Article. What i write

La gestione degli incidenti di sicurezza informatica non è più una funzione tecnica, ma un imperativo strategico che incide sulla stabilità e sulla competitività del sistema-Paese. In un contesto geopolitico e tecnologico in continua evoluzione, la capacità di rispondere rapidamente, in modo coordinato ed efficace alle minacce cibernetiche è diventata una priorità assoluta. In questo scenario si inserisce la Direttiva NIS (UE 2022/2555), recepita in Italia con il decreto legislativo del 4 settembre 2024, n. 138, che stabilisce un quadro normativo rigoroso per innalzare il livello di resilienza delle infrastrutture critiche nazionali. L'obiettivo di questo articolo è analizzare in modo approfondito il processo di gestione degli incidenti definito dall'Agenzia per la Cybersicurezza Nazionale (ACN), illustrandone la struttura, gli obblighi normativi e la filosofia operativa che i soggetti designati devono adottare. Questo framework non si limita a delineare una serie di adempimenti, ma promuove un approccio sistematico e proattivo alla sicurezza, fondamentale per la tutela dei servizi essenziali per la collettività. Per comprendere appieno la portata di tale modello, è necessario partire dal quadro normativo che ne definisce l'ambito di applicazione e i destinatari.

Il quadro normativo costituisce la base giuridica che definisce le responsabilità, gli obblighi e i limiti di applicazione delle misure di sicurezza informatica. Una corretta comprensione della gerarchia delle fonti normative e della classificazione dei soggetti coinvolti è un prerequisito essenziale per implementare efficacemente le misure di sicurezza e garantire la conformità. In assenza di questa chiarezza, ogni sforzo operativo rischia di non essere conforme ai requisiti legali.

Il riferimento legislativo principale è la Direttiva (UE) 2022/2555 (Direttiva NIS), che mira a garantire un elevato e uniforme livello di sicurezza cibernetica in tutta l'Unione europea. A livello nazionale, la direttiva è stata recepita tramite il decreto legislativo del 4 settembre 2024, n. 138, che stabilisce gli adempimenti specifici per le organizzazioni italiane.

Le linee guida dell'ACN si rivolgono a due categorie principali di soggetti, la cui distinzione è fondamentale per garantire la proporzionalità delle misure da adottare:

• Soggetti essenziali: entità che operano in settori ad altissima criticità, la cui interruzione dei servizi avrebbe un impatto significativo sulla società e sull'economia.

• Soggetti importanti: entità che, pur essendo critiche, presentano un profilo di rischio e un impatto potenziale inferiore rispetto ai soggetti essenziali.

Come specificato nell'articolo 6 del decreto NIS, tale distinzione si basa sulla valutazione del livello di criticità intrinseca del settore di appartenenza, del rischio informatico associato e delle dimensioni dell'organizzazione. Questo approccio stratificato consente di calibrare gli obblighi normativi in base a un modello operativo pratico e sostenibile per la gestione degli incidenti.

Per garantire una gestione armonizzata, coerente e sistematica, l'ACN adotta un modello di processo strutturato in un ciclo di vita continuo. Questo approccio sposta le organizzazioni da una logica di "pronto intervento" puramente reattiva verso una capacità strategica matura, basata sulla previsione, la preparazione e l'apprendimento continuo. Il modello si articola in cinque fasi principali, ciascuna delle quali è composta da attività specifiche e strettamente interconnesse: preparazione, rilevamento, risposta, ripristino e miglioramento.

La fase di preparazione rappresenta il fondamento proattivo dell'intero processo. Il suo obiettivo non è gestire un incidente in corso, ma costruire e consolidare le capacità, le risorse e le procedure necessarie per garantire una risposta futura rapida, efficace e coordinata. Si articola in tre pilastri fondamentali.

• Governo: questa sottofase definisce il quadro strategico e organizzativo. In questa fase vengono elaborate politiche di sicurezza informatica formali che devono essere approvate dagli organi amministrativi e direttivi e vengono chiaramente attribuite le responsabilità, ad esempio tramite matrici RACI (Responsible, Accountable, Consulted, Informed). La normativa introduce anche la figura del referente CSIRT, designato per l'interlocuzione con il CSIRT Italia e per la notifica degli incidenti.

• Identificazione: per proteggere efficacemente un'organizzazione, è indispensabile conoscerne a fondo il contesto operativo. Tale attività consiste nella creazione e nel mantenimento di inventari aggiornati di tutte le risorse critiche, quali apparati hardware (IT, OT, IoT), software e applicazioni, flussi di rete autorizzati e servizi erogati da fornitori esterni. A ciò si affianca l'individuazione costante delle minacce e delle vulnerabilità pertinenti per l'organizzazione.

• Protezione: in questa fase si implementano le contromisure per prevenire gli incidenti o limitarne l'impatto. Le misure sono di due tipi:

- Tecnologiche: come la pianificazione di backup periodici con l'obbligo di conservare copie di backup offline per i sistemi rilevanti, l'acquisizione e la conservazione sicura dei log e l'implementazione di controlli per gli accessi.

- Organizzative: come l'elaborazione di procedure operative standard (SOP) e la formazione continua del personale. Una procedura formalizzata (SOP) deve essere strutturata in modo chiaro e contenere elementi quali il titolo, l'ambito di applicazione, l'elenco sequenziale delle attività operative, gli strumenti da utilizzare e una definizione precisa dei ruoli e delle responsabilità.

L'obiettivo di questa fase è individuare e analizzare tempestivamente gli eventi rilevanti per la sicurezza, per determinare se costituiscano un vero e proprio incidente. Un rilevamento efficace permette di ridurre l'impatto e l'estensione di un attacco. Il monitoraggio può avvenire secondo due approcci complementari:

• Proattivo: ricerca attiva di indizi di compromissione, ad esempio attraverso attività di threat hunting o l'analisi di bollettini di sicurezza condivisi dal CSIRT Italia.

• Reattivo: risposta agli allarmi generati da strumenti di sicurezza (come SIEM o EDR) o alle segnalazioni provenienti da utenti interni o esterni.

Per massimizzare l'efficacia, le logiche di rilevamento si basano su diverse metodologie:

• IOC-based: si basa sulla ricerca di Indicatori di Compromissione (IOC) noti, come hash di file malevoli o indirizzi IP associati a campagne di attacco.

• Anomaly-based: identifica le deviazioni dal comportamento standard dei sistemi e delle reti utilizzando tecniche di analisi statistica e machine learning.

• TTP-based: si concentra sul riconoscimento delle tattiche, tecniche e procedure (TTP) utilizzate dagli attori malevoli. Questo approccio è più resiliente, in quanto le TTP evolvono molto più lentamente rispetto agli IOC specifici, come gli hash dei file o gli indirizzi IP.

Una volta dichiarato l'incidente, si entra nella fase di Risposta, il nucleo reattivo dell'intero processo. Le sue sotto-fasi non sono necessariamente sequenziali ma spesso si sovrappongono e si influenzano a vicenda, richiedendo un coordinamento continuo.

• La segnalazione consiste nella notifica formale dell'incidente alle autorità competenti e nella comunicazione alle parti interessate. La notifica al CSIRT Italia è un obbligo normativo con tempistiche stringenti e rappresenta un'attività importante per ottenere una visione d'insieme delle minacce a livello nazionale. La comunicazione deve essere estesa anche agli stakeholder interni (i vertici aziendali e l'ufficio legale) ed esterni (gli utenti e i fornitori).

• L'obiettivo dell'indagine è analizzare in profondità l'incidente per ricostruirne la dinamica completa (la cosiddetta "cyber kill chain"), identificarne la causa principale (ad esempio, una vulnerabilità non gestita) e valutare l'effettiva estensione della compromissione all'interno dell'infrastruttura.

• Contenimento: questa attività mira a circoscrivere l'attacco per limitarne l'impatto immediato e prevenirne la propagazione ad altri sistemi. Le azioni tipiche includono l'isolamento dei sistemi compromessi dalla rete, la disattivazione degli account violati e il blocco dei flussi di comunicazione malevoli.

• Eradicazione: una volta contenuto l'attacco, l'obiettivo è rimuovere completamente la presenza dell'attaccante e ogni sua capacità di persistenza. Ciò include la bonifica delle credenziali compromesse, la rimozione di malware e altri artefatti malevoli e la risoluzione delle vulnerabilità sfruttate.

La fase di ripristino mira a riportare i sistemi informativi e di rete allo stato operativo precedente all'incidente, garantendone la piena funzionalità e sicurezza. Le attività tipiche di questa fase includono la reinstallazione dei sistemi a partire da immagini "pulite" (golden image), il ripristino dei dati dai backup e un attento monitoraggio post-ripristino per verificare che i sistemi funzionino correttamente e che non vi siano segni di nuove compromissioni.

Il miglioramento non è una fase conclusiva, ma un processo continuo che attraversa l'intero ciclo di vita della gestione degli incidenti. Il suo scopo è quello di capitalizzare l'esperienza acquisita per potenziare le capacità di risposta future. Ciò avviene principalmente attraverso l'analisi post-incidente o le riunioni di "lesson learned", durante le quali si esaminano criticamente le azioni intraprese.

Durante queste sessioni vengono solitamente affrontati i seguenti temi:

• Valutazione dell'adeguatezza e della corretta esecuzione delle procedure.

• Identificazione delle criticità operative emerse durante la gestione dell'incidente.

• La proposta prevede interventi correttivi e di potenziamento, quali l'aggiornamento delle politiche e delle procedure o l'introduzione di nuovi strumenti.

È fondamentale sapere come gestire un incidente, ma è altrettanto importante comprendere cosa costituisce un incidente da notificare secondo la legge e quali sono gli obblighi specifici che ne derivano.

La normativa NIS trasforma la gestione degli incidenti da una buona pratica operativa a un preciso adempimento legale. Al centro di tale obbligo vi è la notifica al CSIRT Italia di ogni "incidente significativo". Per evitare ambiguità e garantire un approccio omogeneo, l'ACN ha definito un modello strutturato che classifica le tipologie di incidente la cui occorrenza comporta l'obbligo di segnalazione.

Il modello ACN descrive ogni tipo di incidente significativo attraverso tre elementi logici, fornendo un quadro chiaro e inequivocabile.

I tre elementi del modello sono:

• Condizione: la circostanza che scatena l'obbligo di notifica. Si verifica nel momento in cui il soggetto ha evidenza dell'incidente, ovvero dispone di elementi oggettivi che ne confermano l'accadimento. È questo il momento in cui iniziano a decorrere i termini per la notifica, non necessariamente il momento in cui l'incidente si è verificato.

• Compromissione: l'evento di sicurezza che si è verificato. Le tipologie includono la perdita di riservatezza (es. esfiltrazione di documenti), la perdita di integrità (es. defacement di un sito web), la violazione dei livelli di servizio (SL) (es. indisponibilità di un servizio oltre una soglia definita) e l'accesso non autorizzato (es. uso di credenziali rubate).

• Oggetto della compromissione: la risorsa su cui l'evento ha avuto impatto. Si può trattare di "dati digitali" (di proprietà del soggetto o sui quali il soggetto esercita un controllo) o di "servizi e/o attività" che l'organizzazione svolge per raggiungere i propri obiettivi.

La normativa stabilisce una scansione temporale precisa per il processo di notifica, garantendo un flusso informativo tempestivo e strutturato verso le autorità competenti.

1. Pre-notifica: Da inviare entro 24 ore dal momento in cui si è acquisita l'evidenza dell'incidente. Questa prima segnalazione ha lo scopo di allertare tempestivamente il CSIRT Italia.

2. Notifica: Da inviare entro 72 ore dall'acquisizione dell'evidenza. Questa comunicazione aggiorna e approfondisce le informazioni preliminari, fornendo una valutazione iniziale della gravità e dell'impatto dell'incidente.

3. Relazione finale: da trasmettere entro un mese dalla notifica. Questo documento conclusivo deve fornire una descrizione dettagliata dell'incidente (gravità e impatto), indicare la causa principale che lo ha innescato e illustrare le misure di mitigazione adottate e ancora in corso.

È fondamentale sottolineare che il "cronometro" normativo non parte dal momento dell'incidente, ma da quando l'organizzazione acquisisce prove oggettive del suo verificarsi, aspetto che deve essere documentato con precisione.

Tale schema rigido è tuttavia inserito in un framework che promuove la flessibilità e la proporzionalità, consentendo un'applicazione intelligente e non meramente burocratica.

Un elemento qualificante del framework definito dall'ACN è l'adozione di un approccio basato sul rischio. Questo principio cardine evita un'applicazione rigida e universale delle misure di sicurezza, riconoscendo che non tutte le organizzazioni e i sistemi presentano lo stesso livello di criticità. Questo principio consente ai soggetti NIS di calibrare gli interventi in base al proprio contesto specifico (dimensioni, esposizione al rischio, impatto sociale ed economico), garantendo che le misure adottate siano proporzionate, efficaci e sostenibili.

Questo approccio si concretizza attraverso clausole specifiche inserite nel testo dei requisiti di sicurezza:

• "Per almeno i sistemi informativi e di rete rilevanti": Questa clausola conferisce ai soggetti la facoltà di concentrare le misure più onerose e stringenti sui sistemi la cui compromissione avrebbe un impatto significativo sulla fornitura dei servizi essenziali. In questo modo, si ottimizza l'allocazione delle risorse, focalizzando gli sforzi dove il rischio è maggiore, senza imporre controlli sproporzionati su asset a bassa criticità.

• "In accordo agli esiti della valutazione del rischio": Questa disposizione lega direttamente l'implementazione di una misura ai risultati dell'analisi del rischio condotta dal soggetto. La valutazione del rischio definisce non solo "dove" applicare un requisito (l'ambito), ma anche "come" applicarlo (le modalità). Ad esempio, un requisito che impone l'uso dell'autenticazione multifattore (MFA) potrebbe essere applicato solo a sistemi ad alto rischio identificati dalla valutazione, escludendo quelli a rischio trascurabile.

L'adozione di un approccio basato sul rischio sposta l'onere della prova sull'organizzazione, richiedendo una solida governance e una documentazione formale e rigorosa. L'organizzazione deve essere pronta a giustificare formalmente alle autorità di regolamentazione le proprie scelte, dimostrando perché un sistema non è stato classificato come "rilevante" o perché una determinata valutazione del rischio ha portato a una scelta di implementazione specifica. Questo trasforma la documentazione da un mero onere burocratico a uno strumento fondamentale per garantire la conformità.

Il processo di gestione degli incidenti delineato dall'Agenzia per la Cybersicurezza Nazionale è un modello maturo e completo, progettato per rispondere alle sfide della sicurezza digitale moderna. La sua efficacia risiede nell'integrazione di quattro pilastri fondamentali:

• La struttura ciclica e completa del processo va oltre la semplice reazione all'incidente, includendo la preparazione proattiva, l'analisi e il miglioramento continuo, e promuovendo così una cultura della sicurezza resiliente.

• Il solido ancoraggio normativo alla Direttiva NIS, che eleva la gestione degli incidenti da pratica consigliata a obbligo di conformità legale, con chiare responsabilità per gli organi direttivi.

• La chiarezza degli obblighi di notifica, che attraverso tipologie di incidente e tempistiche ben definite garantisce un flusso informativo coerente e tempestivo a livello nazionale, è essenziale per una difesa collettiva.

• La flessibilità garantita da questo approccio basato sul rischio consente di applicare misure proporzionate ed efficaci, adattando i controlli al contesto specifico di ogni organizzazione e ottimizzando l'uso delle risorse.

In conclusione, l'adozione di questo framework non è solo un adempimento normativo, ma un investimento strategico. Per i soggetti NIS, implementare questo processo significa diventare un nodo attivo e robusto all'interno dell'architettura di resilienza cibernetica nazionale, trasformando un obbligo normativo in un vantaggio competitivo e strategico.