Con la NIS2, la cybersecurity non può più essere considerata un’attività statica o esclusivamente reattiva, ma deve configurarsi come un processo dinamico e continuo, capace di accompagnare costantemente tutte le attività che transitano attraverso l’infrastruttura digitale dell’organizzazione. La sicurezza diventa quindi una funzione sempre attiva, orientata al monitoraggio costante dei rischi e alla capacità di risposta tempestiva agli eventi di sicurezza.
In presenza di vulnerabilità o attività sospette, l’azienda deve poter contare su una struttura organizzativa adeguata, composta da ruoli, procedure e metodologie chiaramente definiti per la gestione degli incidenti. In questo contesto, la sicurezza informatica assume una dimensione organica e continuativa, nella quale risultano fondamentali strutture come il SOC (Security Operations Center) e strumenti SIEM (Security Information and Event Management), essenziali per il rilevamento precoce delle minacce e per il monitoraggio continuo dei sistemi e delle risorse digitali aziendali.
Una vulnerabilità non gestita può infatti produrre conseguenze su un duplice fronte: da un lato può determinare un incidente informatico con impatti diretti sull’operatività dell’organizzazione e sulla continuità del business; dall’altro può generare responsabilità normative e legali, cui si aggiungono potenziali danni reputazionali e d’immagine. Si tratta di responsabilità che si estendono lungo l’intera catena decisionale dell’organizzazione, coinvolgendo i diversi livelli di governo e gestione.
Le conseguenze derivanti da un monitoraggio inadeguato dei rischi cyber sono richiamate anche dalla sottocategoria ID.RA-08 del Framework Nazionale per la Cybersecurity e la Data Protection (FNCDP), che definisce le specifiche tecniche di base a supporto dell’adempimento degli obblighi previsti dalla Direttiva NIS2.
Ne consegue che oggi nelle aziende ignorare un problema non è più un comportamento in qualche modo scusabile, ma accende una responsabilità diretta che coinvolge non solo il reparto IT, ma anche il management e la governance aziendale: questo in quanto il piano di gestione delle vulnerabilità deve essere approvato dagli organi di amministrazione e direttivi, come richiesto dalla misura ID.RA-08. Il che comporta che è responsabilità dei vertici aziendali assicurare l’esistenza di un sistema di valutazione e gestione delle vulnerabilità che sia funzionante e tempestivo.
Il framework di sicurezza per i soggetti NIS2 fa quindi una distinzione chiara tra il subire un attacco che non poteva essere previsto e invece subire un attacco prevedibile. Se nel primo caso l’evento di sicurezza deriva dal superamento delle capacità di difesa predisposte dall’organizzazione, nel secondo scenario il problema non risiede esclusivamente nell’attacco informatico, ma nella mancata gestione del rischio. Quando una vulnerabilità è nota, viene comunicata attraverso i canali ufficiali del CSIRT o dei fornitori e sono disponibili informazioni sufficienti per adottare contromisure adeguate, l’assenza di interventi configura infatti una situazione di “esposizione evitabile”.
In tali circostanze, qualora l’organizzazione continui a utilizzare sistemi affetti da vulnerabilità critiche senza applicare aggiornamenti, adottare misure compensative o formalizzare l’accettazione del rischio, l’autorità di controllo non si limita a valutare la gravità dell’incidente verificatosi. L’analisi si estende anche al comportamento dell’organizzazione antecedente all’evento, esaminando non solo la capacità di risposta all’incidente, ma anche l’efficacia delle attività di prevenzione e gestione del rischio messe in atto.
La responsabilità di un mancato monitoraggio e gestione dell’evento cyber, alla luce della misura ID.RA-08, si distribuisce dunque lungo tutta la catena: su chi avrebbe dovuto monitorare e non l’ha fatto, su chi doveva analizzare e non ha analizzato, su chi doveva decidere e non ha deciso e, infine, su chi doveva intervenire e non è intervenuto. Ogni mancato passaggio costituisce un elemento di responsabilità che aggrava la posizione dell’azienda.
L’errore può però non essere legato solo a una mancanza operativa: la responsabilità può essere segno non di qualcosa che non ha funzionato nella struttura di sicurezza, ma proprio di una fragilità della struttura in sé, che può consistere nella mancanza di ruoli chiari e definiti, in pratiche di monitoraggio deboli, nella insufficiente definizione di criteri decisionali e, infine, in processi che non lasciano traccia. La tracciabilità delle decisioni è infatti un elemento fondamentale nella gestione di un incidente informatico, in quanto le aziende devono poter dimostrare e documentare che la vulnerabilità nota e rilevata è stata valutata e gestita con diligenza. A prescindere poi dal risultato, che ci sia stato un impatto o meno, la tracciabilità di ogni scelta presa, che sia visibile e documentata, cambia completamente la posizione dell’organizzazione davanti alle autorità competenti.
Infine, la ID.RA-08 punta a ridurre l’incidenza del fattore tempo, in quanto a livello di conseguenze operative, il danno spesso deriva non tanto dalla vulnerabilità in sé, quanto dal tempo trascorso dalla rilevazione prima di intervenire. Questo perché il mancato monitoraggio e la mancata gestione di un evento lasciano le vulnerabilità aperte più a lungo, regalando agli hacker più tempo e più agio per sfruttarle. Inoltre, le contromisure possibili possono diventare più complesse da attivare con il passare del tempo, mentre aumentano gli impatti sugli asset critici. Intercettare e intervenire prima permette dunque all’organizzazione di avere più opzioni, laddove l’inerzia e un tardivo intervento riducono i margini per contenere l’attacco.