Il 30 giugno segna una delle prime scadenze operative realmente significative per i soggetti NIS essenziali e importanti: la comunicazione dell’elenco delle attività e dei servizi, con relativa categorizzazione secondo il modello definito da ACN.
Per molte organizzazioni il rischio è affrontare questa attività nel modo più povero possibile: compilare un file, scegliere qualche macroarea, assegnare una categoria di rilevanza e procedere al caricamento in piattaforma. Formalmente può sembrare sufficiente. Sostanzialmente, però, sarebbe un’occasione persa.
La categorizzazione non nasce per produrre un adempimento documentale. Nasce per creare una lettura ordinata delle attività svolte dall’organizzazione e dell’impatto che una loro compromissione potrebbe avere sulla capacità del soggetto di continuare a operare correttamente. In altre parole, serve a introdurre un principio che sarà centrale nella gestione NIS2: la proporzionalità.
Non tutte le attività hanno lo stesso peso. Non tutti i servizi IT hanno la stessa criticità. Non tutti gli asset meritano lo stesso livello di presidio. Non tutti i fornitori generano lo stesso rischio.
La categorizzazione serve proprio a distinguere, evitando sia l’approccio superficiale, che tratta tutto come marginale, sia quello ipertrofico, che considera tutto critico e quindi rende impossibile stabilire priorità concrete.
Dalla macroarea all’impatto reale sul business
Il modello di categorizzazione prevede l’organizzazione delle attività e dei servizi in macroaree: monitoraggio e controllo, produzione di beni e servizi, ricerca sviluppo e progettazione, gestione finanziaria, gestione clienti, risorse umane, logistica, comunicazione e marketing, gestione amministrativa e altri servizi e attività.
La macroarea, però, non deve essere interpretata come una semplice etichetta. È il dominio funzionale dentro cui collocare attività realmente svolte dall’organizzazione con il supporto di sistemi informativi e di rete.
Dire “produzione” non basta. Occorre capire quali attività concrete compongono quella produzione: pianificazione, gestione ordini, approvvigionamento, lavorazione, controllo qualità, tracciabilità, gestione lotti, etichettatura, confezionamento, spedizione, manutenzione degli impianti. Lo stesso vale per logistica, amministrazione, gestione clienti o monitoraggio e controllo.
A ogni attività viene poi associata una categoria di rilevanza, che non misura la “complessità informatica” del sistema utilizzato, ma l’impatto che una compromissione avrebbe sul business. È una differenza fondamentale.
Un sistema può essere tecnologicamente semplice ma sostenere un’attività essenziale. Al contrario, una piattaforma complessa può avere un impatto limitato sulla continuità operativa. La valutazione, quindi, non deve partire solo dalla tecnologia. Deve partire dal business.
Perché l’approccio top-down è più efficace
Per questo motivo l’approccio più corretto è top-down: partire dai processi e dalle attività aziendali, per poi scendere verso servizi IT, applicazioni, infrastrutture, asset e fornitori.
L’approccio bottom-up, basato sull’inventario dei sistemi, resta utile come controllo finale. Serve a non dimenticare componenti, apparati, applicazioni o dipendenze tecniche. Ma se si parte solo dai sistemi, si rischia di costruire una categorizzazione tecnicamente ordinata e aziendalmente debole.
La domanda non dovrebbe essere “quali server abbiamo?”. La domanda corretta è: “quali attività svolgiamo, quali servizi IT le supportano e che cosa succede se non possiamo più svolgerle?”.
Questo cambio di prospettiva è il vero valore della categorizzazione NIS2. Un ERP, un file server, un sistema di backup, una VPN, un gestionale di produzione o un applicativo qualità non sono critici in sé. Lo diventano nella misura in cui supportano attività che, se compromesse, possono bloccare produzione, consegne, fatturazione, tracciabilità, qualità, compliance o continuità operativa.
Il servizio IT eredita la criticità dell’attività
Una volta identificate le attività, occorre collegarle ai servizi IT che le supportano. È qui che la categorizzazione diventa realmente utile.
Se un’attività è classificata a impatto medio o alto, i servizi IT che la abilitano non possono essere trattati come servizi ordinari. E se quei servizi IT sono erogati da specifici asset, quegli asset ereditano una criticità coerente.
Da qui si costruisce una catena logica molto concreta: macroarea, attività, categoria di impatto, servizio IT, asset, owner, referente tecnico, fornitore, RTO, RPO, priorità di ripristino.
Questa catena è ciò che consente di trasformare un semplice inventario tecnico in un vero inventario degli asset critici. Non basta sapere che un asset esiste. Bisogna sapere che cosa supporta, chi lo gestisce, chi vi accede, quali fornitori sono coinvolti, quanto tempo può restare fermo, quanta perdita dati è tollerabile e quale impatto avrebbe una sua compromissione.
Dalla scadenza alla governance NIS2
Il punto, quindi, non è solo arrivare al 30 giugno. Il punto è usare questa scadenza per costruire un modello di governo.
La categorizzazione dovrebbe alimentare direttamente la Business Impact Analysis, il piano di continuità operativa, il disaster recovery, la gestione dei fornitori, il piano di gestione degli incidenti e, più avanti, anche la definizione delle misure di sicurezza a lungo termine.
Se un’attività ha impatto alto, gli asset che la supportano dovranno avere obiettivi di ripristino coerenti. Se un fornitore esterno gestisce un asset critico, dovrà essere valutato con maggiore attenzione. Se un servizio IT ha un costo di fermo rilevante, quella informazione potrà supportare anche il budget cyber e il calcolo del ritorno dell’investimento in sicurezza, è qui che la NIS2 smette di essere una somma di adempimenti e diventa un sistema.
Il 30 giugno, quindi, non dovrebbe essere vissuto come una data da superare in fretta. Dovrebbe essere il momento in cui l’organizzazione inizia a mettere ordine tra attività, servizi IT, asset, fornitori, impatti e priorità operative.
Chi tratterà la categorizzazione come un Excel produrrà compliance minima. Chi la userà come mappa produrrà governo.
Perché la vera maturità NIS2 non sarà dimostrata dal numero di documenti prodotti, ma dalla coerenza con cui attività, servizi IT, asset, fornitori, continuità operativa, incident response e investimenti cyber saranno collegati tra loro.
#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
Sandro Sana
Source link
