Nello scenario degli standard nazionali e internazionali, è opportuno prendere in esame quelli più rilevanti in termini di adozione e compatibilità. Questo articolo analizza, confronta e riflette sulle differenze tra questi standard e propone alcune considerazioni di sostanza e di metodo.
Si tenga in considerazione che gli standard oggetto di analisi sono i seguenti:
- NIS2-Misure Minime di Base per i Soggetti Essenziali (MSB S_E).
- Misure Minime di Sicurezza ICT per la PA di cui alla Circolare 2/2017 di AgID (MMS PA).
- Critical Security Controls versione 8.1 (CSC 8.1).
- ISO 27001:2022 (ISO 27001).
Ognuno di questi standard contiene un certo numero di misure di sicurezza (altresì definiti controlli o salvaguardie); la differenza numerica tra i vari standard dipende essenzialmente dall’approccio metodologico al problema della cybersecurity.
| MSB S_E | MMS PA | CSC 8.1 | ISO 27001 |
|---|---|---|---|
| 116 | 122 | 153 | 93 |
Le Misure di Sicurezza di Base per la NIS2, così come le Misure Minime di Sicurezza ICT per la PA, sono molto tecniche e specifiche. I controlli della ISO 27001, invece, hanno un approccio più ampio e, tra l’altro, hanno subito una recente razionalizzazione proprio per ridurne il numero (nel 2013 erano 114).
Differenze di approccio: l’inventario software
È notevole il divario che può esserci tra la ISO 27001 e gli altri standard, ma questo è dovuto alla specializzazione delle normative tecniche che, per loro natura, devono affrontare i singoli aspetti procedurali e di configurazione del sistema informativo. Attenzione, però: questo non significa che la ISO 27001 non sia adeguata a sostenere i requisiti di sicurezza di un sistema informativo. Al contrario, è molto efficace, ma richiede un approccio più specialistico, anche attraverso l’adozione di standard di dettaglio. È interessante osservare come questi standard formulano i requisiti; si prenda come esempio l’inventario dei software usati nell’organizzazione.
La ISO 27001 prevede un controllo di sicurezza “ad ombrello” (5.09) per fornire un’indicazione di massima:
Deve essere redatto e mantenuto un inventario delle informazioni e degli altri beni associati, compresi i proprietari.
Al contrario lo standard CSC 8.1 prevede una salvaguardia (2.1) che entra molto più in profondità coinvolgendo anche attributi di classificazione assolutamente specifici.
Stabilire e mantenere un inventario dettagliato di tutto il software autorizzato installato sugli asset aziendali. L’inventario software deve documentare: il titolo, l’editore, la data di installazione/utilizzo iniziale e lo scopo aziendale di ogni voce; dove opportuno, includere l’Uniform Resource Locator (URL), l’app store, la versione, il meccanismo di distribuzione e la data di dismissione. Rivedere e aggiornare l’inventario software ogni due anni o più frequentemente.
La Circolare 2/2017 di AgID include meno dettagli rispetto ai CSC 8.1, ma presenta comunque elementi rilevanti come, ad esempio, la salvaguardia 2.1.1.
Stilare un elenco di software autorizzati e relative versioni necessari per ciascun tipo di sistema, compresi server, workstation e laptop di vari tipi e per diversi usi. Non consentire l’installazione di software non compreso nell’elenco.
Infine, le Misure di Sicurezza di Base per i Soggetti Essenziali previste dall’ACN includono un controllo (ID.AM-03) molto interessante.
È mantenuto un inventario aggiornato dei servizi, dei sistemi e delle applicazioni software che compongono i sistemi informativi e di rete, ivi incluse le applicazioni commerciali, open-source e custom, anche accessibili tramite API, approvati da attori interni al soggetto NIS.
Differenze sostanziali nelle normative nazionali
Tutti questi standard declinano l’inventario software attraverso più controlli, ma è senza dubbio interessante apprezzare anche ulteriori differenze. Ad esempio, la Circolare 2/2017 prevede che l’inventario venga aggiornato con uno strumento automatico, il controllo 1.3.2 afferma che è necessario “aggiornare l’inventario con uno strumento automatico quando nuovi dispositivi approvati vengono collegati in rete“. Niente di tutto questo si trova nelle Misure di Sicurezza di Base per i Soggetti Essenziali, ai quali viene semplicemente imposto di mantenere aggiornati i vari inventari
- ID.AM-01 (Hardware). È mantenuto un inventario aggiornato degli apparati fisici (hardware) che compongono i sistemi informativi e di rete, ivi inclusi i dispositivi IT, IoT, OT e mobili, approvati da attori interni al soggetto NIS.
- ID.AM-02 (Software e sistemi): È mantenuto un inventario aggiornato dei servizi, dei sistemi e delle applicazioni software che compongono i sistemi informativi e di rete, ivi incluse le applicazioni commerciali, open-source e custom, anche accessibili tramite API, approvati da attori interni al soggetto NIS.
- ID.AM-03 (Flussi di rete). È mantenuto un inventario aggiornato dei flussi di rete tra i sistemi informativi e di rete del soggetto NIS e l’esterno, approvati da attori interni al soggetto NIS.
- ID.AM-04 (Servizi fornitori). È mantenuto un inventario aggiornato dei servizi informatici erogati dai fornitori, ivi inclusi i servizi cloud.
Si può quindi affermare che, almeno sotto questo profilo, la NIS2 sia meno vincolante della Circolare 2/2017, che resta comunque in vigore. Va però considerato che l’automatismo previsto dalla Circolare 2/2017 riguarda un livello di adozione ALTO, mentre qui si stanno esaminando le Misure di Sicurezza di Base per i Soggetti Essenziali. Casi analoghi si possono trovare per i controlli ABSC 3 deputati a “proteggere le configurazioni di hardware e software sui dispositivi mobili, laptop, workstation server” o i controlli ABSC 5 deputati “all’uso appropriato dei privilegi di amministratore“.
Immaginiamo una realtà aziendale che, per conto della P.A., si occupa di distribuire energia elettrica sul territorio. Una realtà di questo tipo è contemporaneamente impattata tanto dalla NIS2, in quanto operante nel settore altamente critico dell’energia elettrica (Allegato 1, punto 1_A), quanto dalla Circolare 2/2017 in quanto gestore di un servizio pubblico.
Ricordiamo a beneficio del lettore che, secondo la Raccomandazione della Commissione, del 6 maggio 2003 art. 2, c. 1, una media impresa ha le seguenti caratteristiche:
- Personale: tra 50 e 249 dipendenti.
- Fatturato annuo: superiore a € 10 milioni e fino a € 50 milioni.
- Totale di bilancio annuo: superiore a € 10 milioni e fino a € 43 milioni.
In teoria, aziende di questo tipo dovrebbero dotarsi di sistemi automatizzati di asset inventory. In pratica, però, molte medie imprese gestiscono ancora questo processo in modo non automatizzato o solo semi-automatizzato. Una delle formule più adottate è lo scanner degli indirizzi IP lanciato manualmente, esportato in CSV e successivamente in un foglio Excel. Se poi l’azienda non fosse impattata dalla Circolare 2/2017 ma solo dalla NIS2, il requisito dell’automatismo decadrebbe completamente.
Conclusioni
A prima vista, si potrebbe dedurre che un soggetto rientrante nell’art. 2, comma 2, del C.A.D. e soggetto sia alla Circolare 2/2017 sia alla NIS2 debba adottare misure più specifiche rispetto a quelle richieste dalla sola NIS2. In realtà la riflessione da fare è profondamente diversa e tiene conto anche del periodo storico in cui sono state pensate e adottate queste misure. La Circolare 2/2017 nasceva come una “lista di controllo” prescrittiva per la Pubblica Amministrazione, mentre le Misure di Sicurezza di Base di ACN (figlie del Regolamento NIS2 e del Perimetro di Sicurezza Nazionale Cibernetica) si muovono verso una gestione del rischio più flessibile ma strategicamente più profonda. Non si tratta quindi di sovrapposizione o esclusione reciproca, ma di una reale integrazione: se con la Circolare 2/2017 ci si concentra sulla conformità tecnica punto per punto, l’approccio NIS2 è più basato sul processo e sulla sua resilienza. Come scritto in precedenza una visione non esclude l’altra, la integra.
