I controlli e le verifiche attinenti le misure di sicurezza informatica nelle aziende sono entrati in un nuovo corso con l’entrata in vigore della NIS 2. La normativa sulla cybersecurity prevede infatti la possibilità di effettuare ispezioni da parte delle autorità preposte, come l’Agenzia per la Cybersicurezza Nazionale (ACN). Ispezioni volte a garantire che le protezioni e gli strumenti di sicurezza contro rischi informatici, incidenti e vulnerabilità siano di fatto implementati e correttamente funzionanti.
In tema di adozione delle misure di sicurezza informatica, la direttiva NIS 2 porta infatti le aziende da un regime dove poteva bastare l’autocertificazione su quanto fatto, a uno in cui nel gioco entra l’attività ispettiva da parte di ACN ma soprattutto la governance aziendale. Se questa novità genera apprensione tra le organizzazioni NIS 2, da ACN e CSIRT Italia arrivano alcune rassicurazioni e delucidazioni: le ispezioni non sono infatti finalizzate alla ricerca di eventuali errori commessi dalle aziende, che avrebbero così una volontà prettamente punitiva, quanto a valutare nel complesso la resilienza e la diligenza delle organizzazioni a implementare quanto richiesto dalla normativa.
Vengono inoltre distinti due modelli di regime ispettivo, ex ante ed ex post, che di fatto delineano una differenza tra essere responsabili ed essere vittime. In particolare, il regime ex ante è previsto per i Soggetti essenziali della NIS 2, con verifiche che vengono programmate con cadenza regolare, una sorta di audit ricorrenti sulla cybersecurity per queste entità. Si parla invece di regime ex post per i Soggetti importanti, per cui l’intervento di ACN avviene allorché emergano elementi che possano evidenziare una potenziale violazione, quali un incidente significativo o una segnalazione circostanziata. Questo tipo di attività ispettiva viene quindi avviato quando emerge il sospetto che qualcosa sia andato storto, aprendo una breccia nella protezione informatica dell’azienda.
Le ispezioni legate alla NIS 2 sono quindi calibrate in ragione del tipo e della criticità del servizio erogato dal soggetto, e dunque sul rischio associato. Incidenti particolarmente gravi possono dunque attivare un’ispezione sia per soggetti essenziali che importanti: l’intento principale, come già evidenziato, non è mai di natura punitiva, bensì quello di comprendere quanto accaduto anche in un’ottica di prevenzione. L’obiettivo delle ispezioni è infatti evitare che lo stesso incidente possa ripetersi, diffondendosi con effetti a catena anche a livello di ecosistema. L’accezione di ispezione che ne emerge è dunque quella di momento di verifica, teso a capire se i processi implementati sono adeguati e se la documentazione relativa è utile a tracciare con chiarezza la strategia di cybersecurity implementata.
Un altro punto molto importante su cui ACN fa chiarezza è la distinzione netta tra essere vittima di una violazione e responsabilità. Subire un attacco informatico non equivale necessariamente a essere inadempienti rispetto alle misure di sicurezza previste dalla normativa, poiché tali misure hanno l’obiettivo di mitigare il rischio aziendale, riducendo la probabilità e l’impatto di eventuali incidenti. Nella sua attività ispettiva, ACN valuta pertanto non certo l’infallibilità della postura aziendale di sicurezza, quanto la diligenza nel mettere in campo tutto quanto possibile per una corretta gestione del rischio informatico. A tale proposito, la tempestività nella notifica degli incidenti allo CSIRT Italia è uno dei principali indicatori che viene preso in considerazione per valutare la buona fede e la diligenza di un’organizzazione. Quanto più tempestiva è infatti la segnalazione, tanto più sarà possibile contenere gli effetti a catena dell’evento, pensando sempre in ottica di filiere di fornitura di prodotti e servizi, in cui gli attori sono sempre più interconnessi tra loro. In tal senso, notificare, e farlo nel più breve tempo possibile, significa quindi non solo proteggere se stessi, ma anche contribuire alla sicurezza della supply chain nel suo insieme.
Infine, il meccanismo di attribuzione della responsabilità in caso di incidenti risponde a criteri che rispecchiano i vari livelli organizzativi e di governance aziendale. In linea generale, il Cda è responsabile dell’approvazione delle strategie di cybersecurity e della loro implementazione, mentre il CISO risponde della corretta messa in opera delle misure tecniche e organizzative. La responsabilità della notifica degli incidenti significativi nei tempi previsti dalla normativa ricade in capo al Referente CSIRT. La direzione aziendale è invece responsabile degli obblighi informativi verso clienti e stakeholder. Ognuno risponde pertanto in ragione del proprio ruolo e per le omissioni e mancanze che gli competono. E in caso di mancanze significative, i responsabili rischiano quindi sanzioni, prescrizioni o obblighi di adeguamento entro tempi certi e definiti.
La diligenza rappresenta quindi la migliore difesa e, come ribadito dall’ACN, un’azienda che affronta la compliance in modo sistematico e continuativo, documenta con trasparenza le proprie attività in ambito cybersecurity, investe nella formazione del personale e provvede alla notifica tempestiva degli incidenti, può affrontare serenamente un’ispezione. Quest’ultima può così essere vissuta come un momento di verifica e, al tempo stesso, come un’opportunità per consolidare e rafforzare ulteriormente le proprie misure di protezione dai rischi cyber. L’obiettivo finale, condiviso anche dalle autorità preposte alla vigilanza, non è il rispetto della legge in sé, quanto garantire la continuità operativa e la salute informatica del sistema nel suo insieme, mediante una tutela dei dati e dei sistemi critici solida, efficace e resiliente.