: impatto minimo, basso, medio e alto.
La fase di identificazione consta nell’individuare tutte le attività svolte e tutti i servizi erogati da un’organizzazione, che siano supportati da sistemi IT e di rete. Ogni attività e servizio è contraddistinto da una denominazione e da una descrizione, la cui indicazione è opzionale. Per garantire ampia flessibilità al contesto specifico del soggetto, non è previsto l’impiego di una specifica metodologia, ed è possibile al fine dell’identificazione avvalersi anche degli esiti di eventuali iniziative già effettuate (come analisi dei processi organizzativi, predisposizione del catalogo dei servizi, valutazione del rischio o business impact analysis). Le linee guida forniscono a riguardo anche possibili metodologie, in un apposito riquadro di approfondimento. La procedura di individuazione non richiede livelli di dettaglio particolarmente granulari; tuttavia, l’ACN raccomanda di procedere a una progressiva scomposizione delle attività e dei servizi, così da individuare elementi caratterizzati da una categoria di rilevanza omogenea, evitando al contempo un’eccessiva frammentazione. In sostanza, i soggetti NIS dovrebbero definire un livello di dettaglio in grado di rappresentare nel modo più fedele possibile le differenze che caratterizzano le proprie attività e i propri servizi in termini di rilevanza.
Il passo successivo consiste quindi nella Mappatura di attività e servizi secondo le macro-aree previste dal Modello di categorizzazione. Ogni attività e servizio identificati vanno cioè associati alla macro-area che meglio ne rappresenta finalità e caratteristiche, considerando la natura dell’attività o del servizio, le funzioni organizzative coinvolte e i processi di business supportati. Qualora un’attività o un servizio siano riconducibili a più macro-aree, occorre procedere a una loro ulteriore scomposizione, al fine di associarli a una specifica macro-area. Non è inoltre necessario che tutte le macro-aree siano presenti nella mappatura finale, qualora l’insieme delle attività e dei servizi dell’organizzazione non comprenda elementi riconducibili ad alcune di esse.
Infine, l’ACN ha pre-assegnato una Categoria di rilevanza a ciascuna macro-area. La pre-assegnazione è stata fatta in base a una serie di analisi e consultazioni i cui criteri e motivazioni sono contenuti nell’Appendice B del documento. I soggetti NIS2 possono però indicare una Categoria di rilevanza per un’attività o un servizio differente da quella pre-assegnata alla macro-area di pertinenza, in base a una valutazione dell’impatto di una possibile compromissione di quella attività o servizio sulla capacità del soggetto di svolgere correttamente le attività e i servizi NIS, e conservando la documentazione relativa a tale analisi. L’attribuzione di una specifica categoria di rilevanza ad attività/servizi può quindi in sostanza essere determinata in base a una business impact analysis semplificata, ed è pertanto possibile avere diverse categorie di rilevanza all’interno di una stessa macro-area, a seguito della ri-assegnazione documentata da parte del soggetto NIS.