NIS2: Misure di gestione del rischio e sicurezza informatica

Rischi informatici in crescita

Negli ultimi anni le minacce informatiche sono aumentate in maniera drastica, sia in quantità che in complessità. Secondo rapporti ufficiali dell’Unione Europea e di ENISA:

• Il numero di attacchi disruptivi è raddoppiato nell’UE tra la fine del 2023 e l’inizio del 2024
• L’aumento percentuale delle attività ostili verso obiettivi europei è stato del 16 % in certi periodi recenti.
• Il volume di vulnerabilità (CVE) segnalate, così come le campagne di attacco via phishing, ransomware, e supply chain, sono in continua evoluzione, costringendo le organizzazioni a investire maggiormente in misure di sicurezza preventive.

Questi trend rendono evidente che nessuna azienda, grande o piccola, può permettersi di sottovalutare la sicurezza informatica: la perdita di dati, danni reputazionali, interruzioni operative, multe regolatorie possono avere conseguenze rilevanti.

La Direttiva NIS2 in sintesi

La Direttiva UE 2022/2555, nota come NIS2, è l’evoluzione della precedente direttiva NIS, con recepimento in Italia tramite il D.Lgs. 138/2024.
Le principali caratteristiche:

• Estensione del perimetro: più settori e più tipologie di aziende (operatori di servizi essenziali e importanti).
• Standard di sicurezza più elevati e obblighi più stringenti per la gestione del rischio, la notificazione degli incidenti, la governance.

I rischi per le aziende che non si adeguano spaziano da semplici sanzioni amministrative a responsabilità legali, da perdita di competitività/del trust da parte di clienti e partner fino addirittura all’interruzione del servizio, ricevendo danni economici diretti e indiretti.

La direttiva europea NIS2 rappresenta un passo decisivo nel rafforzamento della cybersicurezza a livello comunitario. Nasce dall’esigenza di rispondere all’aumento significativo delle minacce informatiche, che negli ultimi anni hanno colpito in maniera crescente infrastrutture critiche, aziende e pubbliche amministrazioni. Rispetto alla precedente normativa, amplia il campo di applicazione a un numero maggiore di settori e di organizzazioni, includendo non solo i gestori di servizi essenziali ma anche realtà considerate “importanti” per la resilienza dell’economia e della società europea.

Al cuore della NIS2 vi è l’obbligo per le imprese di adottare misure tecniche e organizzative adeguate a gestire i rischi informatici. Questo significa introdurre processi strutturati di valutazione e trattamento del rischio, garantire la protezione dei dati attraverso crittografia e sistemi di autenticazione, rafforzare la sicurezza lungo tutta la supply chain e predisporre piani di continuità operativa e di risposta agli incidenti. Particolare rilevanza assumono gli obblighi di notifica: le organizzazioni devono segnalare tempestivamente eventuali incidenti significativi alle autorità competenti, seguendo tempistiche precise.

Il mancato adeguamento alla direttiva comporta rischi sia economici, con l’applicazione di sanzioni, sia operativi e reputazionali, poiché le aziende non conformi risultano più vulnerabili ad attacchi e interruzioni. Al contrario, chi si allinea alla NIS2 non solo rispetta un obbligo normativo, ma rafforza la fiducia di clienti e partner, trasformando la compliance in un vantaggio competitivo e in un investimento strategico per la continuità del proprio business.

Cosa deve fare concretamente un’azienda?

La sezione “Misure di gestione del rischio e sicurezza informatica” della NIS2 richiede una serie di misure tecniche e organizzative proporzionate al profilo di rischio dell’azienda. Ecco i punti chiave, con esempi pratici e soluzioni.

1. Risk assessment periodici

Identificare, quantificare e monitorare i rischi legati a sistemi, reti, dati e infrastrutture significa avere una visione chiara e aggiornata delle minacce che potrebbero compromettere la sicurezza aziendale, valutandone l’impatto e la probabilità di accadimento per poter adottare misure preventive e correttive adeguate.

Si suggerisce quindi di:

• condurre un’analisi dei rischi (Risk Assessment) all’inizio del progetto o dell’anno, includendo tutti gli asset IT (hardware, software, dati sensibili) e valutare le minacce (malware, ransomware, accesso non autorizzato) e le vulnerabilità (software non aggiornato, credenziali deboli).
• utilizzare metodologie collaudate come ISO/IEC 27005, NIST SP 800-30, o modelli basati su probabilità & impatto.

Approfondimento sulla ISO/IEC 27005

La ISO/IEC 27005 è lo standard internazionale che fornisce linee guida per la gestione del rischio in ambito sicurezza delle informazioni, ed è parte integrante della famiglia di norme ISO/IEC 27000 legate ai sistemi di gestione della sicurezza (ISMS).

Tale standard prevede:

1. Approccio metodologico alla gestione del rischio: fornendo un quadro strutturato per identificare, valutare e trattare i rischi legati alla sicurezza delle informazioni, permettendo di adottare diversi metodi per la gestione del rischio (quantitativi, qualitativi o misti).
2. Processo di gestione del rischio attraverso la formalizzazione delle fasi di gestione:
   • Definizione del contesto: stabilire ambito, criteri di valutazione, asset da proteggere, attori coinvolti.
   • Identificazione del rischio: individuare minacce, vulnerabilità, impatti potenziali e scenari di rischio.
   • Analisi del rischio: valutare la probabilità e la gravità di ciascun rischio.
   • Valutazione del rischio: confrontare i rischi con criteri predefiniti (accettabilità, priorità, soglie).
   • Trattamento del rischio: scegliere come gestire ciascun rischio (mitigazione, trasferimento, accettazione, eliminazione).
   • Accettazione del rischio: approvazione formale da parte del management.
   • Comunicazione e consultazione: coinvolgere stakeholder interni ed esterni durante tutto il processo.
   • Monitoraggio e revisione: controllare i rischi residui e aggiornare la valutazione in base a nuovi scenari.
3. Integrazione con l’ISMS, attraverso il supporto all’implementazione della ISO/IEC 27001, offrendo la parte operativa di analisi e gestione del rischio e consentendo di dimostrare la “due diligence” in caso di audit o di eventi di sicurezza.
4. Supporto alla decisione basandosi sul rischio in materia di controlli di sicurezza, budget e priorità operative.

---

Approfondimento sulla NIST SP 800-30

La NIST Special Publication 800-30 è una delle linee guida più importanti emanate dal National Institute of Standards and Technology (NIST) degli Stati Uniti. È dedicata alla gestione del rischio nei sistemi IT e costituisce un riferimento riconosciuto a livello internazionale per strutturare processi di risk assessment in ambito informatico. Il suo scopo è di:

• Fornire un metodo standardizzato per identificare e valutare rischi nei sistemi IT.
• Aiutare le organizzazioni a determinare i livelli accettabili di rischio.
• Supportare le decisioni nella selezione di controlli di sicurezza da implementare.
• Creare una base documentata che faciliti audit, conformità normativa e miglioramento continuo.

Questa linea guida descrive delle fasi di processo che possono essere sintetizzate in:

1. Preparazione

• Definizione degli obiettivi del risk assessment.
• Identificazione del perimetro (sistemi, processi, dati, infrastrutture coinvolte).
• Raccolta di informazioni preliminari sugli asset.

2. Identificazione delle minacce

• Elencare tutte le potenziali minacce: cyber attacchi, errori umani, guasti tecnici, disastri naturali, interruzioni di fornitura.
• Fonti utili: database di vulnerabilità (es. NVD, CVE), intelligence sulle minacce, incidenti passati.

3. Identificazione delle vulnerabilità

• Individuare le debolezze che possono essere sfruttate da minacce: software non aggiornato, configurazioni errate, procedure assenti, mancanza di formazione del personale.

4. Analisi delle probabilità

• Determinare la probabilità che una minaccia sfrutti una vulnerabilità, basandosi su dati storici, trend e capacità di difesa.

5. Analisi dell’impatto

• Stimare le conseguenze in caso di successo di un attacco: perdita di dati, fermo operativo, danni reputazionali, sanzioni legali.

6. Determinazione del livello di rischio

• Combinare probabilità e impatto in una matrice di rischio (es. basso, medio, alto, critico).
• Evidenziare le aree prioritarie di intervento.

7. Raccomandazioni sui controlli

• Individuare misure di sicurezza adeguate: tecniche (firewall, cifratura, IDS/IPS) e organizzative (policy, formazione, monitoraggio).
• Considerare costi, benefici e fattibilità.

8. Documentazione e comunicazione

• Registrare tutto il processo per consentire tracciabilità e audit.
• Comunicare i risultati al management per supportare decisioni consapevoli.

9. Revisione e aggiornamento

• Il risk assessment non è statico: deve essere aggiornato periodicamente o in caso di modifiche significative ai sistemi, alle minacce o al contesto normativo.

---

Differenza tra ISO/IEC 27005 e NIST SP 800-30

Entrambi si integrano bene: molte aziende adottano il framework ISO 27001/27005 e utilizzano la NIST SP 800-30 come guida operativa per l’analisi dei rischi.

NIST SP 800-30: più pratico e operativo, con esempi concreti e strumenti come la matrice rischio/probabilità/impatto.

ISO/IEC 27005: più flessibile e metodologico, lascia spazio alla personalizzazione da parte dell’organizzazione.

---

Per mettere in pratica i suggerimenti:

• adottare strumenti di scansione automatica delle vulnerabilità (vulnerability scanners);
• svolgere periodicamente simulazioni di attacco (penetration test) per valutare la sicurezza reale;
• coinvolgere terze parti esterne per audit indipendenti.

2. Inventario asset e classificazione dei dati

È una buona pratica avere piena consapevolezza di quali risorse e sistemi si possiedono, conoscere con precisione dove sono conservati i dati, comprenderne il livello di sensibilità e sapere chi ha accesso a essi.
Per una completa consapevolezza è suggerito:

• mappare tutti gli asset hardware (server, workstation, dispositivi mobili) e software (software di produttività, applicazioni critiche, servizi cloud), con relativi sistemi operativi, versioni, patch applicate.
• classificare i dati in base alla sensibilità: ad esempio “Pubblico”, “Interno”, “Riservato”, “Critico” e associare misure crescenti a ogni classe (cifratura, backup frequenti, accesso ristretto).

C’è chi usa dei fogli di calcolo e chi dei documenti scritti a mano. Nell’era del digitale, oltre che per una buona organizzazione e gestione del processo, è suggerito l’attivazione di:

• un CMDB (Configuration Management Database) per la gestione degli asset;
• policy per il data classification integrate nelle procedure aziendali;
• controlli automatici che segnalano asset non inventariati o software fuori patch.

3. Crittografia e protezione dei dati

Bisogna assicurarsi che i dati siano protetti sia quando sono conservati nei sistemi sia quando vengono trasmessi, adottando misure come l’autenticazione sicura, una corretta gestione delle chiavi crittografiche e la protezione delle password.

Un primo esempio concreto è la cifratura dei dischi nei laptop o nei dispositivi mobili aziendali. Questa misura consente di proteggere i dati anche in caso di furto o smarrimento del device: senza la chiave crittografica, i contenuti rimangono illeggibili a chiunque non sia autorizzato.

Un altro aspetto fondamentale è l’uso di TLS/SSL per tutte le comunicazioni esterne. Applicare protocolli sicuri permette di proteggere l’integrità e la riservatezza delle informazioni che transitano sulla rete, prevenendo intercettazioni o manomissioni.

La protezione tramite VPN rappresenta una soluzione efficace per gli accessi remoti. Creando un canale cifrato tra il dispositivo dell’utente e l’infrastruttura aziendale, la VPN riduce i rischi legati a connessioni insicure, come quelle da reti Wi-Fi pubbliche.

Infine, l’adozione di algoritmi crittografici robusti, come RSA con chiavi di dimensioni adeguate o AES-256, garantisce che la protezione dei dati sia basata su standard riconosciuti a livello internazionale e resistenti agli attacchi informatici. L’uso di algoritmi deboli o obsoleti, al contrario, esporrebbe l’organizzazione a rischi significativi.

Una soluzione molto utile è l’adozione di sistemi di gestione centralizzata delle chiavi crittografiche (KMS). In questo modo l’azienda può controllare in maniera sicura e uniforme la generazione, la distribuzione e la rotazione delle chiavi, riducendo i rischi legati a una gestione manuale o frammentata.

L’implementazione dell’autenticazione a più fattori (MFA) rappresenta un ulteriore livello di protezione: richiedendo più elementi di verifica oltre alla sola password, come un token o una conferma da dispositivo mobile, si innalza notevolmente la sicurezza degli accessi, specialmente a sistemi critici.

Fondamentale è anche definire e rispettare policy per password forti, che prevedano criteri stringenti nella creazione delle credenziali e ne stabiliscano la durata. Una gestione consapevole delle password riduce drasticamente le possibilità di compromissione.

Infine, la rotazione periodica delle credenziali consente di limitare i rischi derivanti da eventuali furti o intercettazioni, impedendo che un accesso non autorizzato possa protrarsi nel tempo. Questa pratica, sebbene spesso percepita come onerosa dagli utenti, resta uno dei capisaldi di una strategia di protezione efficace.

4. Politiche di sicurezza e governance

Un passo decisivo per rafforzare la sicurezza aziendale è la nomina di un responsabile della sicurezza, come un CISO o una figura equivalente, che abbia il compito di coordinare tutte le attività e di riferire direttamente alla direzione. Questo garantisce che le decisioni in materia di sicurezza non restino frammentate, ma seguano una linea chiara e condivisa a livello manageriale.

Altrettanto importante è la stesura di policy aziendali documentate, che definiscano in modo preciso le regole sull’uso delle risorse informatiche, la gestione degli accessi e le procedure da seguire in caso di incidenti di sicurezza. Una policy scritta e condivisa costituisce la base per comportamenti uniformi e riduce le zone d’ombra in cui possono annidarsi rischi operativi.

La formazione del personale rappresenta un altro pilastro: sensibilizzare i dipendenti sulle minacce più comuni, come il phishing o le pratiche scorrette di gestione delle password, contribuisce a ridurre la probabilità di incidenti causati da errori umani. Simulazioni pratiche e campagne periodiche di awareness sono strumenti efficaci per mantenere alto il livello di attenzione.

Infine, le revisioni periodiche delle policy permettono di verificare che le regole e le procedure adottate siano sempre coerenti con l’evoluzione delle minacce e delle tecnologie. La sicurezza, infatti, non è un obiettivo statico ma un processo dinamico che richiede aggiornamenti costanti per essere davvero efficace.

5. Sicurezza nella supply chain

Gestire la sicurezza all’interno della supply chain significa valutare attentamente i rischi introdotti da fornitori e partner oltre che proteggere i propri sistemi. Un primo passo è richiedere ai fornitori il rispetto di standard minimi di sicurezza, includendo requisiti chiari nei contratti, come l’obbligo di applicare regolarmente patch di sicurezza, utilizzare protocolli cifrati o adottare policy di protezione dei dati.

Un’attività altrettanto utile è la valutazione preventiva dei fornitori, attraverso audit di sicurezza o checklist dedicate, prima di affidare loro servizi critici o l’accesso a sistemi aziendali. Questo approccio consente di ridurre il rischio di introdurre vulnerabilità derivanti da partner esterni.

Il monitoraggio continuo delle soluzioni fornite da terze parti è un altro aspetto essenziale. Librerie software, servizi cloud o componenti hardware esterni vanno controllati periodicamente per verificare che siano aggiornati e sicuri, poiché spesso rappresentano un punto di ingresso sfruttato dagli attaccanti.

Infine, è importante inserire nei contratti clausole di notifica degli incidenti che obblighino i fornitori a informare tempestivamente l’azienda in caso di violazioni o problemi di sicurezza. Questo garantisce una reazione più rapida e coordinata, riducendo l’impatto potenziale sull’organizzazione.

6. Monitoraggio, logging e rilevamento delle anomalie

Il monitoraggio costante delle attività e la raccolta dei log sono strumenti fondamentali per avere visibilità su ciò che accade nei sistemi aziendali. Centralizzare queste informazioni consente di individuare in tempi rapidi eventuali anomalie o comportamenti sospetti, che altrimenti potrebbero passare inosservati.

L’adozione di un SIEM (Security Information and Event Management) permette di raccogliere i log provenienti da diverse fonti (server, applicazioni, firewall, dispositivi di rete) e di analizzarli in maniera automatica, generando alert in caso di eventi critici o fuori dall’ordinario. Questo tipo di strumento facilita il lavoro dei team di sicurezza, che possono così concentrarsi sugli incidenti più rilevanti.

Un altro aspetto importante riguarda la definizione di regole e soglie di allerta. Ad esempio, un numero elevato di tentativi di accesso falliti in poco tempo, connessioni provenienti da località insolite o un uso anomalo delle risorse di sistema possono costituire segnali di un attacco in corso.

Infine, stabilire una politica di conservazione dei log consente di avere uno storico utile per indagini forensi e per verifiche di conformità. In questo modo l’azienda non solo può reagire più rapidamente agli incidenti, ma dispone anche di prove concrete in caso di audit o contenziosi.

7. Procedure di aggiornamento e gestione delle patch

La gestione delle patch e degli aggiornamenti è uno dei pilastri della sicurezza informatica, perché molte delle violazioni più gravi avvengono sfruttando vulnerabilità già note e per le quali esistono da tempo correzioni disponibili. Definire un ciclo regolare di aggiornamento, ad esempio mensile, permette di ridurre drasticamente la finestra di esposizione a queste minacce.

Per rendere il processo efficace, è fondamentale monitorare costantemente gli avvisi di sicurezza rilasciati dai fornitori e dai database ufficiali delle vulnerabilità, come il CVE. Questo consente di intervenire tempestivamente non appena emerge una criticità che riguarda i sistemi aziendali.

Un approccio maturo prevede inoltre di testare le patch in ambienti di staging prima di distribuirle in produzione. In questo modo si minimizzano i rischi di malfunzionamenti e interruzioni, mantenendo al tempo stesso un elevato livello di protezione.

L’uso di strumenti di automazione per la gestione delle patch semplifica e velocizza il processo, riducendo la possibilità di errori manuali e garantendo uniformità negli aggiornamenti. Accanto a ciò, è utile prevedere piani di rollback per ripristinare rapidamente un sistema in caso di problemi successivi all’installazione.

Conclusione

Le “Misure di gestione del rischio e sicurezza informatica” richieste dalla Direttiva NIS2 non sono semplicemente formalismi: sono strumenti essenziali per mitigare un rischio che oggi è reale, crescente, e capace di danneggiare gravemente le aziende sotto molteplici profili: operativo, economico, reputazionale e legale.

Se la tua azienda vuole avere sicurezza rispetto agli obblighi normativi, ridurre la probabilità di attacchi di successo, e garantire continuità operativa, noi possiamo supportarla in questo percorso:

• valutazione personalizzata del rischio informatico;
• definizione ed implementazione delle policy e procedure richieste;
• supporto tecnico per strumenti come SIEM, gestione vulnerabilità, cifratura;
• audit e simulazioni;
• formazione del personale.

Contattaci per una consulenza: possiamo guidarti dall’analisi iniziale fino all’adempimento completo, così che la NIS2 diventi un’opportunità per rafforzare la resilienza e la fiducia dei tuoi clienti.