Technology

Operatori di Servizi Essenziali e misure di Cybersecurity: come capire cosa manca?

Fra gli obblighi normativi e le linee guida relative a istruzioni e indicazioni esistenti, gli Operatori di Servizi Essenziali sono chiamati a implementare una robusta e resiliente postura di sicurezza. Per ottenere una lista ragionata delle dotazioni da implementare, è necessario fare l’appello fra i controlli dovuti e le misure di sicurezza applicabili.

di Alessia Valentini

È passato oltre un anno dalla data limite, luglio 2019, fissata per l’innalzamento del livello di sicurezza informatico degli Operatori di Servizi Essenziali (O.S.E.) secondo la Direttiva Europea N.I.S. (Network and Information Security) 2016/1148, recepita nel nostro Ordinamento con il D.Lgs n.65/2018.

Linee guida e istruzioni dalla UE hanno indicato la strada da seguire. Le raccomandazioni del DIS veicolate in modalità controllata, ma non classificata, hanno potuto ulteriormente chiarire come procedere.

Ma se un OSE, pur seguendo le direttive ricevute, volesse oggi sapere come si sono mossi gli operatori della sua stessa categoria per un confronto o per beneficiare di best practice nell’implementazione delle misure di Cybersecurity, potrebbe trovare qualche difficoltà.

Infatti, non è possibile trovare alcuna notizia pubblica sull’adeguamento degli OSE alle indicazioni NIS. Questo perchè gli OSE, essendo per loro stessa definizione “Operatori di servizi essenziali”, sono soggetti alla circolazione limitata e controllata di tutte le informazioni di sicurezza informatica che li possano riguardare. Si tratta di informazioni sensibili a tutti gli effetti. Evidenziare pubblicamente le misure di sicurezza mancanti metterebbe in serio rischio non solo l’azienda ma anche il servizio erogato al paese.

Come procedere e cosa fare: non sempre è così chiaro

A fronte di informazioni a circolazione limitata sullo stato delle misure di Cybersecurity, non sono ovviamente possibili confronti o bilanci pubblicamente condivisi. Una specifica delega alle Autorità competenti NIS, individuate per ogni settore di mercato con specifiche responsabilità (vedi la NIS in pillole per la lista delle responsabilità per ogni Autorità competente n.d.r.), è stata istituita per l’individuazione delle liste degli OSE, i suggerimenti di linee guida e le indicazioni di applicabilità, i controlli e le verifiche ispettive e sanzionatorie.

Ma se siete un’organizzazione che ricade nella categoria OSE, e voleste effettuare una autoanalisi di gap per valutare gli sforzi di sicurezza effettuati fino ad oggi, e tracciare un bilancio per capire se ci sono esigenze di sicurezza da colmare con tecnologie abilitanti da indirizzare, insomma se voleste tracciare un’autovalutazione prima ancora di contattare l’autorità competente e prima ancora della verifica ispettiva, sapreste come procedere e cosa fare?

E’ importante ricordare le sanzioni citate nella Direttiva NIS – “Salvo che il fatto costituisca reato, la violazione da parte di OSE e FSD degli obblighi previsti dal decreto legislativo comporta l’irrogazione di sanzioni amministrative pecuniarie fino ad un massimo di 150.000 euro; la reiterazione determina l’aumento fino al triplo della sanzione prevista”.

Ripassiamo allora brevemente la normativa applicabile e le indicazioni fornite dalla UE per le misure di sicurezza minime per questi operatori così peculiari.

Gli operatori di servizi essenziali (OSE), gli FSD e lo scenario Normativo

La Direttiva NIS individua due soggetti principali: gli  Operatori di Servizi Essenziali (OSE) e i  Fornitori di Servizi Digitali (FSD) (per le definizioni la NIS in pillole). Tutti gli attori della NIS sono chiamati alla notifica immediata di incidenti di sicurezza verso il Computer Security Incident Response Team (CSIRT) nazionale. Sono anche chiamati ad operare in modo preventivo al fine di avere una postura di sicurezza che minimizzi il rischio di incidente sia del tipo colposo per errori o malfunzionamenti, sia di tipo doloso causato da attaccanti esterni all’organizzazione, tipicamente criminali digitali.

Dopo l’introduzione della Direttiva NIS e il recepimento sul territorio nazionale, le singole autorità competenti hanno avuto l’obbligo di individuare gli OSE entro l’8 Novembre 2018. L’elenco nazionale degli operatori di servizi essenziali, aggiornato ogni 2 anni, è mantenuto dal Ministero dello sviluppo economico. La DIS si occupa quindi di trasmetterlo alla Commissione europea (fonte documenti della Camera dei deputati).

Ovviamente la lista degli OSE nazionali è secretata per motivi di sicurezza nazionale.

Come esempio di indicazioni fornite agli OSE, riportiamo l’iniziativa del Ministero della Salute che sul suo portale ha pubblicato una sezione specifica richiamando genericamente gli OSE ad osservare le indicazioni “basate sul Framework Nazionale per la Cyber Security e la Data Protection. Nella sezione viene specificato che questo framework  inquadra “le misure di sicurezza, gli standard e le norme di settore, secondo un principio di neutralità tecnologica” senza “imporre agli operatori l’impiego di una specifica dotazione strumentale”, suggerendo “un approccio razionale e dinamico strettamente legato all’analisi del rischio”.

Il Framework Nazionale e il suo utilizzo

Sebbene tutti gli strumenti disponibili legati al Framework Nazionale (che derivano dal NIST framework) siano copiosamente commentati e forniti in modalità gratuita, anche in formato Excel, per una rapida utilizzazione, l’analisi da fare sulla propria realtà secondo le direttrici di “Identify, Protect, Detect, Respond, Recover”, può non essere immediatamente intuitiva e banale da eseguire.

Le difficoltà riguardano non solo la raccolta di tutti i propri dati aziendali, ma soprattutto il matching con le tecnologie che implementano le misure di sicurezza minime necessarie alla compliance e alla efficace protezione del proprio perimetro aziendale.

Gruppo Daman per supportare e aiutare gli OSE, ha realizzato una guida pratica, derivata dalla Mappatura delle misure minime di sicurezza. La Guida, partendo dai requisiti di sicurezza, fornisce una chiara indicazione delle tecnologie abilitanti che possono rapidamente essere messe in campo ai fini dell’efficacia e dell’efficienza dell’intervento.

Perchè una Guida pratica?

Il Framework Nazionale per la Cybersecurity e la Data Protection è uno strumento di autovalutazione basato sul NIST framework americano e localizzato per l’Italia con l’aggiunta dei controlli per la data protection in osservanza al regolamento europeo del GDPR.

Sempre in tema governance le organizzazioni possono adottare la certificazione UNI/EN/ISO 27001 e/o lo standard ISA/IEC 62443:3.3, per la tenuta sotto controllo delle misure di sicurezza.

Quale che sia il framework di governance adottato, l’importante è sapere correlare tutte le misure di sicurezza con tutti gli obblighi della normativa NIS. Questa correlazione è stata fornita dalla UE in uno specifica tabella di corrispondenze che riporta tutte le 30 misure minime di sicurezza da implementare in ottica NIS ed i corrispondenti paragrafi dei controlli per ognuna delle certificazioni e framework di security più diffusi, la ISO27001, il NIST CF e la ISA/IEC 62443: 3.3.

Quindi operativamente un OSE dovrebbe scegliere uno dei tre framework (disposti per colonna) e leggendo i controlli a cui adeguarsi per ogni riga, comprendere le modalità con cui ha implementato a casa sua le misure di sicurezza.

La “Guida pratica per gli Operatori di Servizi Essenziali”

Poiché come detto, i framework di governance spiegano cosa tenere sotto controllo ma non indicano con quali tecnologie farlo, la “Guida Pratica” realizzata da Gruppo Daman, facilita la relazione fra le misure di sicurezza da applicare, la soddisfazione dei controlli e le tecnologie abilitanti.

Il risultato è una guida accurata di corrispondenze sui prodotti di mercato che possono rapidamente essere adottati, installati e configurati.

Per scaricare la “Guida pratica per gli Operatori di Servizi Essenziali”

Inoltre, per fornire una visione dettagliata e comprendere come una particolare tecnologia sia in grado di rispondere ad una o piu’ misure di sicurezza in ottica NIS è stata realizzata una specifica presentazione, ottenibile contattando comunicazione@gruppodaman.it.