In materia di cybersecurity ed in assenza di disposizioni normative cogenti, rimango di centrale importanza gli standard internazionali. Circa una decina di anni fa, il NIST – National Institute of Standards & Technology – ha sviluppato un primo Cybersecurity Framework (CSF) che è in procinto di essere aggiornato.
Che cos’è il NIST Cybersecurity Framework?
Il Cybersecurity Framework consiste in standard, linee guida e best practice per assistere le società a migliorare la loro gestione dei rischi per la sicurezza informatica. Il CSF è concepito per essere sufficientemente generico da consentire l’adattamento alla realtà di ciascuna organizzazione, pur creando un punto di partenza di particolare importanza.
La prima versione del Cybersecurity Framework (versione 1.0) risale agli anni 2013/2014 diventando quasi subito uno dei modelli di sicurezza più largamente adottatati a livello mondiale. Tuttavia, dopo più di una decina di anni, necessita di un adattamento all’attuale panorama cyber, particolarmente mutato non solo rispetto alle tecnologie usate, ma anche rispetto alle disposizioni normative che – con il tempo – sono state adottate o sono in procinto di essere adottate.
In tale ottica, il NIST ha recentemente annunciato che sta lavorando alla bozza di CSF 2.0 aprendo, al contempo, ad una consultazione pubblica che si concluderà il prossimo 4 novembre. L’obiettivo è quello di pubblicare una versione definitiva del CSF 2.0 nei primi mesi del 2024.
Cosa cambia con la versione 2.0 del NIST CSF
La modifica principale del CSF consiste nel suo ambito di applicazione. Quest’ultimo è infatti stato aggiornato per riflettere un possibile utilizzo da parte di qualsiasi entità, in qualsiasi settore. L’obiettivo è quindi di evidenziare come la tutela delle infrastrutture critiche non sia un tema riservato a pochi enti in ambiti specifici ma, al contrario, come debba essere preso in considerazione in tutti i settori.
Proprio in questa ottica il nuovo CSF non fa più solo riferimento alla sua applicabilità agli USA ma, in linea con il suo effettivo utilizzo a livello mondiale, alla sua implementazione globale.
È poi interessante notare come il CSF sia posto espressamente in congiunzione con gli altri framework adottati, in particolare a quello relativo alla Intelligenza Artificiale – tema caldo degli ultimi mesi – nonché a quello in materia di privacy.
Tale aspetto deve essere letto congiuntamente alla volontà del CSF 2.0 di porre maggiore enfasi sull’adozione da parte delle organizzazioni di un sistema di governance in materia cyber. In tale ottica il CSF 2.0 introduce un nuovo pilastro di Governance, in aggiunta ai cinque pilastri originali (ovvero identificare, proteggere, rilevare, rispondere e recover). Tale nuovo pilastro fornisce indicazioni su come le organizzazioni possano prendere e attuare le proprie decisioni interne al fine di sostenere la loro strategia complessiva in materia cyber.
Tale approccio è certamente in linea con le evoluzioni normative del settore che pongono sempre maggiore attenzione non solo sull’adozione di strumenti tecnici idonei alla tutela dei sistemi informatici ma anche all’adozione di sistemi di vigilanza e compliance specifici a protezione del rischio aziendale, anche rispetto alla supply chain.
I prossimi passi
In attesa della versione definitiva del CSF 2.0 da parte del NIST, in attesa per i primi mesi del 2024, suggeriamo alle organizzazioni che hanno utilizzato tale standard nella creazione dei propri processi di cybersecurity valutino nuovamente le integrazioni da apportare, con una particolare attenzione all’adozione di veri e propri sistemi di compliance che siano peraltro in linea con le disposizioni normative in via di adozione (tra tutte DORA e NIS 2).
Su un simile argomento può essere di interesse il seguente articolo: “La Direttiva NIS2 pubblicata – novità in materia cybersecurity“.