La direttiva NIS2 ha iniziato a produrre effetti per migliaia di organizzazioni europee. Rispetto alla precedente normativa, è evidente l’allargamento dell’ambito di applicazione: oltre a imporre vincoli più stringenti, la normativa coinvolge un’ampia gamma di soggetti, pubblici e privati, che erogano servizi ritenuti essenziali o importanti per la collettività, nonché (indirettamente) anche le loro supply chain.
Per queste realtà, l’adeguamento a NIS2 non è facoltativo e significa adottare misure tecniche e organizzative specifiche, strutturare processi di sicurezza formalizzati e garantire una governance efficace del rischio cyber. L’impatto del cambiamento dipende dal livello di maturità e cultura della sicurezza già presente in azienda.
La Direttiva, infatti, si rivolge a soggetti di medie e grandi dimensioni, che difficilmente sono del tutto digiuni di sicurezza informatica. Tuttavia, non è detto che abbiano già implementato tutti i processi richiesti, dal risk assessment alla gestione degli incidenti, dalla valutazione dei fornitori alle attività di formazione periodica. Ed è possibile che ciò che esiste sia frammentato, non documentato o poco strutturato.
Prima di individuare i pilastri di un audit NIS2, domandiamoci cosa sia, concretamente, un audit di cyber security e come si svolga.
Un audit di sicurezza informatica è un’attività strutturata di valutazione che ha l’obiettivo di verificare quanto un’organizzazione sia conforme a determinati requisiti di sicurezza, sia tecnici che organizzativi. Non si tratta di un semplice controllo dell’infrastruttura IT, ma di un processo più ampio che analizza le policy, i flussi informativi, le responsabilità, i processi, i fornitori e, in alcuni casi, anche la cultura della sicurezza aziendale.
L’audit può essere condotto da un ente esterno dedicato o da una funzione interna indipendente e segue criteri prestabiliti, spesso definiti da normative o standard internazionali. Prevede la raccolta e l’analisi di evidenze documentali, interviste con le figure responsabili, test tecnici e valutazioni sull’efficacia dei processi in essere. L’obiettivo finale è misurare il livello di rischio, individuare le non conformità e definire le azioni correttive necessarie.
L’audit NIS2 è lo strumento con cui si valuta se l’organizzazione è in grado di garantire un livello di sicurezza e resilienza adeguato alle indicazioni del legislatore europeo, che – com’è noto – spaziano dalla gestione del rischio alla continuità operativa, fino allo sviluppo sicuro dei sistemi informatici. Di seguito vediamo le principali aree su cui si concentra la valutazione, tratte direttamente dagli elementi chiave previsti dalla normativa (in particolare, dall’Art.21).
La Direttiva NIS2 impone un processo strutturato di analisi e gestione del rischio informatico. L’audit serve precisamente per verificare se esiste una metodologia formalizzata per individuare le minacce rilevanti, valutarne l’impatto potenziale e pianificare le contromisure adeguate.
È fondamentale che il processo sia eseguito periodicamente e comprenda anche l’analisi dei rischi derivanti da terze parti o interconnessioni critiche. L’assenza di un assessment periodico e documentato, o il mancato aggiornamento della metodologia sottostante (rischi e minacce cambiano di continuo), è una non conformità facile da rilevare in fase di audit, e spesso indicativa di una gestione della sicurezza ancora troppo reattiva anziché strutturata.
Diverse aziende, anche quelle più strutturate, cadono sulla capacità di risposta agli incidenti, semplicemente perché concentrano gli investimenti nella prevenzione.
Secondo NIS2, un’organizzazione deve essere in grado di rilevare tempestivamente gli incidenti informatici, attivare una risposta coordinata e notificare l’evento alle autorità competenti. L’audit NIS2 verifica dunque l’esistenza o meno di una procedura formale di incident response: non solo gli strumenti, ma le procedure, i ruoli, le responsabilità e i flussi di comunicazione, nella speranza che siano chiaramente definiti. In mancanza di un team interno strutturato, è utile dimostrare di avere un supporto esterno attivo e contrattualizzato, in grado di garantire una risposta operativa anche in situazioni critiche.
Un audit NIS2 verifica che l’azienda disponga di piani di business continuity e disaster recovery aggiornati, coerenti con la mappa dei processi critici e sottoposti a test periodici. L’analisi si concentra in particolare su tre aspetti fondamentali:
l’esistenza di documenti formali e approvati;
la loro effettiva attivazione o simulazione nel tempo;
il livello di consapevolezza di chi è coinvolto nell’esecuzione delle procedure. È essenziale che ogni figura sappia con chiarezza quale ruolo deve ricoprire in caso di crisi, e che il piano non rimanga un esercizio teorico, ma uno strumento operativo realmente adottato e verificato.
Uno dei punti più rilevanti introdotti da NIS2 è la responsabilità delle aziende per la sicurezza della loro catena di fornitura, cosa che di fatto impone valutazione e monitoraggio dei fornitori dal punto di vista della cyber sicurezza.
L’audit verifica che l’azienda abbia definito dei criteri strutturati per la qualifica dei partner, in particolare di quelli che accedono a dati e sistemi rilevanti. Il processo inizia di solito con la somministrazione di questionari di autovalutazione, che consentono di raccogliere informazioni su tecnologie utilizzate, sistemi informativi coinvolti (soprattutto in caso di interconnessioni) e processi di sicurezza attivi presso il fornitore. Seguono, se necessario, approfondimenti tecnici o audit diretti.
NIS2 richiede che il personale sia formato sui temi della sicurezza informatica, con programmi ricorrenti e documentabili. In sede di audit NIS2, occorre valutare non solo che i programmi esistano effettivamente, ma anche i loro contenuti, la frequenza, la tracciabilità delle partecipazioni e il coinvolgimento di figure chiave, incluso il top management. Questo perché in alcune realtà, i corsi sono ancora percepiti come un adempimento formale, mentre la Direttiva spinge verso una cultura della sicurezza diffusa e responsabilizzante.
La Direttiva impone un’attenzione esplicita alla sicurezza lungo l’intero ciclo di vita dei sistemi informatici, dall’acquisizione allo sviluppo fino alla manutenzione. Un audit NIS2 può verificare se l’organizzazione adotta metodologie strutturate per lo sviluppo sicuro del software, applica pratiche consolidate come i vulnerability assessment e i penetration test, e integra approcci moderni alla gestione del ciclo di vita applicativo, tra cui il modello DevSecOps. L’obiettivo è garantire che la sicurezza non sia un’aggiunta finale, ma un requisito progettuale presente fin dalle prime fasi di sviluppo e venga mantenuto nel tempo attraverso controlli continui e aggiornamenti tracciabili.