L’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato lo scorso dicembre le Linee guida NIS sulla definizione del processo di gestione degli incidenti di sicurezza informatica, documento volto a supportare i soggetti inclusi nell’ambito di applicazione del decreto legislativo 4 settembre 2024, n. 138 (decreto NIS), nell’attuazione degli obblighi in materia di gestione degli incidenti e che accompagna il precedente documento sulle specifiche di base (“guida alla lettura”).
Il documento è rivolto ai soggetti NIS essenziali e importanti e ha lo scopo di fornire un modello di riferimento per la definizione e strutturazione del processo di gestione degli incidenti di sicurezza informatica, illustrandone le fasi, le sotto fasi e la relazione con le misure di sicurezza di base previste dalla disciplina NIS.
Le Linee guida non introducono nuovi obblighi, ma descrivono un possibile assetto organizzativo e operativo del processo, mettendo in connessione le prescrizioni normative con le attività concrete richieste per la prevenzione, il rilevamento, la risposta e il miglioramento continuo nella gestione degli incidenti.
Il modello proposto da ACN articola il processo di gestione degli incidenti in cinque fasi principali:
- preparazione, che comprende le attività di governo, identificazione e protezione;
- rilevamento, finalizzata all’individuazione tempestiva di eventi rilevanti per la sicurezza informatica;
- risposta, che include le sottofasi di segnalazione, investigazione, contenimento ed eradicazione;
- ripristino, volta al ritorno allo stato operativo antecedente all’incidente;
- miglioramento, intesa come fase trasversale alimentata dalle lezioni apprese.
Misure di sicurezza e assetto organizzativo
Una parte significativa del documento è dedicata alla fase di preparazione, nella quale assumono rilievo:
- la definizione e l’approvazione, da parte degli organi di amministrazione e direttivi, del piano per la gestione degli incidenti, previsto dalla misura RS.MA 01;
- l’adozione di politiche di sicurezza informatica coerenti con le misure GV.PO 01 e GV.PO 02, incluse quelle relative al monitoraggio degli eventi, alla risposta agli incidenti e al ripristino;
- l’assegnazione formale di ruoli e responsabilità, inclusa la designazione del Punto di contatto e del Referente CSIRT, nonché l’integrazione di eventuali terze parti coinvolte nel processo.
Le Linee guida chiariscono che la designazione del Referente CSIRT costituisce una delega operativa e non trasferisce la responsabilità in capo agli organi di amministrazione e direttivi, come previsto dall’articolo 23 del decreto NIS.
Rilevamento, evidenza e incidenti significativi
Con riferimento alla fase di rilevamento, la Guida indica che gli eventi rilevanti per la sicurezza informatica sono sottoposti ad analisi (triage) per verificarne la natura; solo ove l’analisi confermi che l’evento sia relativo a un incidente, questo viene dichiarato e si avvia la fase di risposta.
Particolare attenzione è dedicata al concetto di evidenza dell’incidente, nozione centrale ai fini degli obblighi di notifica. Viene chiarito che ciò che rileva non è la completa ricostruzione della causa, ma la disponibilità di elementi oggettivi che attestino il verificarsi di una delle tipologie di incidenti significativi previste dalle specifiche di base. L’acquisizione dell’evidenza segna il momento dal quale decorrono i termini di 24 ore per la pre-notifica e di 72 ore per la notifica al CSIRT Italia.
Il documento richiama inoltre la distinzione tra le tipologie di incidenti significativi applicabili ai soggetti importanti e quelle ulteriori previste per i soggetti essenziali, inclusa la fattispecie dell’accesso non autorizzato o con abuso dei privilegi concessi.
Ripristino e miglioramento continuo
Le fasi di ripristino e miglioramento sono trattate come elementi essenziali per garantire la resilienza dell’organizzazione. In particolare, viene sottolineata la necessità di:
- adottare e documentare procedure di ripristino dei sistemi informativi e di rete, coerenti con il piano di gestione degli incidenti;
- tracciare le attività svolte e valutarne l’efficacia;
- integrare le lezioni apprese nei piani di continuità operativa, di ripristino in caso di disastro e di gestione delle crisi, come richiesto dalle misure di miglioramento della disciplina NIS.
Conclusioni
Come precisato da ACN, le Linee guida non modificano né integrano le disposizioni del decreto NIS o delle determinazioni attuative, ma forniscono un modello di riferimento e un supporto interpretativo per i soggetti chiamati a tradurre i requisiti normativi in processi e procedure operative.
Il documento appare particolarmente utile nelle fasi di progettazione del processo di gestione degli incidenti, di verifica dell’allineamento tra misure adottate e requisiti normativi e di preparazione alle attività di controllo e riesame previste dalla disciplina NIS, contribuendo a una lettura sistematica degli obblighi in materia di incident management all’interno del quadro NIS2.
Su un argomento simile, può essere di interesse “Specifiche di base NIS2: ACN pubblica la guida“.
