I controlli ISO 27002: Backup delle informazioni (8.13)

In questo articolo proseguiamo l’esame dei controlli di sicurezza linee guida ISO/IEC 27002:2022, Information security controls (UNI CEI EN ISO/IEC 27002:2023 – Controlli di sicurezza) trattando il Controllo 8.13 -Backup delle informazioni.

La linea guida del controllo 8.13 “Backup delle informazioni” della ISO/IEC 27002 non impone una metodologia specifica di backup, ma fornisce criteri e suggerimenti chiave per scegliere o progettare la strategia più adatta. Ecco un riassunto dei suggerimenti principali

I punti essenziali delineati da questo controllo sono i seguenti.

1. Scegliere la tipologia di backup più adatta

La linea guida fa intendere che la tipologia di backup (completo, incrementale, differenziale, ecc.) debba essere scelta in base a:

Criticità delle informazioni
Requisiti aziendali
Obiettivi di recupero (RPO/RTO)

Le Tipologie comuni sono le seguenti:

Completo (full): backup di tutti i dati → più sicuro ma più lento e pesante.
Incrementale: salva solo le modifiche dalla copia precedente → efficiente ma ripristino più complesso.
Differenziale: salva le modifiche dall’ultimo backup completo → buon compromesso tra spazio e velocità di ripristino.

2. Definire frequenza e scheduling

Il piano di backup deve riflettere la frequenza più adatta in base a:

Requisiti legali o contrattuali.
Frequenza di aggiornamento dei dati.
Rilevanza delle informazioni per la continuità operativa.

Esempio: per un database contabile può essere previsto un backup giornaliero incrementale + settimanale completo.

box server illuminated on blue — P_{hoto by panumas nikhomkhai on Pexels.com}

3. Registrare e documentare tutto

La linea guida raccomanda:

Documentazione dettagliata delle procedure di backup e ripristino.
Tracciamento dei backup eseguiti e dei risultati dei test.
Registro dei supporti di backup (fisici o virtuali).

4. Protezione dei backup

Il Backup non può essere una copia insicura. I backup pertanto devono essere:

Cifrati, se contengono dati sensibili.
Protetti fisicamente in luoghi sicuri e separati dal sito primario.
Accessibili solo a personale autorizzato.

5. Test regolari di ripristino

Non basta eseguire il backup: la guida sottolinea l’importanza di testare regolarmente:

L’integrità dei file di backup.
La capacità reale di ripristino (su ambiente di test).
La conformità ai tempi richiesti dal piano di continuità (RTO).

6. In caso di cloud

Se l’organizzazione usa servizi cloud deve:

Verificare se il cloud provider fa backup e con quali modalità.
Stabilire piani di backup aggiuntivi se i dati sono mission-critical.
Garantire che i backup cloud rispettino gli stessi standard di sicurezza e retention dei backup on-premise.

7. Conservazione ed eliminazione

Il backup deve essere integrato con le politiche di:

Retention: quanto tempo devono essere conservati i dati?
Eliminazione sicura: cosa succede ai backup una volta superata la scadenza?

In sintesi: la ISO 27002 suggerisce che la strategia di backup deve essere:

Adatta al contesto aziendale
Proporzionata ai rischi
Verificabile e documentata

Supportata da test reali di ripristino.

Oggi le criticità del backup sono costituite dall’assenza di un backup off-line (che protegge da attacchi ransomware) e di un backup off-site (che protegge da eventuali disastri fisici o ambientali quali incendi, inondazioni, terremoti, ecc.), dalla carenza di una procedura di disaster recovery rapida (molte organizzazioni hanno backup recenti di tutti i dati, ma il ripristino richiede tempi lunghissimi perchè occorre reinstallare tutti i sistemi operativi e gli applicativi informatici) e dalla difficoltà ad effettuare backup completi in tempi coerenti con l’operatività aziendale. Inoltre spesso le procedure di backup non sono documentate ed in assenza del personale che le ha progettate diventa difficoltoso effettuare il ripristino.

Linee Guida ENISA sull’applicazione della NIS 2

L’ENISA (Agenzia dell’Unione Europea per la Cibersicurezza) ha pubblicato (quasi contemporaneamente alla CYBERSECURITY ROLES AND SKILLS FOR NIS2 ESSENTIAL AND IMPORTANT ENTITIES) una guida tecnica per l’implementazione delle misure di gestione del rischio di cibersicurezza (https://www.enisa.europa.eu/publications/nis2-technical-implementation-guidance) in riferimento al Regolamento di Esecuzione (UE) 2024/2690 della Commissione del 17 ottobre 2024, che stabilisce i requisiti tecnici e metodologici previsti dall’Articolo 21(2) della Direttiva NIS2 (Direttiva (UE) 2022/2555).

L’obiettivo principale di questa guida è fornire consigli non vincolanti ai soggetti interessati su come implementare i requisiti tecnici e metodologici per la gestione del rischio di cibersicurezza. Sebbene sia destinato principalmente ai soggetti contemplati dal REGOLAMENTO DI ESECUZIONE (UE) 2024/2690 DELLA COMMISSIONE del 17 ottobre 2024, può essere utile anche per altre organizzazioni pubbliche o privati che desiderano migliorare la propria cibersicurezza.

La guida copre 13 requisiti tecnici e metodologici chiave per la gestione del rischio di cibersicurezza, tra cui:

Politica sulla sicurezza dei sistemi di rete e informativi.
Politica di gestione del rischio.
Gestione degli incidenti.
Continuità operativa e gestione delle crisi.
Sicurezza della catena di approvvigionamento.
Sicurezza nell’acquisizione, sviluppo e manutenzione dei sistemi di rete e informativi.
Politiche e procedure per valutare l’efficacia delle misure di gestione del rischio di cibersicurezza.
Pratiche di base di igiene informatica e formazione sulla sicurezza.
Crittografia.
Sicurezza delle risorse umane.
Controllo degli accessi.
Gestione degli asset.
Sicurezza ambientale e fisica.

Per ciascun requisito, il documento fornisce indicazioni, esempi di evidenze e suggerimenti utili. Questa guida è un “documento vivo” e viene correlata a standard europei e internazionali (come ISO/IEC 27001:2022 e NIST Cybersecurity Framework 2.0) e a framework nazionali di gestione della cibersicurezza. È importante notare che questo documento ha carattere consultivo e non è legalmente vincolante, né sostituisce i framework nazionali o le indicazioni fornite dagli Stati membri. Le entità dovrebbero verificare la propria giurisdizione e seguire le indicazioni delle autorità nazionali competenti.

Sezione 1 – Politica sulla Sicurezza dei Sistemi di Rete e Informativi

Questa sezione rappresenta il fondamento strategico dell’intero impianto normativo e operativo: la politica sulla sicurezza dei sistemi di rete e informazione è concepita come il documento di più alto livello, approvato dal vertice aziendale, che definisce l’approccio dell’entità alla cybersicurezza.

La politica deve:

Essere coerente con la strategia e gli obiettivi aziendali;
Esplicitare obiettivi di sicurezza, l’impegno al miglioramento continuo e all’allocazione di risorse adeguate (umane, tecniche, finanziarie);
Definire ruoli e responsabilità, anche per soggetti esterni rilevanti (fornitori, partner, etc.);
Includere un sistema di monitoraggio dell’attuazione e della maturità della postura di sicurezza, e l’elenco delle politiche tematiche obbligatorie (es. incidenti, crittografia, controllo accessi, etc.);
Prevedere revisioni almeno annuali e in occasione di incidenti o cambiamenti rilevanti.

L’implementazione efficace implica una comunicazione adeguata della politica al personale e agli stakeholder rilevanti, con firme o attestazioni di presa visione dove applicabile. Inoltre, la sezione insiste sulla segregazione dei compiti per evitare conflitti d’interesse e sulla presenza di almeno una figura (come il CISO) che riferisca direttamente al vertice.

In sintesi, questa sezione impone una governance solida, documentata e verificabile della sicurezza, con un forte coinvolgimento del top management e una tracciabilità delle responsabilità.

Sezione 2 – Politica di Gestione del Rischio

La seconda sezione introduce l’obbligo per i soggetti NIS di adottare un framework di gestione del rischio informatico strutturato e documentato, in grado di identificare, analizzare, valutare e trattare i rischi che minacciano la sicurezza dei sistemi di rete e informazione.

Il processo di gestione del rischio deve includere:

Metodologia formalmente adottata (es. ISO/IEC 27005, NIST RMF);
Definizione di criteri di rischio, tolleranza e appetito al rischio;
Identificazione dei rischi, anche da terze parti e supply chain, secondo un approccio all-hazards (quindi non solo cyber);
Analisi di minacce, impatti e probabilità, includendo vulnerabilità e intelligence su minacce attuali;
Definizione di misure di trattamento del rischio, tra cui mitigazione, accettazione, trasferimento o eliminazione del rischio;
Produzione di un piano di trattamento del rischio che specifichi: rischi trattati, misure associate, responsabilità e tempistiche;
Approvazione del piano da parte dei vertici aziendali o da chi ha responsabilità specifica.

Sono inoltre richieste revisioni almeno annuali del piano e dei risultati delle analisi di rischio, tenendo conto di modifiche operative, nuovi rischi, incidenti gravi o mutamenti nel contesto normativo o tecnologico.

Una parte fondamentale è dedicata al monitoraggio della conformità (compliance monitoring) e alle revisioni indipendenti della gestione della sicurezza. Queste devono essere condotte da soggetti con competenze adeguate e indipendenti rispetto all’area esaminata. I risultati devono essere riportati alla direzione e tradursi in azioni correttive o in decisioni motivate di accettazione del rischio residuo.

Non viene proposto alcun modello specifico, ma solo richiamati schemi esistenti (es. ISO 27005), dunque in questo paragrafo la guida tecnica è poco applicativa; la scelta fra livelli di probabilità, gravità, rischio inerente, efficacia delle misure di sicurezza e rischio residuo è lasciata all’organizzazione.

Sezione 3 – Gestione degli incidenti

Questa sezione stabilisce che ogni soggetto NIS deve adottare una politica strutturata per la gestione degli incidenti informatici. Tale politica deve specificare ruoli, responsabilità e procedure per il rilevamento, l’analisi, la risposta, la documentazione e la comunicazione degli incidenti. Deve essere coerente con i piani di continuità operativa (v. sezione 4) e prevedere strumenti come manuali, elenchi di contatti, procedure di escalation e reporting. Importante è anche il monitoraggio continuo dei sistemi, il logging, la classificazione degli eventi e la conduzione di post-incident reviews che permettano un miglioramento continuo della postura di sicurezza

Sezione 4 – Business Continuity and Crisis Management

Questa sezione tratta la preparazione e gestione della continuità operativa e delle crisi. I soggetti essenziali (e importanti) devono predisporre un piano di continuità e ripristino dei disastri, che includa ruoli e responsabilità, criteri per l’attivazione, obiettivi di recovery, risorse necessarie, comunicazioni interne/esterne e procedure per il ritorno alla normalità. Si raccomanda l’adozione di standard riconosciuti (es. ISO 22301) e l’integrazione tra piani di backup, risposta agli incidenti e gestione delle crisi. Per quest’ultima, è essenziale disporre di un piano specifico, testato regolarmente, e che definisca come comunicare con stakeholder e autorità durante una crisi.

Sezione 5 – Sicurezza della Supply Chain

La sicurezza della supply chain richiede una policy che governi i rapporti con fornitori e prestatori di servizi, identificando i rischi associati e criteri di selezione basati su pratiche di sicurezza, resilienza, diversificazione e conformità. Le entità devono inoltre mantenere un registro aggiornato dei fornitori, classificandoli per criticità (es. strategici, critici, ordinari). È incoraggiato l’uso di standard come ISO/IEC 27036 e NIST SP 800-161 per gestire il rischio nella catena di fornitura

Sezione 6 – Sicurezza nell’acquisizione, nello sviluppo e nella manutenzione del software

Questa sezione impone processi per la gestione sicura di acquisizioni, sviluppo e manutenzione di sistemi ICT. Si deve garantire sicurezza fin dall’acquisizione di componenti critici, applicare un ciclo di sviluppo sicuro, gestire correttamente configurazioni, cambiamenti, patch, test di sicurezza, segmentazione di rete e protezione contro software malevoli. È anche obbligatorio un processo strutturato per la gestione e la divulgazione di vulnerabilità

Sezione 7 – Valutazione dell’efficacia delle misure di sicurezza

Qui si richiede che i soggetti NIS adottino politiche e procedure per valutare regolarmente l’efficacia delle misure di gestione del rischio informatico. Queste valutazioni, compresi i riesami indipendenti, devono essere pianificate periodicamente e dopo eventi significativi. I risultati devono essere comunicati alla direzione e tradotti in azioni correttive o accettazione consapevole dei rischi residui.

Sezione 8 – Formazione sulla sicurezza informatica

I soggetti NIS devono implementare “pratiche di igiene informatica” (riporto testualmente, ma mi rifiuto di usare questi termini in contesto operativo) di base (es. aggiornamenti software, uso sicuro della posta elettronica) e programmi di sensibilizzazione e formazione per tutto il personale. L’obiettivo è diffondere una cultura della sicurezza e garantire che i dipendenti conoscano comportamenti e procedure adeguate in tema di cybersicurezza.

Sezione 9 – Crittografia

L’uso della crittografia deve essere proporzionato ai rischi e integrato nei processi aziendali. I soggetti NIS devono adottare meccanismi robusti per la protezione dei dati in transito e a riposo, oltre a definire politiche per la gestione delle chiavi crittografiche. È auspicabile l’uso di standard internazionali riconosciuti (es. NIST, ISO/IEC 18033).

Sezione 10 – Sicurezza delle Risorse Umane

Sono richieste misure specifiche per garantire la sicurezza nell’ambito HR, includendo la verifica delle attitudini passate (screening), procedure in caso di termine del rapporto di lavoro e azioni disciplinari in caso di violazioni. È essenziale che il personale sia consapevole delle proprie responsabilità in materia di sicurezza.

Sezione 11 – Controllo degli Accessi

I soggetti NIS devono stabilire una politica di controllo degli accessi ben definita: gestione dei diritti, uso di account privilegiati, sistemi di autenticazione, inclusa l’adozione della multi-factor authentication (MFA). È importante garantire che l’accesso alle risorse sia limitato secondo il principio del minimo privilegio.

Sezione 12 – Asset Management

Qui si richiede l’identificazione, classificazione e gestione sistematica degli asset (hardware, software, dati, media removibili). Devono esistere inventari aggiornati e procedure per la restituzione o cancellazione sicura degli asset alla fine del rapporto lavorativo.

Sezione 13 – Sicurezza Fisica e Ambientale

Infine, è prevista la protezione fisica degli ambienti e dei sistemi critici, con misure che vanno dal controllo degli accessi perimetrali all’uso di utility di supporto, sistemi di monitoraggio e difesa contro minacce ambientali (incendi, allagamenti, ecc.). La sicurezza logica, infatti, si fonda anche su una protezione fisica adeguata.

Si consideri però, come sopra riportato, che queste linee guida tecniche sono rivolte specificatamente ad alcuni soggetti essenziali per i quali non è applicabile il limite dei 50 dipendenti, ovvero, come recita la linea guida:

The document, as well as the implementing regulation, refers to the following type of entities:

domain name system service providers,
top-level domain name registries,
cloud computing service providers,
data centre service providers,
content delivery network providers,
managed service providers and managed security service providers,
providers of online marketplaces, online search engines and social networking services platforms and
trust service providers.

Quindi gli altri soggetti essenziali, ma soprattutto i soggetti importanti hanno delle semplificazioni ripsetto a quanto riportato nella Guida ENISA.

In particolare, l’ACN ha previsto proprie indicazioni che, per i soggetti importanti, possono essere riassunte qui di seguito.

1. Governance

Contesto Organizzativo

L’organizzazione (soggetto NIS) deve assicurarsi di comprendere a pieno il proprio contesto operativo, includendo la sua missione, le aspettative delle parti interessate, le dipendenze e tutti i requisiti legali, normativi e contrattuali che possono influenzare la gestione del rischio di cybersecurity.

L’organizzazione deve comprendere e comunicare chiaramente gli obiettivi, le capacità e i servizi critici da cui dipendono le parti interessate o che si aspettano dall’organizzazione.

L’organizzazione deve mantenere aggiornato un inventario di tutti i sistemi informativi e di rete rilevanti.

Strategia di Gestione del Rischio

L’organizzazione deve definire, comunicare e utilizzare le proprie priorità, i vincoli, la tolleranza e la propensione al rischio, nonché le assunzioni, per guidare le decisioni relative alla gestione del rischio operativo.

Le attività e i risultati della gestione del rischio di cybersecurity devono essere integrati nei processi di gestione del rischio complessivi del organizzazione.

L’organizzazione deve definire, attuare, aggiornare e documentare un piano di gestione dei rischi per la sicurezza informatica che includa l’identificazione, l’analisi, la valutazione, il trattamento e il monitoraggio dei rischi, nel rispetto delle politiche di sicurezza.

Ruoli, Responsabilità e Autorità

L’organizzazione deve stabilire e comunicare chiaramente i ruoli, le responsabilità e le autorità relativi alla cybersecurity, al fine di promuovere la responsabilizzazione, la valutazione delle prestazioni e il miglioramento continuo.

I ruoli, le responsabilità e le autocitò relativi alla gestione del rischio di cybersecurity devono essere definiti, comunicati, compresi e applicati.

L’organizzazione deve definire e approvare una struttura organizzativa interna dedicata alla sicurezza informatica, specificando chiaramente ruoli e responsabilità, e renderla nota alle parti interessate.

L’organizzazione deve mantenere un elenco aggiornato del personale con ruoli e responsabilità specifiche in materia di sicurezza informatica e renderlo noto alle parti interessate.

L’organizzazione per la sicurezza informatica deve includere un punto di contatto e almeno un suo sostituto, come richiesto dalle normative vigenti (il punto di contatto è stato già definito, mentre il sostituto dovrà essere comunicato ad ACN entro il 31/07/2025).

L’organizzazione deve riesaminare e, se necessario, aggiornare periodicamente (almeno ogni due anni, o in caso di incidenti significativi), variazioni organizzative o cambiamenti nell’esposizione ai rischi) i ruoli e le responsabilità.

La cybersecurity deve essere integrata nelle pratiche di gestione delle risorse umane.

L’organizzazione deve assicurarsi che il personale autorizzato ad accedere ai sistemi informativi e di rete rilevanti sia selezionato previa valutazione di esperienza, capacità e affidabilità, e che fornisca garanzie di rispetto delle normative sulla sicurezza informatica.

Gli amministratori di sistema devono essere selezionati con gli stessi criteri di cui sopra.

L’organizzazione deve adottare e documentare le procedure relative a quanto sopra.

Politica di Cybersecurity

L’organizzazione deve stabilire, comunicare e applicare una politica di cybersecurity.

La politica per la gestione del rischio di cybersecurity deve essere definita in base al contesto organizzativo, alla strategia di cybersecurity e alle priorità, e deve essere comunicata e applicata.

L’organizzazione deve adottare e documentare politiche di sicurezza informatica per almeno i seguenti ambiti:

Gestione del rischio
Ruoli e responsabilità
Affidabilità delle risorse umane
Conformità e audit di sicurezza
Gestione dei rischi per la sicurezza informatica della catena di approvvigionamento
Gestione degli asset
Gestione delle vulnerabilità
Continuità operativa, ripristino in caso di disastro e gestione delle crisi
Gestione dell’autenticazione, delle identità digitali e del controllo degli accessi
Sicurezza fisica
Formazione del personale e consapevolezza
Sicurezza dei dati
Sviluppo, configurazione, manutenzione e dismissione dei sistemi informativi e di rete
Protezione delle reti e delle comunicazioni
Monitoraggio degli eventi di sicurezza
Risposta agli incidenti e ripristino

Le politiche devono essere approvate dagli organi di amministrazione e direttivi.

La politica per la gestione del rischio di cybersecurity deve essere rivista, aggiornata, comunicata e applicata per riflettere eventuali cambiamenti nei requisiti, nelle minacce, nella tecnologia e nella missione dell’organizzazione.

Le politiche devono essere riesaminate e, se necessario, aggiornate periodicamente (almeno annualmente, o in caso di evoluzioni normative, incidenti significativi, variazioni organizzative o cambiamenti nell’esposizione ai rischi).

Durante il riesame, deve essere verificata la conformità delle politiche alla normativa vigente in materia di sicurezza informatica.

Gestione del Rischio di Cybersecurity della Catena di Approvvigionamento

L’organizzazione deve identificare, stabilire, gestire, monitorare e migliorare i processi di gestione del rischio di cybersecurity relativi alla catena di approvvigionamento, coinvolgendo le parti interessate.

L’organizzazione deve definire e ottenere l’approvazione delle parti interessate per il programma, la strategia, gli obiettivi, le politiche e i processi di gestione del rischio di cybersecurity della catena di approvvigionamento.

In caso di affidamento di forniture con potenziali impatti sulla sicurezza dei sistemi informativi e di rete, L’organizzazione deve:

Coinvolgere l’organizzazione per la sicurezza informatica nella definizione ed esecuzione dei processi di approvvigionamento, a partire dalla fase di identificazione e progettazione della fornitura.
Definire requisiti di sicurezza sulla fornitura coerenti con le proprie misure di sicurezza, in accordo con la valutazione del rischio associato alla fornitura.

L’organizzazione deve definire, comunicare e coordinare internamente ed esternamente i ruoli e le responsabilità in materia di cybersecurity per fornitori, clienti e partner.

L’organizzazione deve definire e comunicare alle parti interessate i ruoli e le responsabilità del personale delle terze parti in materia di sicurezza informatica.

Il personale delle terze parti con ruoli e responsabilità specifiche deve essere incluso nell’elenco del personale dell’organizzazione per la sicurezza informatica.

L’organizzazione deve identificare e classificare i fornitori in base alla loro criticità.

L’organizzazione deve mantenere un inventario aggiornato dei fornitori che possono avere un impatto sulla sicurezza dei sistemi informativi e di rete, includendo almeno:

Gli estremi di contatto del referente della fornitura;
La tipologia di fornitura.

L’organizzazione deve definire, classificare e integrare i requisiti per la gestione dei rischi di cybersecurity nella catena di approvvigionamento nei contratti e negli accordi con fornitori e altre terze parti.

Salvo ragioni normative o tecniche motivate e documentate, i requisiti di sicurezza devono essere inclusi nelle richieste di offerta, nei bandi di gara, nei contratti e negli accordi relativi alle forniture con potenziali impatti sulla sicurezza dei sistemi informativi e di rete.

L’organizzazione deve comprendere, registrare, classificare, valutare, trattare e monitorare i rischi posti da fornitori, prodotti, servizi e altre terze parti durante tutto il corso della relazione.

La valutazione del rischio deve includere la valutazione e la documentazione dei rischi associati alle forniture, considerando almeno:

Il livello di accesso del fornitore ai sistemi informativi e di rete.
L’accesso del fornitore alla proprietà intellettuale e ai dati, in base alla loro criticità.
L’impatto di una grave interruzione della fornitura.
I tempi e i costi di ripristino in caso di indisponibilità dei servizi.
I ruoli e le responsabilità del fornitore nel governo dei sistemi informativi e di rete.

L’organizzazione deve verificare periodicamente e documentare la conformità delle forniture ai requisiti di sicurezza stabiliti.

2. Identificazione

Gestione degli Asset

L’organizzazione deve identificare e gestire tutti gli asset (dati, hardware, software, sistemi, infrastrutture, servizi, persone) che consentono all’organizzazione di raggiungere i propri obiettivi di business, in coerenza con la loro importanza rispetto agli obiettivi organizzativi e alla strategia sul rischio dell’organizzazione.

L’organizzazione deve mantenere inventari aggiornati di:

Hardware (inclusi dispositivi IT, IoT, OT e mobili) approvato internamente.
Software, servizi e sistemi (incluse applicazioni commerciali, open-source e custom, anche accessibili tramite API) approvati internamente.
Servizi erogati da fornitori (inclusi servizi cloud).

Valutazione del Rischio

L’organizzazione deve comprendere i rischi di cybersecurity a cui sono esposti l’organizzazione, gli asset e le persone.

Le vulnerabilità degli asset devono essere identificate, confermate e registrate.

Le informazioni sulle vulnerabilità devono essere utilizzate per identificare eventuali vulnerabilità nei sistemi informativi e di rete.

L’organizzazione deve utilizzare minacce, vulnerabilità, probabilità e impatti per comprendere il rischio e definire le priorità nella risposta al rischio.

In accordo con il piano di gestione dei rischi per la sicurezza informatica, L’organizzazione deve eseguire e documentare una valutazione del rischio per la sicurezza dei sistemi informativi e di rete, considerando anche le dipendenze da fornitori e partner terzi.

La valutazione del rischio deve includere almeno:

L’identificazione del rischio.
L’analisi del rischio.
La ponderazione del rischio.

La valutazione del rischio deve essere eseguita a intervalli pianificati (almeno ogni due anni) e in caso di incidenti significativi, variazioni organizzative o cambiamenti nell’esposizione ai rischi.

La valutazione del rischio deve essere approvata dagli organi di amministrazione e direttivi.

Le risposte al rischio devono essere selezionate, classificate per priorità, pianificate, monitorate e comunicate.

L’organizzazione deve definire, documentare, eseguire e monitorare un piano di trattamento del rischio che includa almeno:

Le opzioni di trattamento e le misure da attuare in merito al trattamento di ciascun rischio individuato e le relative priorità;
Le articolazioni competenti per l’attuazione delle misure di trattamento dei rischi e le tempistiche per tale attuazione;
La descrizione e le ragioni che giustificano l’accettazione di eventuali rischi residui al trattamento.

Se non è possibile attuare i requisiti specificati da ACN1 per ragioni normative o tecniche, L’organizzazione deve adottare misure di mitigazione compensative e includerle nel piano di trattamento del rischio, insieme alla descrizione dell’eventuale rischio residuo.

Il piano di trattamento del rischio, inclusa l’accettazione di eventuali rischi residui, deve essere approvato dagli organi di amministrazione e direttivi.

L’organizzazione deve stabilire processi per la ricezione, l’analisi e la risposta alle segnalazioni di vulnerabilità.

Devono essere monitorati almeno i canali di comunicazione del CSIRT Italia, nonché di eventuali CERT e Information Sharing & Analysis Centre (ISAC) settoriali, al fine di acquisire, analizzare e rispondere alle informazioni sulle vulnerabilità.

Le vulnerabilità, incluse quelle identificate, devono essere prontamente risolte attraverso aggiornamenti di sicurezza o misure di mitigazione, ove disponibili, ovvero accettando e documentando il rischio in accordo al piano di trattamento del rischio informatico.

L’organizzazione deve definire, attuare, aggiornare e documentare un piano di gestione delle vulnerabilità che comprende almeno:

Le modalità per l’identificazione delle vulnerabilità e la relativa pianificazione delle attività;
Le modalità per monitorare, ricevere, analizzare e rispondere alle informazioni sulle vulnerabilità;
Le procedure, i ruoli, le responsabilità per lo svolgimento delle attività.

Il piano deve essere approvato dagli organi di amministrazione e direttivi.

Miglioramento

L’organizzazione deve identificare i miglioramenti necessari ai processi, alle procedure e alle attività di gestione del rischio di cybersecurity.

Devono essere identificati miglioramenti in esito alle valutazioni.

In accordo con gli esiti del riesame, L’organizzazione deve definire, attuare, documentare e approvare un piano di adeguamento che identifichi gli interventi necessari ad assicurare l’attuazione delle politiche di sicurezza.

Gli organi di amministrazione e direttivi devono essere informati mediante apposite relazioni periodiche sugli esiti dei piani.

I piani di risposta agli incidenti e gli altri piani di cybersecurity che impattano le operazioni devono essere stabiliti, comunicati, mantenuti e migliorati.

Per almeno i sistemi informativi e di rete rilevanti deve essere definito, attuato, aggiornato e documentato un piano di continuità operativa, che comprende almeno: le

finalità e l’ambito di applicazione; i
ruoli e le responsabilità; i contatti principali e i canali di comunicazione (interni ed esterni);
le condizioni per l’attivazione e la disattivazione del piano;
le risorse necessarie, inclusi i backup e le ridondanze.

Per almeno i sistemi informativi e di rete rilevanti deve essere definito, attuato, aggiornato e documentato un piano di ripristino (disaster recovery) in caso di disastro, che comprende almeno:

le finalità e l’ambito di applicazione;
i ruoli e le responsabilità; i contatti principali e i canali di comunicazione (interni ed esterni);
le condizioni per l’attivazione e la disattivazione del piano;
le risorse necessarie, inclusi i backup e le ridondanze; l’ordine di ripristino delle operazioni;
le procedure di ripristino per operazioni specifiche, compresi gli obiettivi di ripristino.

Per almeno i sistemi informativi e di rete rilevanti deve essere definito, attuato, aggiornato e documentato un piano per la gestione delle crisi che comprende almeno: i ruoli e responsabilità del personale e, se opportuno, dei fornitori, specificando l’assegnazione dei ruoli in situazioni di crisi, comprese le procedure specifiche da seguire; le modalità di comunicazione tra i soggetti e le autorità competenti.

I piani devono essere approvati dagli organi di amministrazione e direttivi.

I piani devono essere riesaminati e, se opportuno, aggiornati periodicamente e comunque almeno ogni due anni, nonché qualora si verifichino incidenti significativi o cambiamenti dell’esposizione alle minacce e ai relativi rischi.

3. Protezione

Gestione delle identità, autenticazione e controllo degli accessi

L’accesso a agli asset fisici e logici è limitato agli utenti, ai servizi e all’hardware autorizzati, e gestito in modo appropriato alla valutazione del rischio di accesso non autorizzato.

L’organizzazione deve gestire le identità e le credenziali degli utenti, dei servizi e dell’hardware autorizzati.

Tutte le utenze, incluse quelle con privilegi amministrativi e quelle per l’accesso remoto, devono essere censite, approvate e, salvo eccezioni tecniche motivate, individuali per gli utenti.

Le credenziali devono essere robuste e aggiornate in base alla valutazione del rischio.

Le utenze e le relative autorizzazioni devono essere verificate periodicamente, con aggiornamenti/revoche in caso di variazioni (es. trasferimento/cessazione del personale).

L’organizzazione deve adottare e documentare le procedure relative a quanto sopra.

L’organizzazione deve autenticare utenti, servizi e hardware.

Le modalità di autenticazione devono essere adeguate al rischio, considerando almeno i rischi connessi ai privilegi delle utenze, alla criticità dei sistemi e alla tipologia di operazioni consentite.

Per i sistemi rilevanti, e in accordo alla valutazione del rischio, devono essere impiegate modalità di autenticazione multi-fattore (MFA).

L’organizzazione deve adottare e documentare le procedure relative a quanto sopra.

L’organizzazione deve definire, gestire, applicare e rivedere i permessi, i diritti e le autorizzazioni di accesso, incorporando i principi del minimo privilegio e della separazione dei compiti.

Deve essere assicurata la completa distinzione tra utenze con e senza privilegi amministrativi, con credenziali diverse.

L’organizzazione deve adottare e documentare le procedure relative a quanto sopra.

L’organizzazione deve gestire, monitorare e proteggere l’accesso fisico agli asset in misura appropriata al rischio.

Per i sistemi rilevanti, l’accesso fisico deve essere protetto.

L’organizzazione deve adottare e documentare le procedure relative a quanto sopra.

Consapevolezza e formazione

L’organizzazione deve assicurare che il personale sia sensibilizzato e formato sulla cybersecurity per svolgere i propri compiti.

L’organizzazione deve definire, attuare, aggiornare e documentare un piano di formazione in materia di sicurezza informatica per il personale, inclusi gli organi di amministrazione e direttivi. Il piano deve includere:

La pianificazione delle attività di formazione con i contenuti della formazione;
Le modalità di verifica dell’apprendimento.

Il piano di formazione deve essere approvato dagli organi di amministrazione e direttivi.

L’organizzazione deve mantenere un registro aggiornato del personale che ha ricevuto la formazione, i contenuti e le verifiche svolte.

Sicurezza dei dati

L’organizzazione deve gestire i dati in modo coerente con la strategia sul rischio per proteggerne riservatezza, integrità e disponibilità.

L’organizzazione deve proteggere la riservatezza, l’integrità e la disponibilità dei dati a riposo.

Per i sistemi rilevanti, e in accordo alla valutazione del rischio, i dati su dispositivi portatili e supporti rimovibili devono essere cifrati, salvo motivate eccezioni tecniche o normative.

Salvo eccezioni normative o tecniche documentate, deve essere disabilitata l’esecuzione automatica dei supporti rimovibili e deve essere effettuata la scansione per rilevare codice malevolo prima dell’utilizzo.

L’organizzazione deve adottare e documentare le procedure relative a quanto sopra.

L’organizzazione deve proteggere la riservatezza, l’integrità e la disponibilità dei dati in transito.

Per i sistemi rilevanti, incluse le comunicazioni vocali, video e testuali, devono essere utilizzati protocolli e algoritmi di cifratura sicuri per la trasmissione dei dati da e verso l’esterno, salvo motivate eccezioni tecniche o normative.

L’organizzazione deve adottare e documentare le procedure relative a quanto sopra.

L’organizzazione deve creare, proteggere, mantenere e verificare i backup dei dati.

In accordo con le esigenze di continuità operativa e ripristino in caso di disastro, devono essere effettuati periodicamente i backup dei dati e delle configurazioni e, per i sistemi rilevanti, devono essere conservate copie di backup offline.

L’organizzazione deve adottare e documentare le procedure relative a quanto sopra.

Sicurezza delle piattaforme e delle applicazioni

L’organizzazione deve gestire hardware, software (es. firmware, sistemi operativi, applicazioni) e servizi delle piattaforme fisiche e virtuali per proteggerne riservatezza, integrità e disponibilità.

L’organizzazione deve mantenere, sostituire e rimuovere il software in base al rischio.

Salvo eccezioni tecniche o normative, deve essere installato solo software per il quale è garantita la disponibilità di aggiornamenti di sicurezza.

Salvo eccezioni tecniche o normative, devono essere installati senza ritardo gli ultimi aggiornamenti di sicurezza rilasciati dal produttore, in coerenza con il piano di gestione delle vulnerabilità.

L’organizzazione deve adottare e documentare le procedure relative a quanto sopra.

L’organizzazione deve generare e rendere disponibili i registri di log per il monitoraggio continuo.

Tutti gli accessi da remoto e quelli con utenze con privilegi amministrativi devono essere registrati.

Per i sistemi rilevanti, devono essere conservati in modo sicuro, e possibilmente centralizzato, i log necessari per il monitoraggio degli eventi di sicurezza, inclusi quelli relativi agli accessi.

Le tempistiche di conservazione dei log devono essere definite e documentate in base alla valutazione del rischio.

L’organizzazione deve adottare e documentare le procedure relative a quanto sopra.

L’organizzazione deve integrare pratiche di sviluppo sicuro del software e monitorarne le prestazioni durante l’intero ciclo di vita del software.

Devono essere adottate e documentate procedure di sviluppo sicuro del codice nello sviluppo del software.

Resilienza dell’infrastruttura tecnologica

L’organizzazione deve gestire le architetture di sicurezza in accordo con la strategia sul rischio per proteggere la riservatezza, l’integrità e la disponibilità degli asset e la resilienza organizzativa.

L’organizzazione deve proteggere reti e ambienti dall’accesso logico e dall’uso non autorizzati.

Per i sistemi rilevanti, devono essere definite e documentate le attività consentite da remoto e implementate adeguate misure di sicurezza per l’accesso.

Deve essere mantenuto un elenco aggiornato dei sistemi accessibili da remoto con le relative modalità di accesso.

Devono essere presenti, aggiornati, mantenuti e configurati i sistemi perimetrali, come i firewall.

L’organizzazione deve adottare e documentare le procedure relative a quanto sopra.

4. Rilevamento

Monitoraggio continuo

L’organizzazione deve monitorare gli asset per individuare anomalie, indicatori di compromissione e altri eventi potenzialmente avversi.

L’organizzazione deve monitorare reti e servizi di rete per individuare eventi potenzialmente avversi.

Per i sistemi rilevanti, devono essere presenti, aggiornati, mantenuti e configurati strumenti tecnici adeguati a rilevare tempestivamente gli incidenti significativi.

Devono essere definiti e documentati i livelli di servizio attesi (SL) dei servizi e delle attività, anche al fine di rilevare tempestivamente gli incidenti significativi.

L’organizzazione deve adottare e documentare le procedure relative a quanto sopra.

L’organizzazione deve monitorare hardware e software di elaborazione, ambienti di runtime e i loro dati per individuare eventi potenzialmente avversi.

Salvo eccezioni normative o tecniche, devono essere presenti, aggiornati, mantenuti e configurati sistemi di protezione delle postazioni terminali e dei dispositivi in uso agli utenti (endpoint) per il rilevamento del codice malevolo (anti-malware).

L’organizzazione deve adottare e documentare le procedure relative a quanto sopra.

5. Risposta

Gestione degli incidenti

L’organizzazione deve gestire le risposte agli incidenti di cybersecurity rilevati.

L’organizzazione deve eseguire il piano di risposta agli incidenti in coordinamento con le terze parti interessate una volta dichiarato un incidente.

Deve essere definito, attuato, aggiornato e documentato un piano per la gestione degli incidenti di sicurezza informatica e la notifica al CSIRT Italia, che includa almeno:

Le fasi e le procedure di gestione e notifica degli incidenti con i relativi ruoli e responsabilità;
Le procedure per la predisposizione e la trasmissione delle relazioni previste dal decreto NIS;
Le informazioni di contatto per la segnalazione degli incidenti;
Le modalità di comunicazione interna ed esterna, incluso il coinvolgimento degli organi di amministrazione e direttivi;
La reportistica per la documentazione dell’incidente.

Il piano deve essere approvato dagli organi di amministrazione e direttivi.

Il piano deve essere riesaminato e, se necessario, aggiornato periodicamente e in caso di incidenti significativi o mutamenti dell’esposizione ai rischi.

Segnalazione e comunicazione della risposta agli incidenti

L’organizzazione deve coordinare le attività di risposta con gli stakeholder interni ed esterni come richiesto da leggi, regolamenti o politiche.

L’organizzazione deve informare gli stakeholder interni ed esterni degli incidenti.

In accordo con il piano per la gestione degli incidenti, devono essere documentate e adottate procedure per comunicare senza ingiustificato ritardo, se opportuno e qualora possibile, sentito il CSIRT Italia, ovvero qualora intimato dall’Agenzia per la cybersicurezza nazionale:

Ai destinatari dei servizi, gli incidenti significativi che possono ripercuotersi negativamente sulla fornitura di tali servizi;
Ai destinatari dei servizi potenzialmente interessati da una minaccia informatica significativa, le misure o azioni correttive o di mitigazione che possono adottare e la natura della minaccia.

Devono essere documentate e adottate procedure per informare il pubblico sugli incidenti, qualora intimato dall’Agenzia per la cybersicurezza nazionale.

6. Ripristino

Esecuzione del piano di ripristino dagli incidenti

L’organizzazione deve eseguire le attività di ripristino per garantire la disponibilità operativa dei sistemi e dei servizi interessati da incidenti di cybersecurity.

L’organizzazione deve eseguire la parte del piano di risposta agli incidenti relativa al ripristino una volta avviata dal processo di risposta agli incidenti.

Nell’ambito del piano per la gestione degli incidenti, devono essere adottate e documentate procedure per il ripristino del normale funzionamento dei sistemi informativi e di rete coinvolti da incidenti di sicurezza informatica.

Conclusioni

Dunque, per i soggetti importanti, è opportuno prendere come riferimento le indicazioni vincolanti di ACN (tra l’altro comprese in una Determina di ACN stessa), utilizzando le Linee Guida Tecniche di ENISA come riferimento per definire le modalità di applicazione delle misure di sicurezza, come anche la ISO/IEC 27002, considerando solo i controlli di sicurezza applicabili.

Icontrolli ISO 27002: Threat Intelligence (5.7)

Limitarsi a reagire alle minacce informatiche non è sufficiente: è fondamentale prevenirle prima che si verifichino. Raccogliere e analizzare informazioni sulle minacce consente alle organizzazioni di comprendere meglio quali contromisure adottare per proteggersi da rischi concreti e rilevanti.

Obiettivo del controllo è quello di Fornire consapevolezza dell’ambiente di minaccia in cui opera l’organizzazione, in modo da poter prevenire, rilevare e rispondere efficacemente agli attacchi informatici o ad altri eventi pericolosi.

Ma cos’è la threat intelligence?

È il processo di raccolta, analisi e utilizzo di informazioni sulle minacce informatiche esistenti o emergenti, per:

Anticipare rischi.
Prendere decisioni informate.
Adattare difese e processi.

l monitoraggio delle minacce, noto come threat intelligence, è un’attività strategica che permette di raccogliere dati utili a prevenire, rilevare e contrastare attacchi informatici. Questo processo inizia con l’identificazione dei canali informativi da tenere sotto osservazione: newsletter specialistiche, riviste di settore, portali di sicurezza, media generalisti e, soprattutto, i centri di risposta agli incidenti informatici (come il CSIRT italiano). Anche eventi di cronaca possono offrire spunti utili per riconoscere minacce emergenti o precedentemente trascurate.

Una volta raccolte, le informazioni devono essere incrociate con l’inventario degli asset aziendali per determinare la rilevanza e la gravità della minaccia. È essenziale valutare se il sistema interessato è critico (ad esempio, un server di produzione) o esposto verso l’esterno (come un’applicazione accessibile da Internet).

Per sfruttare efficacemente la threat intelligence, l’organizzazione deve definire chiaramente ruoli, responsabilità e processi operativi: dalla valutazione del rischio alla configurazione dei sistemi di sicurezza (come firewall o sistemi di rilevamento delle intrusioni), fino alla pianificazione di test e simulazioni.

Le informazioni raccolte possono riguardare tecniche di attacco, strumenti utilizzati dagli attori malevoli (i cosiddetti agenti di minaccia) o nuove tendenze nel panorama delle minacce. Queste conoscenze devono provenire sia da fonti interne all’organizzazione, sia da fonti esterne come report di vendor, comunicazioni da parte di enti governativi o gruppi di esperti del settore (come indicato anche nel controllo 5.6 delle linee guida di sicurezza).

Si possono identificare 3 livelli di threat intelligence

Livello	Descrizione	Esempio
Strategico	Analisi ad alto livello delle tendenze e attori di minaccia.	Ransomware in aumento nei settori sanitari.
Tattico	Informazioni su tecniche e strumenti usati dagli attaccanti.	Phishing con allegati Excel con macro malevole.
Operativo	Dati su attacchi specifici, indicatori tecnici (IoC).	IP sospetti, hash di file malevoli, URL pericolosi.

Caratteristiche delle informazioni di threat intelligence

Le informazioni devono essere:

Rilevanti – legate ai rischi specifici dell’organizzazione.
Accurate – basate su dati affidabili e aggiornati.
Contestualizzate – inquadrate nel contesto dell’organizzazione.
Azionabili – utili per prendere decisioni rapide e mirate.

Fasi del processo di threat intelligence

Definizione degli obiettivi
Selezione delle fonti (interne ed esterne)
Raccolta dati (es. feed, report, log, CSIRT)
Elaborazione (normalizzazione, verifica, traduzione)
Analisi (correlazione e interpretazione)
Comunicazione (condivisione interna in formato comprensibile)

Come si usa la threat intelligence

Integrare nei processi di gestione del rischio
Migliorare i controlli tecnici (es. firewall, IDS/IPS, antivirus)
Supportare test di sicurezza (vulnerability assessment, penetration test)

Collaborazione esterna

Le organizzazioni dovrebbero scambiare informazioni con:

CERT/CSIRT nazionali
Altri enti pubblici e privati
Gruppi di settore o fornitori specializzati

La collaborazione rafforza l’intera comunità.

Conclusioni

L’intelligence sulle minacce non è solo un elenco di IP malevoli: è una fonte strategica di conoscenza che, se ben utilizzata, fa la differenza tra subire un attacco e prevenirlo.

I controlli ISO 27002: Separazione dei compiti (5.3)

Iniziamo con questo articolo una disamina dei controlli delle linee guida ISO/IEC 27002:2022, Information security controls (UNI CEI EN ISO/IEC 27002:2023 – Controlli di sicurezza) trattando il controllo 5.3: Separazione dei compiti (I compiti e le aree di responsabilità in conflitto devono essere separati.).

Cos’è la separazione o segregazione dei compiti?

La segregazione dei compiti (o separation of duties) è una misura di sicurezza che prevede di assegnare compiti e responsabilità in conflitto a persone diverse.
L’obiettivo principale è evitare che una sola persona possa compromettere la sicurezza delle informazioni attraverso errori, frodi o comportamenti malevoli non rilevati.

Perché è importante?

Separare i compiti riduce il rischio che:

Una persona agisca senza controllo (ad esempio, approvando e implementando da sola una modifica critica).
Errori o azioni fraudolente passino inosservate.
I controlli di sicurezza possano essere aggirati.

In sintesi: nessuno deve essere nella posizione di poter “fare tutto” senza supervisione.

Esempi pratici di attività da separare

Alcune situazioni tipiche in cui serve la segregazione sono:

Modifiche ai sistemi: chi propone un cambiamento, chi lo approva e chi lo esegue devono essere persone diverse.
Gestione degli accessi: chi richiede un accesso, chi lo approva e chi lo concede dovrebbero essere separati.
Sviluppo software: chi sviluppa il codice non dovrebbe essere la stessa persona che lo approva o che lo implementa in produzione.
Amministrazione dei sistemi: chi usa un’applicazione non dovrebbe anche amministrarla.
Controlli di sicurezza: chi progetta i controlli non dovrebbe essere chi li verifica.

Cosa fare se la separazione è difficile (es. nelle piccole organizzazioni)?

Non sempre è possibile separare completamente i compiti, soprattutto in organizzazioni più piccole. In questi casi, si possono adottare controlli alternativi, come:

Supervisione da parte di un responsabile.
Monitoraggio continuo delle attività.
Analisi dei log e delle sequenze di controllo.

L’importante è dimostrare di avere comunque un sistema di controllo che limiti i rischi.

Ruoli e accessi: attenzione ai conflitti!

Quando si gestiscono i permessi tramite ruoli (ad esempio, in sistemi di accesso basati su RBAC – Role Based Access Control), è fondamentale:

Verificare che i ruoli assegnati non siano in conflitto (es: non assegnare a una persona sia il ruolo di sviluppatore che quello di revisore del codice).
Utilizzare strumenti automatizzati per individuare e gestire eventuali conflitti.
Definire bene i ruoli sin dall’inizio per semplificare la gestione in caso di cambiamenti.

In breve

Punto chiave	Significato
Separare compiti in conflitto	Nessuno deve poter operare da solo senza controllo
Scopo	Ridurre frodi, errori e vulnerabilità
Esempi	Modifiche ai sistemi, gestione accessi, sviluppo software
Soluzioni alternative	Supervisione, monitoraggio, analisi log

Esempi di attività da separare

Modifica dei sistemi: richiesta ≠ approvazione ≠ esecuzione
Gestione degli accessi: richiesta ≠ approvazione ≠ implementazione
Sviluppo software: sviluppo ≠ revisione ≠ messa in produzione
Amministrazione: uso ≠ gestione delle applicazioni/database

Se non è possibile separare?

🔹 Supervisione diretta
🔹 Monitoraggio delle attività
🔹 Analisi dei log

Questo controllo è presente in altri framework di sicurezza delle informazioni come il COBIT.

Applicare la NIS 2 per i soggetti importanti

La pubblicazione dei recenti documenti da parte di ACN (Agenzia per la Cybersicurezza nazionale) relativamente all’applicazione della Direttiva NIS 2 per i soggetti Importanti ed essenziali (si veda https://www.acn.gov.it/portale/nis/modalita-specifiche-base) ha definito in modo piùchiaro le azioni da intraprendere per le imprese che sono state ritenute soggetti NIS 2.

In questo primo articolo vedremo quali sono gli adempimenti per i soggetti Importanti (la categoria con minori requisiti da applicare, ma sicuramente più vasta).

La DETERMINA ACN DEL 15/04/2025 (“Determinazione del Direttore Generale dell’Agenzia per la cybersicurezza nazionale di cui all’articolo 31, commi 1 e 2, del decreto legislativo 4 settembre 2024, n. 138, adottata secondo le modalità di cui all’articolo 40, comma 5, lettera l), che, ai sensi dell’articolo 42, comma 1, lettera c), in fase di prima applicazione, stabilisce le modalità e le specifiche di base per l’adempimento agli obblighi di cui agli articoli 23, 24, 25, 29 e 32 del decreto medesimo.”), con i suoi allegati, definisce in modo abbastanza completo le misure di sicurezza da adottare.

Ma vediamo in dettaglio le misure di sicurezza per i soggetti importanti.

1. Governance

Contesto Organizzativo: L’impresa (soggetto NIS) deve assicurarsi di comprendere a pieno il proprio contesto operativo, includendo la sua missione, le aspettative delle parti interessate, le dipendenze e tutti i requisiti legali, normativi e contrattuali che possono influenzare la gestione del rischio di cybersecurity.

L’impresa deve comprendere e comunicare chiaramente gli obiettivi, le capacità e i servizi critici da cui dipendono le parti interessate o che si aspettano dall’organizzazione.

L’impresa deve mantenere aggiornato un inventario di tutti i sistemi informativi e di rete rilevanti.

Strategia di Gestione del Rischio: L’impresa deve definire, comunicare e utilizzare le proprie priorità, i vincoli, la tolleranza e la propensione al rischio, nonché le assunzioni, per guidare le decisioni relative alla gestione del rischio operativo.

Le attività e i risultati della gestione del rischio di cybersecurity devono essere integrati nei processi di gestione del rischio complessivi dell’impresa.

L’impresa deve definire, attuare, aggiornare e documentare un piano di gestione dei rischi per la sicurezza informatica che includa l’identificazione, l’analisi, la valutazione, il trattamento e il monitoraggio dei rischi, nel rispetto delle politiche di sicurezza.

Ruoli, Responsabilità e Poteri: L’impresa deve stabilire e comunicare chiaramente i ruoli, le responsabilità e i poteri relativi alla cybersecurity, al fine di promuovere la responsabilizzazione, la valutazione delle prestazioni e il miglioramento continuo.

I ruoli, le responsabilità e i poteri relativi alla gestione del rischio di cybersecurity devono essere definiti, comunicati, compresi e applicati.

L’impresa deve definire e approvare una struttura organizzativa interna dedicata alla sicurezza informatica, specificando chiaramente ruoli e responsabilità, e renderla nota alle parti interessate.

L’impresa deve mantenere un elenco aggiornato del personale con ruoli e responsabilità specifiche in materia di sicurezza informatica e renderlo noto alle parti interessate.

L’organizzazione per la sicurezza informatica deve includere un punto di contatto e almeno un suo sostituto, come richiesto dalle normative vigenti.

L’impresa deve riesaminare e, se necessario, aggiornare periodicamente (almeno ogni due anni, o in caso di incidenti significativi, variazioni organizzative o cambiamenti nell’esposizione ai rischi) i ruoli e le responsabilità.

La cybersecurity deve essere integrata nelle pratiche di gestione delle risorse umane.

L’impresa deve assicurarsi che il personale autorizzato ad accedere ai sistemi informativi e di rete rilevanti sia selezionato previa valutazione di esperienza, capacità e affidabilità, e che fornisca garanzie di rispetto delle normative sulla sicurezza informatica.

Gli amministratori di sistema devono essere selezionati con gli stessi criteri di cui sopra.

L’impresa deve adottare e documentare le procedure relative a quanto sopra.

Politica di Cybersecurity: L’impresa deve stabilire, comunicare e applicare una politica di cybersecurity.

L’impresa deve adottare e documentare politiche di sicurezza informatica per almeno i seguenti ambiti:

Gestione del rischio
Ruoli e responsabilità
Affidabilità delle risorse umane
Conformità e audit di sicurezza
Gestione dei rischi per la sicurezza informatica della catena di approvvigionamento
Gestione degli asset
Gestione delle vulnerabilità
Continuità operativa, ripristino in caso di disastro e gestione delle crisi
Gestione dell’autenticazione, delle identità digitali e del controllo degli accessi
Sicurezza fisica
Formazione del personale e consapevolezza
Sicurezza dei dati
Sviluppo, configurazione, manutenzione e dismissione dei sistemi informativi e di rete
Protezione delle reti e delle comunicazioni
Monitoraggio degli eventi di sicurezza
Risposta agli incidenti e ripristino

Le politiche devono includere almeno i requisiti specificati nella tabella 1 riportata in appendice dell’allegato 1 della Determina ACN del 15/04/2025..

Le politiche devono essere approvate dagli organi di amministrazione e direttivi.

Durante il riesame, deve essere verificata la conformità delle politiche alla normativa vigente in materia di sicurezza informatica.

Gestione del Rischio di Cybersecurity della Catena di Approvvigionamento: L’impresa deve identificare, stabilire, gestire, monitorare e migliorare i processi di gestione del rischio di cybersecurity relativi alla catena di approvvigionamento, coinvolgendo le parti interessate.

L’impresa deve definire e ottenere l’approvazione delle parti interessate per il programma, la strategia, gli obiettivi, le politiche e i processi di gestione del rischio di cybersecurity della catena di approvvigionamento.

In caso di affidamento di forniture con potenziali impatti sulla sicurezza dei sistemi informativi e di rete, l’impresa deve:

Coinvolgere l’organizzazione per la sicurezza informatica nella definizione ed esecuzione dei processi di approvvigionamento, a partire dalla fase di identificazione e progettazione della fornitura.
Definire requisiti di sicurezza sulla fornitura coerenti con le proprie misure di sicurezza, in accordo con la valutazione del rischio associato alla fornitura.

L’impresa deve definire, comunicare e coordinare internamente ed esternamente i ruoli e le responsabilità in materia di cybersecurity per fornitori, clienti e partner.

L’impresa deve definire e comunicare alle parti interessate i ruoli e le responsabilità del personale delle terze parti in materia di sicurezza informatica.

Il personale delle terze parti con ruoli e responsabilità specifiche deve essere incluso nell’elenco del personale dell’organizzazione per la sicurezza informatica.

L’impresa deve identificare e classificare i fornitori in base alla loro criticità.

L’impresa deve mantenere un inventario aggiornato dei fornitori che possono avere un impatto sulla sicurezza dei sistemi informativi e di rete, includendo almeno:

Gli estremi di contatto del referente della fornitura;
La tipologia di fornitura.

L’impresa deve definire, classificare e integrare i requisiti per la gestione dei rischi di cybersecurity nella catena di approvvigionamento nei contratti e negli accordi con fornitori e altre terze parti.

L’impresa deve comprendere, registrare, classificare, valutare, trattare e monitorare i rischi posti da fornitori, prodotti, servizi e altre terze parti durante tutto il corso della relazione.

La valutazione del rischio deve includere la valutazione e la documentazione dei rischi associati alle forniture, considerando almeno:

Il livello di accesso del fornitore ai sistemi informativi e di rete.
L’accesso del fornitore alla proprietà intellettuale e ai dati, in base alla loro criticità.
L’impatto di una grave interruzione della fornitura.
I tempi e i costi di ripristino in caso di indisponibilità dei servizi.
I ruoli e le responsabilità del fornitore nel governo dei sistemi informativi e di rete.

L’impresa deve verificare periodicamente e documentare la conformità delle forniture ai requisiti di sicurezza stabiliti.

2. Identificazione

Gestione degli Asset: L’impresa deve identificare e gestire tutti gli asset (dati, hardware, software, sistemi, infrastrutture, servizi, persone) che consentono all’organizzazione di raggiungere i propri obiettivi di business, in coerenza con la loro importanza rispetto agli obiettivi organizzativi e alla strategia sul rischio dell’organizzazione.

L’impresa deve mantenere inventari aggiornati di:

Hardware (inclusi dispositivi IT, IoT, OT e mobili) approvato internamente.
Software, servizi e sistemi (incluse applicazioni commerciali, open-source e custom, anche accessibili tramite API) approvati internamente.
Servizi erogati da fornitori (inclusi servizi cloud).

Valutazione del Rischio: L’impresa deve comprendere i rischi di cybersecurity a cui sono esposti l’organizzazione, gli asset e le persone.

Le vulnerabilità degli asset devono essere identificate, confermate e registrate.

Le informazioni sulle vulnerabilità devono essere utilizzate per identificare eventuali vulnerabilità nei sistemi informativi e di rete.

L’impresa deve utilizzare minacce, vulnerabilità, probabilità e impatti per comprendere il rischio e definire le priorità nella risposta al rischio.

In accordo con il piano di gestione dei rischi per la sicurezza informatica, l’impresa deve eseguire e documentare una valutazione del rischio per la sicurezza dei sistemi informativi e di rete, considerando anche le dipendenze da fornitori e partner terzi.

La valutazione del rischio deve includere almeno:

L’identificazione del rischio.
L’analisi del rischio.
La ponderazione del rischio.

La valutazione del rischio deve essere approvata dagli organi di amministrazione e direttivi.

Le risposte al rischio devono essere selezionate, classificate per priorità, pianificate, monitorate e comunicate.

L’impresa deve definire, documentare, eseguire e monitorare un piano di trattamento del rischio che includa almeno:

Le opzioni di trattamento e le misure da attuare in merito al trattamento di ciascun rischio individuato e le relative priorità;
Le articolazioni competenti per l’attuazione delle misure di trattamento dei rischi e le tempistiche per tale attuazione;
La descrizione e le ragioni che giustificano l’accettazione di eventuali rischi residui al trattamento.

Se non è possibile attuare i requisiti specificati nell’allegato 1 per ragioni normative o tecniche, l’impresa deve adottare misure di mitigazione compensative e includerle nel piano di trattamento del rischio, insieme alla descrizione dell’eventuale rischio residuo.

Il piano di trattamento del rischio, inclusa l’accettazione di eventuali rischi residui, deve essere approvato dagli organi di amministrazione e direttivi.

L’impresa deve stabilire processi per la ricezione, l’analisi e la risposta alle segnalazioni di vulnerabilità.

L’impresa deve definire, attuare, aggiornare e documentare un piano di gestione delle vulnerabilità che comprende almeno:

Le modalità per l’identificazione delle vulnerabilità e la relativa pianificazione delle attività;
Le modalità per monitorare, ricevere, analizzare e rispondere alle informazioni sulle vulnerabilità;
Le procedure, i ruoli, le responsabilità per lo svolgimento delle attività.

Il piano deve essere approvato dagli organi di amministrazione e direttivi.

Miglioramento: L’impresa deve identificare i miglioramenti necessari ai processi, alle procedure e alle attività di gestione del rischio di cybersecurity.

Devono essere identificati miglioramenti in esito alle valutazioni.

In accordo con gli esiti del riesame, l’impresa deve definire, attuare, documentare e approvare un piano di adeguamento che identifichi gli interventi necessari ad assicurare l’attuazione delle politiche di sicurezza.

Gli organi di amministrazione e direttivi devono essere informati mediante apposite relazioni periodiche sugli esiti dei piani.

I piani di risposta agli incidenti e gli altri piani di cybersecurity che impattano le operazioni devono essere stabiliti, comunicati, mantenuti e migliorati.

Per almeno i sistemi informativi e di rete rilevanti deve essere definito, attuato, aggiornato e documentato un piano di continuità operativa, che comprende almeno: le finalità e l’ambito di applicazione; i ruoli e le responsabilità; i contatti principali e i canali di comunicazione (interni ed esterni); le condizioni per l’attivazione e la disattivazione del piano; le risorse necessarie, inclusi i backup e le ridondanze.

Per almeno i sistemi informativi e di rete rilevanti deve essere definito, attuato, aggiornato e documentato un piano di ripristino (disaster recovery) in caso di disastro, che comprende almeno: le finalità e l’ambito di applicazione; i ruoli e le responsabilità; i contatti principali e i canali di comunicazione (interni ed esterni); le condizioni per l’attivazione e la disattivazione del piano; le risorse necessarie, inclusi i backup e le ridondanze; l’ordine di ripristino delle operazioni; le procedure di ripristino per operazioni specifiche, compresi gli obiettivi di ripristino.

I piani devono essere approvati dagli organi di amministrazione e direttivi.

3. Protezione

Gestione delle identità, autenticazione e controllo degli accessi: L’accesso agli asset fisici e logici è limitato agli utenti, ai servizi e all’hardware autorizzati, e gestito in modo appropriato alla valutazione del rischio di accesso non autorizzato.

L’impresa deve gestire le identità e le credenziali degli utenti, dei servizi e dell’hardware autorizzati.

Tutte le utenze, incluse quelle con privilegi amministrativi e quelle per l’accesso remoto, devono essere censite, approvate e, salvo eccezioni tecniche motivate, individuali per gli utenti.

Le credenziali devono essere robuste e aggiornate in base alla valutazione del rischio.

Le utenze e le relative autorizzazioni devono essere verificate periodicamente, con aggiornamenti/revoche in caso di variazioni (es. trasferimento/cessazione del personale).

L’impresa deve adottare e documentare le procedure relative a quanto sopra.

L’impresa deve autenticare utenti, servizi e hardware.

Per i sistemi rilevanti, e in accordo alla valutazione del rischio, devono essere impiegate modalità di autenticazione multi fattore (MFA).

L’impresa deve adottare e documentare le procedure relative a quanto sopra.

L’impresa deve definire, gestire, applicare e rivedere i permessi, i diritti e le autorizzazioni di accesso, incorporando i principi del minimo privilegio e della separazione dei compiti.

I permessi devono essere assegnati in base al principio del minimo privilegio e della separazione delle funzioni.

Deve essere assicurata la completa distinzione tra utenze con e senza privilegi amministrativi, con credenziali diverse.

L’impresa deve adottare e documentare le procedure relative a quanto sopra.

L’impresa deve gestire, monitorare e proteggere l’accesso fisico agli asset in misura appropriata al rischio.

Per i sistemi rilevanti, l’accesso fisico deve essere protetto.

L’impresa deve adottare e documentare le procedure relative a quanto sopra.

Consapevolezza e formazione: L’impresa deve assicurare che il personale sia sensibilizzato e formato sulla cybersecurity per svolgere i propri compiti.

L’impresa deve definire, attuare, aggiornare e documentare un piano di formazione in materia di sicurezza informatica per il personale, inclusi gli organi di amministrazione e direttivi. Il piano deve includere:

La pianificazione delle attività di formazione con i contenuti della formazione;
Le modalità di verifica dell’apprendimento.

Il piano di formazione deve essere approvato dagli organi di amministrazione e direttivi.

L’impresa deve mantenere un registro aggiornato del personale che ha ricevuto la formazione, i contenuti e le verifiche svolte.

Sicurezza dei dati: L’impresa deve gestire i dati in modo coerente con la strategia sul rischio per proteggerne riservatezza, integrità e disponibilità.

L’impresa deve proteggere la riservatezza, l’integrità e la disponibilità dei dati a riposo.

Per i sistemi rilevanti, e in accordo alla valutazione del rischio, i dati su dispositivi portatili e supporti rimovibili devono essere cifrati, salvo motivate eccezioni tecniche o normative.

L’impresa deve adottare e documentare le procedure relative a quanto sopra.

L’impresa deve proteggere la riservatezza, l’integrità e la disponibilità dei dati in transito.

L’impresa deve adottare e documentare le procedure relative a quanto sopra.

L’impresa deve creare, proteggere, mantenere e verificare i backup dei dati.

L’impresa deve adottare e documentare le procedure relative a quanto sopra.

Sicurezza delle piattaforme e delle applicazioni: L’impresa deve gestire hardware, software (es. firmware, sistemi operativi, applicazioni) e servizi delle piattaforme fisiche e virtuali per proteggerne riservatezza, integrità e disponibilità.

L’impresa deve mantenere, sostituire e rimuovere il software in base al rischio.

Salvo eccezioni tecniche o normative, deve essere installato solo software per il quale è garantita la disponibilità di aggiornamenti di sicurezza.

L’impresa deve adottare e documentare le procedure relative a quanto sopra.

L’impresa deve generare e rendere disponibili i registri di log per il monitoraggio continuo.

Tutti gli accessi da remoto e quelli con utenze con privilegi amministrativi devono essere registrati.

Per i sistemi rilevanti, devono essere conservati in modo sicuro, e possibilmente centralizzato, i log necessari per il monitoraggio degli eventi di sicurezza, inclusi quelli relativi agli accessi.

Le tempistiche di conservazione dei log devono essere definite e documentate in base alla valutazione del rischio.

L’impresa deve adottare e documentare le procedure relative a quanto sopra.

L’impresa deve integrare pratiche di sviluppo sicuro del software e monitorarne le prestazioni durante l’intero ciclo di vita del software.

Devono essere adottate e documentate procedure di sviluppo sicuro del codice nello sviluppo del software.

Resilienza dell’infrastruttura tecnologica: L’impresa deve gestire le architetture di sicurezza in accordo con la strategia sul rischio per proteggere la riservatezza, l’integrità e la disponibilità degli asset e la resilienza organizzativa.

L’impresa deve proteggere reti e ambienti dall’accesso logico e dall’uso non autorizzati.

Per i sistemi rilevanti, devono essere definite e documentate le attività consentite da remoto e implementate adeguate misure di sicurezza per l’accesso.

Deve essere mantenuto un elenco aggiornato dei sistemi accessibili da remoto con le relative modalità di accesso.

Devono essere presenti, aggiornati, mantenuti e configurati i sistemi perimetrali, come i firewall.

L’impresa deve adottare e documentare le procedure relative a quanto sopra.

4. Rilevamento

Monitoraggio continuo: L’impresa deve monitorare gli asset per individuare anomalie, indicatori di compromissione e altri eventi potenzialmente avversi.

L’impresa deve monitorare reti e servizi di rete per individuare eventi potenzialmente avversi.

Per i sistemi rilevanti, devono essere presenti, aggiornati, mantenuti e configurati strumenti tecnici adeguati per rilevare tempestivamente gli incidenti significativi.

Devono essere definiti e documentati i livelli di servizio attesi (SL) dei servizi e delle attività, anche al fine di rilevare tempestivamente gli incidenti significativi.

L’impresa deve adottare e documentare le procedure relative a quanto sopra.

L’impresa deve monitorare hardware e software di elaborazione, ambienti di runtime e i loro dati per individuare eventi potenzialmente avversi.

L’impresa deve adottare e documentare le procedure relative a quanto sopra.

5. Risposta

Gestione degli incidenti: L’impresa deve gestire le risposte agli incidenti di cybersecurity rilevati.

L’impresa deve eseguire il piano di risposta agli incidenti in coordinamento con le terze parti interessate una volta dichiarato un incidente.

Deve essere definito, attuato, aggiornato e documentato un piano per la gestione degli incidenti di sicurezza informatica e la notifica al CSIRT Italia, che includa almeno:

Le fasi e le procedure di gestione e notifica degli incidenti con i relativi ruoli e responsabilità;
Le procedure per la predisposizione e la trasmissione delle relazioni previste dal decreto NIS;
Le informazioni di contatto per la segnalazione degli incidenti;
Le modalità di comunicazione interna ed esterna, incluso il coinvolgimento degli organi di amministrazione e direttivi;
La reportistica per la documentazione dell’incidente.

Il piano deve essere approvato dagli organi di amministrazione e direttivi.

Il piano deve essere riesaminato e, se necessario, aggiornato periodicamente e in caso di incidenti significativi o mutamenti dell’esposizione ai rischi.

Segnalazione e comunicazione della risposta agli incidenti: L’impresa deve coordinare le attività di risposta con gli stakeholder interni ed esterni come richiesto da leggi, regolamenti o politiche.

L’impresa deve informare gli stakeholder interni ed esterni degli incidenti.

Ai destinatari dei servizi, gli incidenti significativi che possono ripercuotersi negativamente sulla fornitura di tali servizi;
Ai destinatari dei servizi potenzialmente interessati da una minaccia informatica significativa, le misure o azioni correttive o di mitigazione che possono adottare e la natura della minaccia.

Devono essere documentate e adottate procedure per informare il pubblico sugli incidenti, qualora intimato dall’Agenzia per la cybersicurezza nazionale.

6. Ripristino

Esecuzione del piano di ripristino dagli incidenti: L’impresa deve eseguire le attività di ripristino per garantire la disponibilità operativa dei sistemi e dei servizi interessati da incidenti di cybersecurity.

L’impresa deve eseguire la parte del piano di risposta agli incidenti relativa al ripristino una volta avviata dal processo di risposta agli incidenti.

Documenti richiesti ai soggetti NIS 2 classificati come Importanti

IL documento nell’Allegato 1 della determina appena esaminato specifica numerose misure di sicurezza per le quali è richiesta l’adozione di procedure documentate. Oltre alle policy espressamente richieste al punto 1 Governo (Pllitiche di Cybersecurity), ecco un elenco strutturato delle principali aree in cui è espressamente richiesta documentazione formale:

1. Gestione del rischio

Piano documentato di gestione del rischio.
Documentazione della valutazione del rischio.
Piano di trattamento del rischio documentato.

2. Affidabilità delle risorse umane

Procedure documentate per la formazione del personale autorizzato ad accedere ai sistemi informativi rilevanti e per la selezione e gestione degli amministratori di sistema.

3. Conformità e audit

Politiche formalizzate per ambiti specifici (gestione rischio, asset, accessi, ecc.).
Piano di adeguamento documentato e approvato.

4. Catena di approvvigionamento

Valutazione dei fornitori, inserimento nei contratti di requisiti di sicurezza e monitoraggio documentato.

5. Gestione asset e vulnerabilità

Inventari documentati di hardware, software e servizi.
Piano di gestione delle vulnerabilità documentato e procedure documentate per l’individuazione e la gestione delle vulnerabilità con relative responsabilità.

6. Continuità operativa e gestione crisi

Piani documentati per continuità operativa, ripristino disastri e gestione crisi, con ruoli, risorse, canali e condizioni di attivazione.

7. Controllo accessi e autenticazione

Procedure documentate per gestione utenze, autorizzazioni, autenticazione e principio del minimo privilegio.
Procedure documentate per accesso remoto.

8. Sicurezza fisica

Procedure documentate per protezione accessi fisici ai sistemi critici.

9. Formazione e consapevolezza

Piano formativo documentato e approvato, registro aggiornato della formazione.

10. Sicurezza dei dati

Procedure per cifratura dei dati a riposo e in transito.
Procedure per backup e protezione dati di backup.

11. Sicurezza delle piattaforme

Documentazione sulla gestione degli applicativi software e aggiornamenti.
Gestione e conservazione dei log, con tempistiche documentate.
Procedure di sviluppo sicuro documentate.

12. Monitoraggio

Procedure documentate per rilevamento incidenti e protezione endpoint.

13. Risposta agli incidenti

Piano documentato per gestione e notifica incidenti.
Procedure per comunicazione interna ed esterna degli incidenti.

14. Ripristino

Procedure documentate per ripristino post-incidente.

Il ruolo delle terre rare nell’economia mondiale

In questo periodo si è molto parlato delle cosiddette “terre rare” (che poi proprio rare non sono…) come merce di scambio fra Stati Uniti e Ucraina. L’importanza delle terre rare è causata dalla forte necessità di “batterie” per accumulare energia (dispositivi mobili, auto elettriche, impianti fotovoltaici…), spinta dall’evoluzione tecnologica e dal “green deal” della Comunità Europea. Ma il forte orientamento su fonti di energia elettrica è realmente sostenibile? C’è qualcuno che ci guadagna (e qualcun altro che ci rimette)?

In questo articolo fornito da alcuni giovani studiosi, sebbene datato, si sono stati analizzatidiversi aspetti sull’argomento.

Introduzione

Nel cuore dell’era digitale e delle tecnologie avanzate che permeano ogni aspetto della nostra vita, esiste un gruppo di elementi che rappresentano la chiave segreta dietro a molte delle innovazioni che stiamo vivendo: le terre rare. Questi minerali, spesso sottovalutati e poco conosciuti, occupano una posizione di crescente rilevanza nell’economia mondiale, grazie alle loro proprietà uniche e alla loro importanza in molteplici settori chiave.

Nell’era moderna, l’avanzamento tecnologico è diventato un elemento fondamentale per lo sviluppo economico e sociale di molte nazioni, di conseguenza il controllo delle terre rare è un vero a proprio asso nella manica estremamente ambito dalle grandi potenze economiche.

In questo articolo esploreremo l’importanza delle terre rare per l’era tecnologica in cui viviamo, le sfide associate alla loro estrazione e raffinazione, nonché le possibili soluzioni che stanno emergendo. Inoltre analizzeremo l’importanza geopolitica delle terre rare, analizzando le implicazioni per la sicurezza energetica globale, le dinamiche di potere tra le nazioni e le possibili soluzioni a questa sfida complessa. Vedremo come la competizione per il controllo delle terre rare stia influenzando le relazioni internazionali e come le nazioni stiano cercando di adattarsi a questa nuova realtà.

Cosa sono le terre rare?

Le terre rare sono un gruppo di 17 elementi chimici della tavola periodica. Nel dettaglio sono i lantanidi, cioè una serie di 15 elementi con numero atomico tra 57 e 71 (Lantanio, Cerio, Praseodimio, Neodimio, Promezio, Samario, Europio, Gadolinio, Terbio, Disprosio, Olmio, Erbio, Tulio, Itterbio e Lutezio), scandio e ittrio.

Tutte le terre rare hanno proprietà chimiche simili, poiché presentano delle differenze a livello della struttura elettronica solo negli orbitali 4f, che sono interni, di conseguenza il guscio più esterno, che determina le proprietà chimiche, è il medesimo.

Ma quali sono queste proprietà chimiche?

La principale caratteristica delle terre rare è la capacità di mantenere stabili le proprietà magnetiche (soprattutto) e conduttive anche ad elevate temperature.

Le terre rare sono “rare”?

Contrariamente a quanto si potrebbe pensare le terre rare non sono rare. Se si considera la quantità presente sulla terra, infatti, secondo l’U.S.G.S. (United States Geological Survey) l’attuale presenza di terre rare (120 milioni di tonnellate circa) sarebbe sufficiente a soddisfare le richieste per altri 3 o 4 secoli. L’aggettivo in questione è stato usato la prima volta quando alcuni di questi elementi furono isolati in Svezia e da allora ha caratterizzato questo gruppo di elementi chimici.

Nonostante l’abbondante presenza di terre rare nella crosta terrestre, non esistono dei giacimenti di terre rare, infatti le terre rare sono presenti in molti luoghi, ma sempre in basse percentuali e, spesso, legate ad altri elementi. Questo problema, da un punto di vista economico, è molto impattante, infatti lo sforzo richiesto per estrarre le terre rare spesso non viene ripagato dalla quantità di terre rare estratte, proprio per la scarsa concentrazione.

A cosa servono le terre rare?

L’importanza delle terre rare è così grande da essere impattante per l’economia mondiale.

La proprietà principale delle terre rare è la capacità di esercitare magnetismo anche ad alte temperature, per questo motivo sono indispensabili nei prodotti tecnologici di ultima generazione: smartphone, tablet, televisori a schermo piatto, batterie ricaricabili. Nonostante la quantità di terre rare in apparecchi “high-tech” come i nostri smartphone sia minima, la loro presenza è cruciale per assicurare l’efficienza e la rapidità nell’utilizzo.

La loro utilità, però, non si limita all’ambito tecnologico, infatti le terre rare sono utilizzate anche in ambito medico, ad esempio il gadolinio è utilizzato come liquido di contrasto nelle risonanze magnetiche, così come in ambito aerospaziale e militare nelle strumentazioni (e purtroppo armi) di ultima generazione. Inoltre, le terre rare sono utilizzate in grande quantità nelle turbine eoliche, ad esempio in una da 5 MegaWatt ci sono 1000 kg di terre rare.

Un recente report del governo canadese (Report Governo Canada) ha elencato i principali ambiti industriali in cui le terre rare vengono utilizzate:

38% magneti permanenti;
23% cracking petrolifero;
13% industria del vetro;
9% leghe per le batterie;
8% metallurgia;
5% industria ceramica;

Un nuovo campo di utilizzo delle terre rare riguarda le auto ibride, dove è presente fino a 1 kg di terre rare, ma soprattutto le auto elettriche.

Le terre rare nelle auto elettriche

Riguardo a questo ultimo contesto citato si è recentemente aperto un dibattito tra esperti scientifici, di economia e di politica dopo la decisione, presa da parte dell’Unione Europea (formalizzata nel Gennaio 2023), di vietare la vendita, a partire dal 2035 nei territori della UE, dei veicoli che usano i combustibili fossili, per contrastare l’enorme inquinamento atmosferico da essi causato. In pratica, dal 2035, tutta l’industria (anche italiana) che si occupa della vendita di veicoli (auto, moto ecc.) a benzina e diesel cesserà di esistere, rimarrà possibile, almeno in un primo momento, continuare ad usare i veicoli acquistati prima di quella data. All’interno delle auto elettriche le terre rare sono usate nei magneti che permettono il funzionamento dei motori, proprio per le straordinarie proprietà sopra citate. Fino ad ora, nonostante gli sforzi, non si è stati in grado di trovare un’alternativa valida alle terre rare, o per motivi di costo o per i difetti degli altri elementi quando sono portati ad elevate temperature.

In questa situazione ci sono due principali problemi: l’inquinamento delle terre rare stesse ed il monopolio cinese del mercato delle terre rare.

Consideriamo ora il primo problema: la decisione della UE ha lo scopo di ridurre le emissioni di CO₂, quindi apparentemente sembra una decisione presa per salvaguardare l’ambiente, ma l’estrazione e l’utilizzo delle terre rare è un processo tutt’altro che sostenibile. La decisione della UE di incentivare l’uso di auto elettriche comporterebbe un evidente abbassamento dei livelli di inquinamento, ma non è tutto oro quello che luccica. L’estrazione di terre rare è un processo tutt’altro che sostenibile.

Secondo i dati riportati da “euronews”, l’attività mineraria per l’estrazione di terre rare tra il 1965 ed il 1995 in California ha lasciato delle conseguenze ambientali gravissime, come l’inquinamento con elementi radioattivi di 2300 litri di acqua. I principali rischi sono dovuti all’utilizzo di acidi per raffinare, con la conseguente emissione di prodotti tossici ed anche radioattivi. Inoltre, considerando il difficile processo tramite il quale si ottengono le terre rare, si rischia, se non effettuato con precisione e mezzi adatti, di causare una perdita del 50% degli elementi ricercati.

Il secondo problema, invece, ha ripercussioni geopolitiche molto interessanti, infatti, come vedremo successivamente, la Cina attualmente controlla il 90% della fornitura mondiale di terre rare, ha il totale monopolio del mercato. La Cina, curiosamente, non ha emanato nessuna legge che vieterà la produzione di veicoli che utilizzano combustibili fossili e, vale la pena ricordarlo, produce il 33% dei gas serra di tutto il mondo.

L’Unione Europea, in confronto alla Cina, produce una quantità di gas serra incredibilmente inferiore, anche se si aggiungesse quella prodotta dagli Stati Uniti.

La Cina, quindi, oltre ad avere il monopolio delle terre rare avrà anche il monopolio della produzione dei veicoli che necessitano di combustibili fossili. Un fatto piuttosto curioso è che noi italiani potremo andare a comprare un’auto a benzina in un paese che continua la vendita e tornare in Italia a circolare liberamente.

Il mercato delle terre rare

Le principali riserve di terre rare si trovano in Cina, Russia, Stati Uniti, Australia, Brasile, India, Sudafrica e Vietnam. Fino a qualche decennio fa il monopolio apparteneva agli Stati Uniti, grazie alla miniera di Mountain Pass in California, ma ad oggi il più grande giacimento attivo nel mondo si trova in Cina, a Bayan Obo, e costituisce il 50% della produzione di terre rare cinesi. Ad oggi la Cina possiede il 37% di riserve di terre rare, seguita da Brasile e Vietnam con il 18% e dalla Russia con il 15%.

Il mercato dei metalli convenzionali ha luogo in piazze borsistiche riconosciute, mentre non esiste un vero e proprio mercato per le terre rare, di conseguenza le trattative tra il venditore (quasi sempre la Cina) e l’acquirente sono condotte senza un prezzo stabilito, nonostante le indicazioni fornite dalla National Minerals Information Center (istituto governativo statunitense di statistica che si occupa della domanda e dell’offerta dei materiali essenziali per l’economia statunitense).

Il mercato delle terre rare è libero ed è soggetto a continue ed imprevedibili variazioni del prezzo di acquisto, molto spesso deciso con precise finalità politiche. Recentemente stanno nascendo delle associazioni come la REIA (Rare Earth Industry Association), che ha il compito di associare produttori e acquirenti da tutto il mondo in modo da stabilizzare la situazione. Contestualmente un cambiamento sta avvenendo anche in Cina, con il governo che sembra disposto a regolamentare il mercato ed a migliorare l’efficienza e la sicurezza di tutta la filiera.

La strategia cinese

Tra gli anni Ottanta e Novanta del Novecento, la Cina ha deciso di sfruttare la chiusura della miniera di Mountain Pass in California da parte degli Stati Uniti ed ha intrapreso una serie di iniziative con il fine di assumere il controllo del mercato delle terre rare. Da allora, la produzione cinese ha raggiunto livelli elevatissimi grazie al bassissimo costo della manodopera, spesso arrivando allo sfruttamento dei lavoratori, ed agli investimenti per le infrastrutture intraprese dal governo cinese.

I costi di produzione della Cina sono molto più bassi rispetto a quelli degli USA anche perché la Cina ha deciso di costruire le fabbriche di raffinazione nelle immediate vicinanze dei giacimenti, in modo da minimizzare i costi, ma anche i rischi, di un lungo trasporto. Nonostante la Cina abbia “solo” il 37% delle risorse mondiali di terre rare, controlla fino al 90% delle terre rare sul mercato. Questo è stato reso possibile dalle abili e molto speculative politiche intraprese dalla Cina in Africa.

La Cina in Africa

La Cina, negli ultimi due decenni, ha voluto espandere all’estero la propria produzione ed ha scelto l’Africa. Questa politica commerciale cinese si chiama “Belt and Road Initiative” e consiste nella creazione di rotte commerciali da e per la Cina con lo scopo di sostituire gli Stati Uniti come prima potenza commerciale.

In cambio della costruzione di moderne infrastrutture e di aiuti sociali da parte della Cina, l’Africa ha concesso alcuni suoi ampi territori ricchi di risorse all’amministrazione cinese. La Cina ha così sfruttato l’incapacità da parte dell’Africa di sfruttare le risorse del proprio territorio, ampliando la produzione ed il controllo. La Cina ha comprato dei territori nei Paesi più ricchi con finalità economiche, mentre ha acquisito il controllo di alcune zone dei Paesi più poveri per scopi militari, creando delle vere e proprie basi militari a Gibuti (uno dei cosiddetti “choke points”) ed in Guinea Equatoriale.

Questo fenomeno di acquisizione di terre e risorse prende il nome di “land grabbing” ed è una pratica utilizzata anche dai Paesi Occidentali, Stati Uniti fra tutti.

L’aspetto più controverso e che fa riflettere, anche in riferimento alla politica coloniale dei Paesi dell’Europa in passato, riguardo la cosiddetta “trappola del debito”.

La Cina ha investito più di 150 miliardi di dollari in Africa, l’80% di questi investimenti sono stati fatti in infrastrutture che potrebbero tornare utili anche alla Cina stessa. La Cina, infatti, non ha aiutato lo sviluppo dell’Africa per ragioni umanitarie, anzi, è stata un’azione cinica che ha conferito un sacco di potere, con una conseguente“sudditanza” da parte dei Paesi in cui sono stati compiuti ingenti investimenti.

Se l’Africa, come succederà, non sarà in grado di ripagare i debiti nei confronti della Cina, sarà costretta a cedere il controllo delle infrastrutture, oppure a far entrare la Cina nelle decisioni politiche interne, con lo scopo di restituire il “favore” tramite precise azioni a favore del colosso asiatico.

Fonte: Espace Mondial

Il ricatto cinese e Taiwan

Le terre rare sono necessarie anche per l’armamento dell’esercito degli USA, di conseguenza un eventuale blocco all’export da parte della Cina avrebbe conseguenze disastrose per gli USA. Questo “jolly” in mano alla Cina condiziona le scelte politiche, economiche e militari di tutto il mondo, ma soprattutto influenza gli Stati Uniti, l’unica potenza in grado di competere con la Cina su tutti i fronti.

La situazione al momento più instabile riguarda Taiwan, un arcipelago di fronte alla Cina che si è dichiarato indipendente da vari decenni, con la Cina che, però, non accetta questa decisione, data l’importanza di Taiwan nell’equilibrio commerciale. Taiwan è fondamentale per la produzione di microchip (il 60% di quelli globali è prodotto a Taiwan) e di apparecchiature hi-tech.

Taiwan ha un’importanza anche “geografica”, infatti la sua posizione strategica impedisce alla Cina, e garantisce agli USA, di controllare tutta la zona di Oceano Pacifico in cui passano il 60% delle rotte commerciali. Negli ultimi mesi la situazione ha subito uno sviluppo preoccupante, infatti circa 600 aerei militari cinesi hanno ripetutamente violato lo spazio aereo di Taiwan, effettuando esercitazioni militari anche con armamenti nucleari.

La mancanza di microchip è alla base dell’attuale crisi globale, con la Cina che mira, quantomeno, a controllare le esportazioni da Taiwan per avere un altro “jolly” in mano negli equilibri globali.

Al momento la politica Occidentale, soprattutto degli USA, è stata incerta, infatti da un lato commerciano con Taiwan e ufficiosamente la supportano nelle scelte di indipendenza, ma, d’altro canto, non tutti la riconoscono ufficialmente, perché significherebbe inasprire i rapporti con la Cina con conseguenti problemi nel reperimento delle terre rare.

L’Unione Europea potrebbe svincolarsi dal monopolio cinese?

La soluzione potrebbe arrivare dalla Svezia, nell’area di Kiruna è stato recentemente scoperto un giacimento di terre rare da parte di una società svedese statale (Lkab). La scoperta di questo giacimento potrebbe, a livello teorico, sconvolgere gli equilibri mondiali, ma bisogna ancora pazientare ed essere realisti, infatti non sono ancora stati comunicati in modo ufficiale e preciso la tipologia, ma soprattutto la quantità, delle terre rare presenti.

Inoltre, prima di poter competere con la Cina, bisogna considerare i necessari tempi tecnici, poiché sarà necessario creare le infrastrutture per un recupero efficiente, per la raffinazione e per il trasporto.

CONCLUSIONI

La strategia della Cina in merito alle terre rare è stata lungimirante e, nel giro di un paio di decenni, ha posto l’Occidente in una posizione di dipendenza, al punto da poter decidere i prezzi e le quantità esportate, condizionando, di conseguenza, le scelte politiche di paesi, come gli USA, che altrimenti potrebbero competere su tutti i campi con la Cina, anche quello militare in merito alle continue tensioni con Taiwan.

La Cina ha anche condotto una politica di espansione in Africa, di cui non si è molto parlato fino a pochi anni fa, ma che si sta rivelando un fattore determinante.

La situazione non è irrimediabilmente compromessa, ma è necessario che la UE trovi delle soluzioni alternative alla Cina, ancora meglio se si rendesse indipendente, inoltre sarebbe opportuno non intraprendere delle politiche che, anche se giuste, possano favorire ulteriormente la Cina sul mercato.

E’ interessante osservare come “solo” 17 elementi della tavola periodica possano far nascere e sviluppare degli scenari che influiscono in campo politico, economico e militare, soprattutto in un mondo globalizzato come quello attuale.

FONTI

U.S.G.S. (United States Geological Survey)

Euronews (Inquinamento delle terre rare)

Geopop (Terre rare, Cina, Taiwan )

Wikipedia (Terre rare, Lantanidi)

Chimica.online (Proprietà delle terre rare)

Report Governo Canada

China in Africa: a growing influence – World Atlas of Global Issues (sciencespo.fr)

Rai (Svezia)

Le imprese italiane e la crisi: il motore Italia si ferma?

Le sfide delle PMI italiane: le criticità emerse a Motore Italia

Lo scorso 26 marzo, durante l’evento “Motore Italia”, sono stati affrontati alcuni dei principali problemi che le imprese italiane devono affrontare in un contesto economico sempre più complesso e incerto. Dalla carenza di manager nelle PMI alla crisi di alcuni settori, passando per le minacce legate ai dazi, all’inflazione e ai costi energetici, il panorama imprenditoriale italiano si trova di fronte a sfide cruciali per il futuro. Vediamo nel dettaglio i temi emersi.

Pochi manager nelle PMI italiane

Le piccole e medie imprese italiane soffrono di una carenza strutturale di manager. Molte aziende, specialmente quelle a conduzione familiare, sono gestite senza una figura manageriale esterna, con il rischio di una limitata innovazione e crescita strategica. La mancanza di competenze manageriali rende più difficile affrontare le sfide del mercato globale e adottare soluzioni innovative per la competitività.

La causa di ciò? Scarsa fiducia degli imprenditori “che si sono fatti da soli” nei dirigenti esterni alla famiglia, desiderio di controllare tutti i processi strategici dell’azienda (a partire dall’amministrazione, finanza e controllo di gestione, spesso assente), timore di eccessivi costi per la retribuzione di manager a contratto, esperienze negative di temporay management…

Le imprese a conduzione familiare continuano a rappresentare una parte significativa del tessuto economico italiano, ma la mancanza di un adeguato ricambio generazionale e l’assenza di manager esterni rischiano di limitarne la crescita. La professionalizzazione della gestione aziendale e l’apertura a investitori esterni potrebbero essere soluzioni chiave per garantire la continuità e lo sviluppo di queste aziende.

Crisi aziendale in alcuni settori

Alcuni settori produttivi italiani stanno attraversando una fase di crisi a causa della riduzione della domanda, dell’aumento dei costi delle materie prime e della concorrenza internazionale. Il settore manifatturiero, in particolare, sta soffrendo per l’aumento dei costi di produzione e dell’energia e la difficoltà di reperire manodopera specializzata. La necessità di una trasformazione digitale e di una maggiore efficienza produttiva diventa sempre più urgente, ma la voglia di intraprendere questa strada è spesso frenata dalle nubi che si intravvedono all’orizzonte.

È nota la crisi profonda del settore dell’automotive e di tutto l’indotto. La Germania non tira più gran parte la produzione di componentistica italiana, anzi sta vivendo una crisi ancor più profonda per la forte esposizione delle aziende tedesche nel mercato automobilistico.

Le ragioni sono spesso relative al contesto esterno, alla situazione geopolitica internazionale che sta incidendo in modo sempre più pesante nella produzione industriale.

A fronte delle difficoltà nel settore manifatturiero, il terziario ha mostrato una crescita significativa. I servizi, in particolare quelli digitali, finanziari e professionali, hanno registrato un’espansione importante, evidenziando la necessità per le imprese di investire in nuove competenze e modelli di business più orientati alla conoscenza e all’innovazione.

Le minacce più o meno rilevanti a seconda del settore merceologico sono evidenti:

Elevati costi dell’energia
Possibili dazi imposti dal mercato USA
Concorrenza infra-UE ed extra-UE
Politiche comunitarie
Guerre

Alcune di queste minacce sono fra loro correlate.

Ad esempio, la politica della Comunità Europea ha significativamente influenzato il mercato energetico (l’embargo al gas Russo ha fatto impennare i costi dell’energia, la tassazione ETF, divieto di omologazione di veicoli a motore termico o ibrido dal 2035, ecc.), così come l’aumento del costo del denaro ha fatto inevitabilmente contrarre la domanda dei consumatori finali in alcuni settori.

Anche la crescita del terziario, servizi digitali a parte, è stata fortemente influenzata da alcuni elementi nel complesso negativi per l’intero Paese: aumento del costo del denaro, aumento dei costi dell’energia, …

Minacce dal contesto internazionale e incertezza su inflazione e costi energetici

Il contesto internazionale rappresenta una minaccia costante per le imprese italiane. Le tensioni geopolitiche, l’inflazione e l’aumento dei costi energetici stanno incidendo negativamente sulla stabilità economica. Le PMI, in particolare, sono più vulnerabili a queste oscillazioni, avendo minori risorse rispetto alle grandi imprese per assorbire gli shock economici.

oil well at sunset — ^{Photo by Jan Zakelj on Pexels.com}

Oltre al generalizzato aumento dei costi energetici, chiaramente influenzato dalla Guerra Russo-Ucraina, poiché ovviamente una fonte energetica come il gas proveniente da un processo di rigassificazione (e da un lungo trasporto transatlantico di gas liquido) costa molto di più di un gas proveniente da un gasdotto, ci sono altri fattori che influenzano alcuni settori industriali fortemente energivori, come l’ETF.

Le tasse ETF (Energy Taxation Framework) legate ai consumi energetici imposte dalla UE si riferiscono alla tassazione sull’energia nell’Unione Europea, regolata dalla Direttiva sulla tassazione dell’energia (Energy Taxation Directive – ETD). Questa normativa stabilisce le aliquote minime di tassazione sui prodotti energetici e sull’elettricità utilizzati nei trasporti, nell’industria e nelle abitazioni.

Obiettivi della tassa ETF sulla tassazione energetica sono i seguenti:

Ridurre le emissioni di CO₂ incentivando l’uso di energie rinnovabili;
Evitare distorsioni del mercato allineando la tassazione tra i diversi Paesi UE;
Generare entrate per la transizione ecologica, sostenendo il Green Deal Europeo.

Quest tassazione colpisce alcuni settori in particolare:

Carburanti per i trasporti (benzina, gasolio, GPL, ecc.);
Energia elettrica (in base alla fonte di produzione);
Combustibili per il riscaldamento (gas naturale, carbone, oli combustibili);
Settori industriali ed energetici che consumano combustibili fossili.

Nel 2021 la Commissione Europea ha proposto una riforma dell’ETD per:

Aumentare le tasse sui combustibili fossili più inquinanti;
Introdurre un sistema di tassazione basato sul contenuto energetico e sulle emissioni di CO₂;
Eliminare alcune esenzioni fiscali per il gasolio e il carbone.

Questa riforma rientra nel pacchetto “Fit for 55”, che mira a ridurre le emissioni di gas serra del 55% entro il 2030.

Le tasse ETF sull’energia hanno un impatto significativo sia sulle aziende che sui cittadini, con effetti diversi a seconda del settore e del tipo di consumatore.

L’’impatto sulle aziende riguarda:

Industrie energivore (acciaierie, cementifici, chimica) subiranno un aumento dei costi operativi se usano combustibili fossili. Questo potrebbe portare a;
- Prezzi più alti sui prodotti finali;
- Necessità di investire in efficienza energetica e fonti rinnovabili.
Trasporti e logistica
- Il costo del carburante per camion, navi e aerei aumenterà con l’abolizione delle esenzioni fiscali su gasolio e cherosene;
- Si incentivano alternative come biocarburanti, idrogeno e elettrificazione.
Produzione di energia
- Le centrali a carbone e gas pagheranno più tasse, spingendo verso una transizione alle energie rinnovabili;
- Le imprese fornitrici di energia potrebbero scaricare i costi sui consumatori.

L’Impatto sui cittadini, invece, riguarderà

Costo del carburante
- Aumenti su benzina e diesel potrebbero rendere il trasporto privato più costoso.
- Maggiore convenienza per auto elettriche e trasporto pubblico.
Bolletta energetica
- Gas e combustibili per il riscaldamento potrebbero diventare più cari;
- Incentivi per ristrutturazioni green e pompe di calore potrebbero compensare i costi.
Aumento generale dei prezzi
- Se le aziende scaricano i costi sui consumatori, il costo di beni e servizi può solo salire.
- Settori come agricoltura e manifattura saranno particolarmente colpiti.

In altre parole, gli effetti sui consumatori finali porteranno (hanno già portato) a minori disponibilità economiche per acquisto di beni e servizi, soprattutto quelli non essenziali.

I Possibili benefici e mitigazioni di questi effetti negativi potranno essere:

Sussidi e incentivi per energie rinnovabili, auto elettriche e ristrutturazioni;
Compensazioni per famiglie a basso reddito per evitare disuguaglianze sociali;
Transizione verso economia più sostenibile con meno dipendenza dai fossili.

In sintesi, la riforma della tassazione energetica UE ha l’obiettivo di accelerare la decarbonizzazione, ma avrà un impatto economico non trascurabile, soprattutto nel breve termine.

Il settore automotive è invece stato fortemente rallentato – oltre che dalla generale contrazione dei consumi, soprattutto per beni di elevato costo – dalla transizione obbligata all’elettrico che sta facendo sentire i suoi effetti, anche in termine di tassazione. Infatti, nell’Unione Europea ci sono sanzioni per i produttori di auto che non rispettano i limiti sulle emissioni di CO₂, anche se, non esiste un obbligo diretto di produrre una certa quantità di auto elettriche o ibride, ma piuttosto un sistema di penalità basato sulle emissioni medie della flotta venduta. In pratica ’UE impone limiti di CO₂ alle case automobilistiche in base alla media delle emissioni delle auto vendute in un anno.

Le imprese di alcuni settori tecnologici, pur condividendo il fine, non giustificano i mezzi di questa politica UE. In particolare, sulle ETF si contesta (un esempio al convegno “Motore Italia” è venuto dall’industria ceramica) il fatto che alcune produzioni manifatturiere sono necessariamente energivore e non hanno alternative all’utilizzo di gas naturale.

A questi impatti negativi si aggiunge il fattore concorrenza del mercato asiatico che non ha i medesimi vincoli.

Questo introduce un altro aspetto: la disuguaglianza nella competizione tra UE ed extra UE ed anche fra Paesi della stessa Comunità Europea, tra cui l’Italia ed altri Paesi comunitari.

La produzione non solo di autoveicoli e motoveicoli, ma di diverse tipologie di prodotti complessi, come elettrodomestici, prodotti elettronici, ecc., prevede oggi una supply chain molto “lunga” e con diversi fornitori. La maggior convenienza produttiva in Paesi extra-UE o, specie per aziende italiane, anche in Paesi intra-UE, ma comunque con costo del lavoro inferiore, ha portato molte aziende italiane a produrre componenti, se non interi prodotti finiti, in altre Nazioni.

Evidentemente produrre all’estero comporta costi inferiori, nonostante i costi di trasporto, perché in altri Paesi (anche della UE) l’energia costa meno che in Italia, la manodopera costa meno perché ci sono minori vincoli (sicurezza sul lavoro, diritti dei lavoratori…) e costi di contribuzione obbligatoria inferiori. L’effetto che si è avuto negli ultimi anni è stato quello di danneggiare le PMI italiane (più piccole che medie) e di rendere il lavoro maggiormente precario e peggio retribuito.

Recentemente anche il comparto agroalimentare (agricoltori ed allevatori in primis) hanno lamentato le politiche UE che favorirebbero l’acquisto di prodotti agroalimentari dal Sudamerica rispetto ai prodotti nostrani.

Quindi, se l’obiettivo è la sostenibilità, dobbiamo considerare che tutto ciò aumenta le emissioni nocive in termini di inquinamento e minori controlli sulle aziende estere, oltre che una concorrenza sleale che favorisce imprese estere. Probabilmente gli obiettivi ESG si sono troppo focalizzati sulla E e poco sulla S.

In Italia, anche se la produzione industriale è stata migliore nel 2024 rispetto ad altri Paesi UE, le previsioni sono meno rosee anche perché è stato recentemente certificato che stipendi e salari italiani sono cresciuti molto meno rispetto ad altri Paesi, rendendo il potere di acquisto degli italiani, rispetto ai cittadini di altri Paesi UE ed extra-UE come la Gran Bretagna, molto inferiore di quello ad inizio secolo!

Se una qualsiasi persona ha avuto l’opportunità di fare un viaggio negli Stati Uniti, in Inghilterra e in Francia o Germania negli anni ’80, negli anni ’90, ad inizio secolo e negli ultimi due anni ha potuto constatare quanto sia peggiorata la situazione del turista italiano all’estero in termini di potere d’acquisto.

Negli Stati Uniti, anche oggi quando si paventa il rischio recessione, l’economia “gira”: i prezzi per beni e servizi sono alti rispetto al nostro Paese, ma le retribuzioni sono adeguatamente elevate per consentire un livello di consumi sostenibile.

E veniamo al tanto temuto problema dei dazi.

È bella la libertà del commercio globale senza vincoli, ma quando la concorrenza è leale ed equa.

La mossa degli USA, per ora solo annunciata nei confronti della UE, di imporre elevati dazi sui prodotti europei, potrebbe sconvolgere il mercato internazionale e danneggiare fortemente alcuni settori ed imprese del nostro Paese. Ma se l’obiettivo è quello di avvantaggiare la produzione interna agli Stati Uniti rispetto all’export, forse dovevamo pensarci anche noi. Perché favorire l’ingresso in Europa e soprattutto in Italia di prodotti realizzati in Paesi dove la regolamentazione è profondamente diversa a danno di altre imprese italiane?

Diciamolo francamente: i prodotti acquistati dai consumatori finali oggi sono di qualità largamente inferiore a quelli acquistati 20 o 30 anni fa. Ovviamente non intendo in termini di funzionalità (chiaramente un telefono cellulare o un computer di fine secolo scorso aveva caratteristiche largamente inferiori a uno smartphone o PC di oggi, anche ad un prezzo equivalente al netto dell’inflazione), ma di affidabilità, non conformità rilevate nel breve e nel medio periodo dall’acquisto.

Naturalmente ci sono aziende che temono più i dazi dei costi elevati dell’energia e aziende che la vedono in modo opposto.

La crisi delle imprese italiane è iniziata

Le incertezze ed i rischi oggi sono tanti: sicuramente l’eventuale fine della guerra russo-ucraina porterebbe maggiori effetti positivi rispetto all’introduzione dei dazi su alcuni beni importati negli USA.

Da ultimo vorrei stigmatizzare la virata della UE verso il riarmo: la conversione di fabbriche automobilistiche in fabbriche di armamenti non è una cosa buona, il PIL è come il colesterolo, c’è quello buono e quello cattivo! Così come il Covid ha fatto aumentare il fatturato per alcuni prodotti e servizi, non tutti così utili e di buona qualità, così ora l’aumento delle spese militari potrebbe nascondere problemi più grossi.

ESG e certificazione

La sostenibilità è un tema sempre più centrale per le aziende italiane. Ottenere certificazioni ESG (Environmental, Social, Governance) rappresenta un’opportunità per differenziarsi sul mercato e accedere a finanziamenti dedicati. Tuttavia, molte PMI faticano a intraprendere questo percorso per la complessità burocratica e i costi associati.

Nel convegno “Motore Italia” si sono potuti apprezzare alcuni interventi di imprese che hanno effettivamente migliorato i loro parametri ESG, soprattutto attraverso interventi di efficientamento energetico che comunque sono utili anche in caso di riduzione dei costi dell’energia.

Anche per le aziende, non solo per le istituzioni, gli aspetti Sociali e di Governance devono essere migliorati e soprattutto occorre puntare ad interventi che non danneggino altri settori, come quello dell’agricoltura (interessanti sono gli impianti fotovoltaici che non precludono l’uso agricolo dei terreni).

Difficile gestione della crescita dimensionale

Uno dei principali limiti delle PMI italiane è la difficoltà di crescere in termini di dimensioni. Le barriere burocratiche, la difficoltà di accesso al credito e la scarsa propensione alla collaborazione tra aziende ostacolano il processo di espansione. La crescita dimensionale è fondamentale per affrontare i mercati internazionali e aumentare la competitività.

Purtroppo, molte aziende, anche del settore dei servizi, non sono riuscite a governare adeguatamente la crescita dimensionale. Questo aspetto è fortemente collegato alla carenza di manager: se un’impresa con N persone può essere gestita da 3 responsabili di funzione – o dal solo imprenditore ed un paio di familiari – che controllano le funzioni Commerciali, Acquisti, Amministrazione, Produzione o Erogazione del Servizio – se l’azienda cresce e raddoppia la forza lavoro con 2xN dipendenti non basteranno più i 3 responsabili di funzione di prima.

Oltre al problema di ampliare le figure di responsabilità, la crescita deve essere accompagnata da un adeguata crescita anche dei sistemi informatici e della digitalizzazione per rendere i processi più efficienti e controllabili.

Purtroppo, questo molti imprenditori non lo hanno capito.

Conclusioni

L’evento “Motore Italia” ha evidenziato sfide cruciali per il futuro delle imprese italiane. La carenza di manager, la crisi in alcuni settori, l’impatto dell’inflazione e dei costi energetici e dei possibili dazi USA, e la necessità di una maggiore sostenibilità sono tutti elementi che richiedono strategie mirate e interventi efficaci. Solo attraverso un’innovazione continua, un miglioramento della governance e una maggiore apertura ai mercati internazionali, le PMI italiane potranno affrontare con successo le sfide del futuro.

In un contesto internazionale così incerto cambiano i rischi che dovranno affrontare le organizzazioni del nostro Pase, ma purtroppo diversi eventi non sono controllabili dagli imprenditori, pertanto alcune misure di mitigazione dei rischi che si prospettano all’orizzonte potrebbero risultare inefficaci non per mancanze dell’imprenditore.

La Privacy nella Farmacia 2.0

Negli ultimi anni, le farmacie hanno ampliato la gamma di servizi offerti ai cittadini, evolvendo da semplici punti di dispensazione di farmaci a veri e propri presidi sanitari di prossimità. Questa trasformazione ha portato a una maggiore gestione di dati personali anche appartenenti a categorie particolari, imponendo ai farmacisti il dovere di rispettare rigorosamente la normativa sulla protezione dei dati personali, in particolare il Regolamento Generale sulla Protezione dei Dati (GDPR), il Codice Privacy novellato (D.Lgs 196/2002 aggiornato dal D.Lgs 101/20218) e le linee guida nazionali.

L’Importanza del GDPR nella Gestione dei Dati Sanitari

Il GDPR ha introdotto principi chiave che i farmacisti devono seguire nella gestione dei dati personali, tra cui:

Liceità, correttezza e trasparenza: I dati devono essere raccolti con il consenso esplicito dell’interessato e trattati in modo chiaro, ma solo nei casi in cui tale consenso è necessario, oppure in base ad altra base giuridica come stabilito dal GDPR (ad esempio non per la dispensazione di farmaci dietro presentazione di ricetta medica). Il tutto supportato da adeguata informativa all’interessato.
Limitazione delle finalità: Le informazioni devono essere utilizzate esclusivamente per gli scopi dichiarati, come la fornitura di servizi sanitari o la gestione delle prescrizioni mediche e non per finalità di marketing.
Minimizzazione dei dati: Devono essere raccolti solo i dati strettamente necessari per l’erogazione del servizio (ad esempio nella raccolta punti per ottenere sconti o per le carte fedeltà).
Integrità e riservatezza: Devono essere adottate misure tecniche e organizzative per garantire la sicurezza dei dati ed evitare accessi non autorizzati.

Nuovi Servizi Farmaceutici

L’introduzione di servizi innovativi, come la telemedicina, la prenotazione online di farmaci e la consulenza tramite strumenti digitali (whatsapp, e-mail, sito web), ha reso ancora più cruciale il rispetto della normativa sulla protezione dei dati.

Questi servizi spesso richiedono l’acquisizione e la conservazione di informazioni sanitarie sensibili, aumentando il rischio di violazioni della privacy. Ad esempio, piattaforme web che offrono il ritiro di farmaci su prenotazione o servizi di consulto devono garantire che i dati siano trasmessi e conservati in modo sicuro, evitando la condivisione non autorizzata con terze parti.

Obblighi dei Farmacisti nella Protezione dei Dati

I farmacisti hanno la responsabilità di garantire la conformità alle normative vigenti attraverso:

Formazione continua: Aggiornarsi costantemente sulla normativa (GDPR, Codice Privacy, Linee Guida EDPB, Provvedimenti del Garante Privacy nazionale) e sulle migliori pratiche per la protezione dei dati.
Adozione di misure di sicurezza: Implementare sistemi di protezione informatica per evitare attacchi hacker e accessi non autorizzati.
Gestione dei consensi: Assicurarsi che i pazienti siano pienamente informati su come vengono trattati i loro dati e ottenere il consenso esplicito quando necessario, in particolare nei servizi di telemedicina.
Registrazione e tracciabilità: Mantenere documentazione sulle procedure adottate per la protezione dei dati e garantire la tracciabilità di ogni operazione effettuata.

Il rispetto della normativa sulla protezione dei dati non è solo un obbligo legale, ma anche un elemento fondamentale per tutelare la fiducia dei pazienti nei confronti delle farmacie. La crescente digitalizzazione dei servizi richiede un approccio consapevole e responsabile nella gestione dei dati personali, per garantire la sicurezza e la riservatezza delle informazioni sanitarie. I farmacisti devono quindi adottare tutte le misure necessarie per proteggere la privacy dei loro clienti e operare nel pieno rispetto della normativa vigente.

Il rischio nella gestione dei nuovi servizi

Oggi le farmacie italiane offrono una vasta gamma di servizi, tra cui la dispensazione di farmaci con e senza ricetta, la telemedicina (ECG a distanza, Holter pressorio e Holter sanguigno), la prenotazione online di farmaci, l’accettazione di campioni biologici per lo svolgimento di esami di laboratorio e il ritiro dei referti di esami di laboratorio, la misurazione della pressione, test diagnostici rapidi (emocromo, profilo lipidico, ecc.), vaccinazioni e servizi di assistenza personalizzata per i pazienti cronici, analisi della pelle e del capello, nonché vendita di prodotti on-line (e-commerce).

Nel rapporto fra farmacia e fornitore di servizi, i ruoli soggettivi in materia di privacy possono variare in base alle attività svolte. La farmacia, generalmente, agisce come Titolare del trattamento dei dati personali, in quanto determina le finalità e i mezzi del trattamento. Il fornitore di servizi, invece, può assumere il ruolo di Responsabile del trattamento quando tratta i dati per conto della farmacia, seguendo le istruzioni ricevute. Spesso, tuttavia, è il fornitore stesso che determina mezzi e finalità del trattamento dei dati personali, poiché gestisce la parte fondamentale del processo di erogazione del servizio: si pensi ai servizi di telemedicina come l’ECG o l’esecuzione di esami di laboratorio a seguito di campioni prelevati in farmacia.

È fondamentale che tra le parti venga stipulato un accordo chiaro per garantire la conformità al Regolamento UE 679/2019 (GDPR) e la protezione dei dati personali dei pazienti. Tale accordo per i servizi dove è il fornitore a determinare mezzi (ad esempio strumenti informatici) e finalità del trattamento (ad esempio esecuzione di esami di laboratorio) deve riportare esplicitamente la nomina della Farmacia a Responsabile del Trattamento e investire il fornitore del ruolo di Titolare. Diversamente la Farmacia sarà esposta a rischi di sanzione e risarcimento danni in caso di violazioni di dati perpetrate nei sistemi del fornitore.

In particolare, per quanto riguarda i servizi svolti per conto di ASL o del Servizio Sanitario Nazionale (SSN) le farmacie agiscono come Responsabili del Trattamento. Negli ultimi anni, oltre ai servizi più propriamente sanitari, hanno iniziato a svolgere anche servizi come l’attivazione dello SPID (per conto di Lepida nella Regione Emilia-Romagna) e del Fascicolo Sanitario.

Altro aspetto critico è l’esecuzione di esami sanguigni con apparecchiature automatiche (in autoanalisi), oggetto di recenti polemiche sulla qualità degli esiti a seguito di un’inchiesta di Milena Gabbanelli sulla base di uno studio effettuato dalla National Library of Medicine. Spesso le farmacie non hanno consapevolezza di quali dati vengono raccolti e conservati dal software e se il fornitore dell’apparecchiatura ha accesso ai dati dei referti, mentre il Regolamento UE 679/2016 richiede un’informativa chiara da fornire al paziente con garanzia del rispetto di tutti i suoi diritti.

Le stesse criticità sono presenti nell’erogazione di servizi di analisi varie (analisi della pelle, analisi del capello, densitometria, intolleranze alimentari, ecc.), spesso proposti in partnership con il fornitore dell’apparecchiatura di analisi o del kit di raccolta campioni con analisi svolta dal laboratorio del fornitore. Per questi servizi il fornitore dovrebbe fornire al farmacista un servizio con trattamento di dati personali privacy-by-design, ma sovente così non è, facendo ricadere sulla farmacia l’onere di fornire al paziente un’informativa privacy con richiesta di consenso adeguata e di disciplinare il rapporto con il fornitore che sovente è poco collaborativo dal punto di vista della gestione dei dati personali.

Anche le diffuse carte fedeltà (fidelity card) delle farmacie sono spesso gestite in modo non conforme ai requisiti normativi con informative carenti o addirittura assenti e conservazione dei dati personali del cliente oltre quanto indicato dal Garante Privacy.

Proprio in virtù dell’enorme mole di dati personali che le farmacie trattano, devono adottare una serie di misure di sicurezza per proteggere i dati personali dei propri clienti. Tra queste rientrano l’uso di software aggiornati e certificati per la gestione dei dati, l’adozione di sistemi di autenticazione a più fattori per limitare l’accesso non autorizzato, la crittografia delle informazioni sensibili, la formazione continua del personale sulle best practice in materia di protezione dei dati e la stipula di accordi di riservatezza con eventuali fornitori di servizi esterni. Inoltre, è fondamentale effettuare controlli periodici e audit per verificare la conformità alle normative vigenti e garantire la sicurezza delle informazioni trattate.

Infine, i siti web delle farmacie non sono più dei siti solo di presentazione a scopo pubblicitario, ma sono diventati – in alcuni casi – veri e propri portali web – talvolta anche associati ad app per dispitivi mobili – dove si possono prenotare i servizi sopra indicati, prenotare farmaci trasmettendo anche la ricetta medica o addirittura acquistare prodotti attraverso siti di e-commerce. Adottare questi strumenti, magari associati a servizi di digital marketing come l’invio di newsletter promozionali, amplia enormemente gli adempimenti privacy della farmacia e il parco dei fornitori coinvolti nel trattamento dei dati personali che spesso non forniscono adeguato supporto nell’implementare servizi conformi alla normativa privacy.

Oggi, con i le nuove minacce provenienti da internet, come i ransomware, il phishing e gli attacchi mirati di hacker che cercano non solo di cifrare, rendendoli inaccessibili, i dati della vittima, ma anche di esfiltrarli, rendendo maggiormente efficace la c.d. “double extortion”: «se vuoi accedere nuovamente ai tuoi dati devi pagare il riscatto, ma se non lo paghi posso pubblicare sul web i dati personali dei tuoi clienti… ».

Contro queste minacce, e con un perimetro nel quale operano i sistemi informatici molto esteso, non basta più dichiarare di avere l’antivirus, le password e di fare il backup per garantirsi l’immunità rispetto alle eventuali sanzioni del Garante Privacy. È necessario dimostrare di aver attuato misure di sicurezza adeguate a seguito di una valutazione dei rischi.

Per dimostrare di aver adempiuto ai requisiti del GDPR non basta aver redatto il registro dei trattamenti, ma è necessario anche documentare la valutazione dei rischi (da aggiornare periodicamente), le misure di sicurezza tecniche ed organizzative adottate, gli accordi per la protezione dati con i fornitori/partner come responsabili del trattamento, le istruzioni al personale sull’utilizzo dei sistemi informatici e così via.

Purtroppo oggi è facile trovare farmacie che non sono in grado di dimostrare di aver adottato adeguate misure di sicurezza perché tali misure non sono documentate e sono note solo a qualche consulente informatico che le ha implementate senza avere un idoneo contratto per la gestione sistemistica dei sistemi della farmacia ed una nomina di Amministratore di Sistema.

I rischi che si corrono ignorando questa normativa sono importanti: oltre alle eventuali sanzioni del Garante per la Protezione dei Dati Personali (fino al 4% del fatturato annuo nei casi più gravi), un attacco ransomware potrebbe bloccare l’attività della farmacia per diversi giorni (con annesso rischio reputazionale) e l’eventuale violazione della riservatezza dei dati personali dei clienti potrebbe comportare richieste di risarcimento del danno molto onerose.

Ecco qui https://www.teleperformanceitalia.it/attacchi-informatici-hacker-rubano-gli-account-delle-farmacie-con-i-bot/?utm_source=chatgpt.com un esempio di attacchi hacker registrate contro farmacie.

La ISO 27005 per la gestione del rischio nella sicurezza delle informazioni

La norma ISO/IEC 27005:2022 fornisce linee guida per la gestione dei rischi legati alla sicurezza delle informazioni, alla cybersecurity e alla protezione della privacy. In questo articolo esamineremo i principali elementi trattati dalla norma, disponibile solo in lingua inglese.

La norma ISO/IEC 27005:2022, pubblicata nell’ottobre 2022, introduce diverse modifiche rispetto all’edizione precedente del 2018. I principali cambiamenti possono essere riassunti come segue:

Allineamento con altre norme: Il testo è stato aggiornato per essere coerente con la ISO/IEC 27001:2022 e la ISO 31000:2018, garantendo una maggiore armonizzazione tra gli standard relativi alla gestione della sicurezza delle informazioni e del rischio.
Introduzione degli scenari di rischio: Sono stati introdotti i concetti relativi agli scenari di rischio, che aiutano a comprendere meglio le potenziali minacce e le loro conseguenze attraverso la definizione di sequenze o combinazioni di eventi che possono portare a risultati indesiderati.
Approccio basato sugli eventi: Oltre al tradizionale approccio basato sugli asset, la nuova edizione introduce l’approccio basato sugli eventi per l’identificazione dei rischi. Questo metodo si concentra sull’analisi di eventi e conseguenze, spesso derivanti dalle preoccupazioni della direzione o dai requisiti organizzativi, offrendo una prospettiva più strategica nella gestione del rischio.
Revisione della struttura e dei contenuti: La norma è stata riorganizzata, passando da 12 clausole e 6 appendici nell’edizione 2018 a 10 clausole e un’appendice nella versione 2022. Questa ristrutturazione mira a migliorare la chiarezza e l’usabilità del documento. citeturn0search0

Queste modifiche riflettono l’evoluzione delle pratiche di gestione del rischio nel campo della sicurezza delle informazioni, offrendo alle organizzazioni strumenti aggiornati per affrontare le sfide emergenti in questo ambito.

Introduzione

La norma è progettata per assistere le organizzazioni nel soddisfare i requisiti della ISO/IEC 27001, in particolare per quanto riguarda la valutazione e il trattamento dei rischi per la sicurezza delle informazioni. È applicabile a tutte le organizzazioni, indipendentemente dal tipo, dalla dimensione o dal settore.

La norma sottolinea l’importanza di mantenere informazioni documentate riguardanti il processo di valutazione dei rischi, così come il processo di trattamento dei rischi risultati non accettabili.

La ISO 27005 del 2022 fornisce linee guida per la valutazione dei rischi ai fini della ISO 27001 per il sistema di gestione della sicurezza delle informazioni

Viene definito il contesto esterno come l’ambiente in cui l’organizzazione opera, che può includere fattori sociali, culturali, legali e tecnologici. Questo contesto è fondamentale per identificare e valutare i rischi.

La norma è stata allineata con la ISO/IEC 27001:2022 e la ISO 31000:2018, garantendo coerenza terminologica e strutturale. Sono stati introdotti concetti come gli scenari di rischio e un approccio basato sugli eventi per l’identificazione dei rischi.

La norma è organizzata in modo da facilitare la comprensione e l’applicazione delle linee guida, con un focus su come le organizzazioni possono implementare efficacemente le pratiche di gestione dei rischi.

In sintesi, ISO/IEC 27005:2022 offre un quadro completo per la gestione dei rischi di sicurezza delle informazioni, aiutando le organizzazioni a proteggere i propri dati e a mantenere la fiducia degli stakeholder.

Come deve essere condotta la valutazione dei rischi per la sicurezza delle informazioni?

Secondo la norma ISO/IEC 27005:2022 “Information security, cybersecurity and privacy protection — Guidance on managing information security risks” (Sicurezza delle informazioni, cybersecurity e protezione della privacy – Guida alla gestione dei rischi per la sicurezza delle informazioni), la valutazione dei rischi per la sicurezza delle informazioni deve essere condotta seguendo un processo strutturato che comprende diverse fasi. Ecco i principali passaggi da seguire:

Identificazione dei rischi: Questa fase prevede la ricerca, il riconoscimento e la descrizione dei rischi. È importante considerare sia le minacce che le vulnerabilità che possono influenzare la sicurezza delle informazioni.
Analisi dei rischi: In questa fase, si analizzano i rischi identificati per comprendere i tipi di rischio e determinare il loro livello. L’analisi dei rischi implica la valutazione delle cause e delle fonti di rischio, la probabilità che si verifichi un evento specifico e la gravità delle conseguenze associate.
Valutazione dei rischi: Questa fase consiste nel confrontare i risultati dell’analisi dei rischi con i criteri di rischio stabiliti per determinare se il rischio e/o la sua significatività sono accettabili. Si deve anche prioritizzare i rischi analizzati per il trattamento. In base a questo confronto, si può decidere se è necessario un trattamento del rischio.
Definizione del contesto: È fondamentale stabilire il contesto della valutazione dei rischi, che include la descrizione dello scopo e dell’ambito, nonché le questioni interne ed esterne che influenzano la valutazione stessa.
Allineamento con la gestione dei rischi organizzativa: L’approccio alla gestione dei rischi per la sicurezza delle informazioni deve essere allineato con l’approccio generale alla gestione dei rischi dell’organizzazione, in modo che i rischi di sicurezza delle informazioni possano essere confrontati con altri rischi organizzativi.
Utilizzo di metodi e strumenti: La valutazione dei rischi dovrebbe basarsi su metodi e strumenti progettati in modo da garantire risultati coerenti, validi e riproducibili. L’output della valutazione deve essere comparabile nel tempo per monitorare eventuali variazioni nel livello di rischio.

In sintesi, la valutazione dei rischi per la sicurezza delle informazioni secondo la ISO/IEC 27005:2022 è un processo sistematico che richiede attenzione a vari aspetti, dalla identificazione e analisi dei rischi fino alla loro valutazione e allineamento con la gestione dei rischi complessiva dell’organizzazione.

Quali sono, secondo questa normativa, le principali minacce alla sicurezza delle informazioni da considerare?

Per la norma ISO/IEC 27005:2022, le minacce alla sicurezza delle informazioni possono variare a seconda del contesto e delle specifiche circostanze in cui opera un’organizzazione. Tuttavia, ci sono alcune categorie generali di minacce che le organizzazioni dovrebbero considerare durante il processo di valutazione dei rischi. Ecco alcune delle principali minacce:

Minacce interne: Queste possono includere dipendenti o collaboratori che, intenzionalmente o accidentalmente, compromettono la sicurezza delle informazioni. Ciò può includere la divulgazione non autorizzata di informazioni sensibili o l’uso improprio delle risorse aziendali.
Minacce esterne: Queste comprendono attacchi provenienti da fonti esterne all’organizzazione, come hacker, gruppi di cybercriminali o concorrenti. Gli attacchi informatici, perpetrati attraverso malware, phishing e ransomware, rientrano in questa categoria.
Errori umani: Gli errori commessi da dipendenti o collaboratori, come la configurazione errata di sistemi o la gestione inadeguata delle credenziali, possono rappresentare una minaccia significativa per la sicurezza delle informazioni.
Disastri naturali: Eventi come terremoti, inondazioni, incendi o altre calamità naturali possono danneggiare le infrastrutture e compromettere la sicurezza delle informazioni.
Guasti tecnologici: Malfunzionamenti hardware o software, guasti di rete o interruzioni di servizio possono influenzare la disponibilità e l’integrità delle informazioni.
Minacce legate alla supply chain: Le vulnerabilità o i rischi associati ai fornitori e ai partner commerciali possono rappresentare una minaccia per la sicurezza delle informazioni, specialmente se questi hanno accesso ai sistemi o ai dati sensibili dell’organizzazione.
Minacce alla privacy: La raccolta, l’archiviazione e la gestione inadeguata delle informazioni personali possono portare a violazioni della normativa privacy (es. GDPR) e a conseguenze legali.

Attacchi alla reputazione: Minacce che mirano a danneggiare la reputazione dell’organizzazione, come la diffusione di informazioni false o la pubblicazione di dati compromettenti.

Queste categorie di minacce devono essere considerate durante il processo di identificazione e analisi dei rischi, in modo che l’organizzazione possa sviluppare strategie adeguate per mitigare i rischi associati,.

Quali sono le più comuni vulnerabilità?

Secondo la norma ISO/IEC 27005:2022, le vulnerabilità sono debolezze nei sistemi, processi o controlli che possono essere sfruttati da minacce per compromettere la sicurezza delle informazioni. Ecco alcune delle vulnerabilità più comuni che le organizzazioni dovrebbero considerare:

Vulnerabilità Hardware

Insufficiente manutenzione/fallimenti nell’installazione: Problemi legati alla manutenzione inadeguata o all’installazione errata di dispositivi hardware.
Sensibilità a condizioni ambientali: Vulnerabilità legate a umidità, polvere o variazioni di temperatura che possono danneggiare l’hardware.
Mancanza di controllo delle modifiche di configurazione: Assenza di procedure per gestire le modifiche alle configurazioni hardware.

Vulnerabilità Software

Vizi e difetti noti nel software: Utilizzo di software con vulnerabilità già identificate e documentate.
Insufficiente testing del software: Mancanza di test adeguati a identificare e correggere i difetti prima del rilascio.
Gestione inadeguata delle password: Pratiche deboli nella gestione delle password, come l’uso di password deboli o la mancanza di meccanismi di autenticazione robusti.

Vulnerabilità di Rete

Linee di comunicazione non protette: Trasmissione di dati sensibili su reti non sicure.
Architettura di rete insicura: Progettazione della rete che non considera adeguatamente la sicurezza, creando punti deboli.
Punti unici di guasto: Componenti critici della rete che, se compromessi, possono causare l’interruzione del servizio.

Vulnerabilità Organizzative

Mancanza di politiche di sicurezza: Assenza di politiche chiare e documentate per la gestione della sicurezza delle informazioni.
Formazione inadeguata del personale: Dipendenti non adeguatamente formati sui rischi di sicurezza e sulle pratiche di protezione delle informazioni.
Procedure di reporting inefficaci: Mancanza di procedure per segnalare e gestire le vulnerabilità e le violazioni della sicurezza.

Vulnerabilità Fisiche

Accesso non controllato alle strutture: Mancanza di controlli fisici per limitare l’accesso a aree sensibili.
Mancanza di politiche di “clear desk” e “clear screen“: Assenza di politiche per garantire che le informazioni sensibili non siano visibili o accessibili quando non sono in uso.

Queste vulnerabilità possono essere sfruttate da minacce per compromettere la sicurezza delle informazioni e devono essere identificate e gestite attraverso un processo di valutazione dei rischi.

Come si può calcolare l’indice di rischio per la sicurezza delle informazioni secondo questa norma?

Secondo la norma ISO/IEC 27005:2022, il calcolo dell’indice di rischio per la sicurezza delle informazioni si basa su un processo di valutazione dei rischi che considera diversi fattori, tra cui la probabilità di un evento di rischio e le conseguenze ad esso associate. Ecco i passaggi generali per calcolare l’indice di rischio:

1. Identificazione dei Rischi

1. Identificare i rischi potenziali associati alle minacce e alle vulnerabilità presenti nell’organizzazione. Ciò può includere eventi come attacchi informatici, errori umani, guasti tecnologici, ecc.

2. Valutazione della Probabilità (Verosimiglianza)

Determinare la probabilità che ciascun rischio si verifichi. Questo può essere fatto utilizzando scale qualitative (bassa, media, alta) o quantitative (percentuali o frequenze).

3. Valutazione delle Conseguenze (Gravità dell’impatto)

Valutare le conseguenze di ciascun rischio in caso di realizzazione. Le conseguenze possono essere classificate in termini di impatto su:

Riservatezza
Integrità
Disponibilità

Anche in questo caso, si possono utilizzare scale qualitative o quantitative.

4. Calcolo dell’Indice di Rischio

L’indice di rischio può essere calcolato utilizzando una formula che combina la probabilità e le conseguenze. Una formula comune è:

{Indice di Rischio} = {Probabilità} x {Impatto}

Questo indice fornisce una misura del rischio associato a ciascun evento identificato.

5. Classificazione dei Rischi

I rischi possono essere classificati in base all’indice di rischio calcolato, consentendo di prioritizzare le azioni di mitigazione. Ad esempio, i rischi con un indice di rischio elevato dovrebbero essere trattati con maggiore urgenza rispetto a quelli con un indice più basso.

6. Definizione di Strategie di Mitigazione

Sulla base della classificazione dei rischi, l’organizzazione può sviluppare strategie di mitigazione per ridurre la probabilità o l’impatto dei rischi identificati.

7. Monitoraggio e Riesame

È importante monitorare continuamente i rischi e riesaminare l’indice di rischio, poiché le minacce, le vulnerabilità e il contesto dell’organizzazione possono cambiare nel tempo.

Questi passaggi forniscono un approccio sistematico per calcolare e gestire i rischi per la sicurezza delle informazioni, come delineato nella norma ISO/IEC 27005: 2022. Il medesimo approccio può essere utilizzato per effettuare un Risk Assessment per la Direttiva NIS 2, vista l’analogia delle tematiche, garantendo così la riferibilità ad una metodologia di uno standard internazionale ISO.

La norma fornisce qualche esempio di matrice dei rischi?

La norma ISO/IEC 27005:2022 fornisce esempi di matrici dei rischio, che possono essere utilizzate per rappresentare graficamente la valutazione dei rischi in base a probabilità e conseguenze/impatti. Queste matrici aiutano le organizzazioni a visualizzare e classificare i rischi in modo chiaro e comprensibile.

Esempi di Matrice dei Rischi

1. Matrice Qualitativa:

Una matrice qualitativa può utilizzare scale di classificazione come “Molto Alta”, “Alta”, “Media”, “Bassa” per la probabilità e le conseguenze. Ad esempio, una matrice potrebbe apparire come segue:

Probabilità Conseguenze	*Molto Alta*	*Alta*	*Media*	*Bassa*
*Catastrofico*	Molto Alta	Alta	Alta	Media
*Critico*	Molto Alta	Alta	Media	Bassa
*Significativo*	Alta	Media	Bassa	Bassa
*Minore*	Media	Bassa	Bassa	Molto Bassa

2. Matrice Quantitativa:

Una matrice quantitativa può utilizzare valori numerici per rappresentare la probabilità e l’impatto. Ad esempio, si potrebbe utilizzare una scala da 1 a 5 per entrambe le dimensioni, dove 1 rappresenta il rischio più basso e 5 il rischio più alto. La matrice potrebbe apparire come segue:

Probabilità Conseguenze	1 (Bassa)	2 (Media)	3 (Alta)	4 (Molto Alta)	5 (Critica) \|
1 (Minore)	1	2	3	4	5
2 (Significativo)	2	4	6	8	10
3 (Critico)	3	6	9	12	15
4 (Catastrofico)	4	8	12	16	20

Utilizzo della Matrice dei Rischio

Le matrici dei rischio possono essere utilizzate per:

Visualizzare la distribuzione dei rischi: Aiutano a identificare quali rischi richiedono attenzione immediata.
- Supportare le decisioni: Forniscono un quadro chiaro per le decisioni relative alla gestione dei rischi.
- Comunicare i rischi: Facilitano la comunicazione dei rischi a tutte le parti interessate.

È importante che le scale utilizzate nella matrice siano ben definite e comprese da tutte le parti interessate. Le descrizioni qualitative devono essere chiare e non ambigue, e le categorie non devono sovrapporsi.

Quali sono i livelli di probabilità e gravità/impatto ed i criteri per la loro determinazione secondo questa norma?

scrabble letters spelling risk on a wooden table — Photo by Markus Winkler on Pexels.com

Nella norma ISO/IEC 27005:2022, i livelli di probabilità e gravità/impatto abbiamo visto che sono definiti attraverso scale qualitative e quantitative e i criteri per la loro determinazione devono essere stabiliti per garantire una valutazione coerente e significativa dei rischi.

Livelli di Probabilità

I livelli di probabilità possono essere espressi in termini qualitativi o quantitativi. Ecco un esempio di scala qualitativa:

Probabilità:

Quasi certa: Evento che si prevede si verifichi frequentemente.
Molto probabile: Evento che si prevede si verifichi frequentemente, ma non sempre.
Probabile: Evento che ha una buona possibilità di verificarsi.
Poco probabile: Evento che ha una bassa possibilità di verificarsi.
Improbabile: Evento che è poco probabile che si verifichi.

Livelli di Gravità/Impatto

I livelli di gravità o impatto delle conseguenze possono essere definiti come segue:

Gravità delle Conseguenze:

Catastrofico: Conseguenze gravi che possono compromettere gravemente l’organizzazione.
Critico: Conseguenze significative che possono influenzare gravemente le operazioni/i processi di business.
Serio: Conseguenze che possono causare danni notevoli, ma non critici.
Significativo: Conseguenze che possono causare disagi minori.
Minore: Conseguenze trascurabili che non influenzano le operazioni.

Criteri per la Determinazione dei Livelli

I criteri per determinare i livelli di probabilità e gravità includono:

Analisi Storica: Considerare eventi passati e incidenti di sicurezza che si sono verificati all’interno e all’esterno dell’organizzazione.
Valutazione delle Vulnerabilità: Identificare le vulnerabilità esistenti e il loro potenziale impatto.
Scenari di Rischio: Creare scenari di rischio che combinano probabilità e conseguenze per valutare il livello di rischio complessivo.
Contesto Organizzativo: Considerare il contesto specifico dell’organizzazione, inclusi i suoi obiettivi, le risorse e l’ambiente operativo.
Consenso delle Parti Interessate: Assicurarsi che le definizioni e le scale siano comprese e accettate da tutte le parti interessate coinvolte nel processo di gestione del rischio.

Analisi Storica: Considerare eventi passati e incidenti di sicurezza che si sono verificati all’interno e all’esterno dell’organizzazione.
Valutazione delle Vulnerabilità: Identificare le vulnerabilità esistenti e il loro potenziale impatto.
Scenari di Rischio: Creare scenari di rischio che combinano probabilità e conseguenze per valutare il livello di rischio complessivo.
Contesto Organizzativo: Considerare il contesto specifico dell’organizzazione, inclusi i suoi obiettivi, le risorse e l’ambiente operativo.
Consenso delle Parti Interessate: Assicurarsi che le definizioni e le scale siano comprese e accettate da tutte le parti interessate coinvolte nel processo di gestione del rischio.

Esempi pratici

Nell’Appendice A la norma ISO 27005 fornisce esempi di tecniche a supporto del processo di valutazione dei rischi.

La norma presenta tabelle che possono essere utilizzate per rappresentare visivamente i livelli di probabilità e gravità, come ad esempio:

Tabella A.3: Esempio di approccio qualitativo ai criteri di rischio, che combina probabilità e conseguenze per determinare il livello di rischio.
Tabella A.2 e A.4: Esempi di scale di probabilità che possono essere utilizzate per rappresentare la probabilità di eventi di rischio in termini probabilistici o frequenziali.

Questi livelli e criteri sono fondamentali per aiutare le organizzazioni a prendere decisioni informate sulla gestione dei rischi e a stabilire priorità per le azioni di mitigazione.

Inoltre, sono illustrate Tecniche pratiche per identificare valutare i componenti di rischio per la sicurezza delle informazioni quali:

Componenti legati al passato: eventi e incidenti di sicurezza (sia all’interno dell’organizzazione che all’esterno), fonti di rischio, vulnerabilità sfruttate, conseguenze misurate.
Componenti legati al futuro: minacce; vulnerabilità; conseguenze; scenari di rischio.

La Direttiva NIS 2 e il Decreto di recepimento in Italia: un nuovo capitolo per la Sicurezza delle Reti e dei Sistemi Informativi

Il panorama della sicurezza informatica in Europa sta vivendo una fase di trasformazione importante, con l’introduzione della Direttiva NIS 2 (Direttiva (UE) 2022/2555 del Parlamento Europeo e del Consiglio), che aggiorna la precedente Direttiva NIS (Network and Information Security) del 2016. A supporto di tale aggiornamento, l’Italia ha recepito (tra i primi Paesi UE) la direttiva europea attraverso il Decreto Legislativo 138/2024, approvato il 4 settembre 2024, che stabilisce nuovi obblighi per le organizzazioni italiane in materia di cybersecurity e gestione dei rischi.I

n questo articolo, esploreremo i principali punti della Direttiva NIS 2 e del Decreto di recepimento, analizzando le novità, gli impatti per le aziende e gli enti pubblici, e le sfide future in un contesto sempre più digitalizzato e vulnerabile a minacce cibernetiche.

La Direttiva NIS 2: obiettivi e novità

La Direttiva NIS 2 è parte di un più ampio sforzo dell’Unione Europea per rafforzare la sicurezza informatica e contrastare i rischi legati alle infrastrutture digitali, che sono diventate essenziali per il funzionamento delle economie moderne. Tra gli obiettivi principali della NIS 2 ci sono:

Aumentare il livello di protezione delle infrastrutture critiche: La Direttiva mira a garantire che tutte le organizzazioni che gestiscono infrastrutture critiche (settori come energia, trasporti, sanità, acqua, comunicazioni elettroniche) siano più preparate ad affrontare attacchi cibernetici e a limitare l’impatto di eventuali incidenti di sicurezza.
Estensione della portata delle norme: La Direttiva NIS 2 amplia il campo di applicazione rispetto alla versione precedente. Non solo le entità pubbliche e le aziende più grandi sono coinvolte, ma anche i fornitori di servizi essenziali e altre organizzazioni considerate ad alto rischio (ad esempio, piattaforme di e-commerce, fornitori di servizi cloud e aziende tecnologiche).
Miglioramento della cooperazione tra Stati membri: Una parte cruciale della NIS 2 è la creazione di un meccanismo di cooperazione più robusto tra gli Stati membri dell’UE. Questo implica la condivisione di informazioni sulle minacce, la gestione degli incidenti e lo sviluppo di linee guida comuni in materia di sicurezza informatica.
Obbligo di gestione dei rischi e notifica degli incidenti: Le aziende devono implementare misure di sicurezza adeguate e notificare tempestivamente le violazioni della sicurezza alle autorità competenti. Inoltre, devono adottare politiche di gestione dei rischi informatici per prevenire attacchi.

Sanzioni più severe: La Direttiva prevede l’introduzione di pene pecuniarie in caso di mancato adempimento degli obblighi di sicurezza, con multe che possono arrivare fino al 2% del fatturato annuale globale delle aziende coinvolte.

Il Decreto Legislativo 138/2024: Il recepimento della NIS 2 in Italia

Con la pubblicazione del Decreto Legislativo 138/2024 il 4 settembre 2024, l’Italia ha recepito la Direttiva NIS 2 nell’ordinamento nazionale, introducendo modifiche significative al quadro giuridico e regolatorio per la sicurezza delle reti e dei sistemi informativi. Alcuni degli aspetti più rilevanti includono:

Ampliamento del concetto di “Entità Essenziali“: In linea con le disposizioni della NIS 2, il Decreto Italiano amplia il novero delle entità soggette agli obblighi di sicurezza. Non solo i settori tradizionali (energia, trasporti, sanità) ma anche nuovi settori come i fornitori di servizi digitali, le piattaforme di e-commerce, i servizi cloud e le infrastrutture critiche IT rientrano nella normativa.
Notifica tempestiva degli incidenti di sicurezza: Le aziende e gli enti pubblici devono comunicare eventuali incidenti di sicurezza che possano avere un impatto significativo sui servizi essenziali entro 24 ore dall’accaduto. Ciò include attacchi informatici, vulnerabilità critiche e qualsiasi altro evento che minacci l’integrità dei sistemi.
Politiche di Gestione dei Rischi: L’adozione di un piano di gestione dei rischi diventa obbligatoria. Il piano deve contenere misure preventive per ridurre al minimo la probabilità di attacchi, nonché strategie di risposta e recupero in caso di incidenti di sicurezza.
Sanzioni e controllo: Il Decreto stabilisce un quadro sanzionatorio chiaro per le violazioni, che può arrivare a multe significative e altre misure correttive, in linea con le disposizioni europee. L’Autorità per la Cybersicurezza, che coordina gli sforzi nazionali, è anche incaricata di monitorare e fare rispettare la normativa.

Implicazioni per le Aziende e gli Enti Pubblici in Italia

L’entrata in vigore della Direttiva NIS 2 e del D.Lgs 138/2024 comporta un cambiamento significativo per molte realtà aziendali e pubbliche. Le organizzazioni devono ora adottare una strategia di cybersecurity che non si limiti a proteggere i dati sensibili, ma che abbracci una visione complessiva della sicurezza, con misure preventive, piani di risposta agli incidenti e una costante attività di monitoraggio.

Le PMI, che fino ad oggi erano meno coinvolte nella normativa, ora potrebbero essere chiamate a rispettare nuovi obblighi, soprattutto se operano in settori considerati “essenziali” o ad alto rischio. Questo significa che anche le piccole e medie imprese devono investire in soluzioni di cybersecurity avanzate, implementare formazione adeguata per i propri dipendenti e rivedere periodicamente la sicurezza dei propri sistemi.

Inoltre, la cooperazione tra enti pubblici e privati diventa fondamentale per affrontare le minacce informatiche globali. La creazione di canali di comunicazione per la condivisione delle informazioni sulle vulnerabilità e sugli attacchi è un aspetto cruciale che contribuirà a migliorare la resilienza dell’intero sistema digitale europeo.

I settori coinvolti

La Direttiva (UE) 2022/2555 interessa diversi settori chiave, che sono considerati essenziali per il funzionamento della società e dell’economia. Il D.Lgs 138/2024 riporta algli Allegati I e 2, rispettivamente, “i settori ad alta criticità” ed “altri settori critici”.

Tra i settori principali coperti dalle misure di cibersicurezza previste nella direttiva, troviamo:

1. Energia: Include le infrastrutture e i servizi legati alla produzione, distribuzione e fornitura di energia, come elettricità, gas e petrolio.

2. Trasporti: Comprende i servizi di trasporto aereo, marittimo e terrestre, nonché le infrastrutture associate.

3. Sanità: Riguarda le strutture sanitarie, i fornitori di servizi sanitari e le tecnologie dell’informazione utilizzate nel settore sanitario.

4. Acqua: Include la fornitura e la gestione delle risorse idriche, comprese le infrastrutture per la potabilizzazione e la distribuzione dell’acqua.

5. Infrastrutture digitali: Comprende i fornitori di servizi di comunicazione elettronica e i servizi di hosting, nonché le piattaforme digitali.

6. Settore finanziario: Riguarda le istituzioni finanziarie, come banche e compagnie assicurative, che gestiscono dati sensibili e transazioni economiche.

7. Servizi essenziali: Include anche altri servizi che sono fondamentali per il funzionamento della società, come i servizi di emergenza e le infrastrutture critiche.

La direttiva mira a garantire che questi settori adottino misure adeguate per proteggere le loro infrastrutture e servizi da minacce informatiche, contribuendo così a una maggiore resilienza cibernetica in tutta l’Unione Europea.

Il coinvolgimento di numerose aziende in questi settori critici porterà, a cascata, anche il coinvolgimento della catena di fornitura, con richieste contrattuali severe sulla sicurezza informatica.

Le misure di sicurezza richieste

La Direttiva (UE) 2022/2555 impone diverse misure di sicurezza alle aziende coinvolte, al fine di garantire un elevato livello di cibersicurezza. Le principali misure di sicurezza includono:

Politiche di analisi dei rischi: Le aziende devono sviluppare e mantenere politiche per identificare e valutare i rischi associati alla sicurezza informatica.
Strategie per la gestione degli incidenti: È necessario avere piani e procedure in atto per gestire e rispondere agli incidenti di sicurezza informatica. Le aziende sono anche obbligate a notificare alle autorità competenti qualsiasi incidente significativo di sicurezza informatica che possa avere un impatto sui servizi essenziali o sui dati sensibili. La notifica deve avvenire entro un termine specificato dalla direttiva.
Piani di continuità operativa: Le aziende devono prepararsi a garantire la continuità dei servizi anche in caso di incidenti di sicurezza.
Sicurezza della catena di approvvigionamento: Le misure devono estendersi anche ai fornitori e ai partner, assicurando che la sicurezza sia mantenuta lungo tutta la catena di approvvigionamento.
Gestione della Sicurezza del Software: Le aziende dovranno adottare procedure per garantire la sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità ed i relativi aggiornamenti.
Pratiche di igiene informatica: È fondamentale adottare buone pratiche di igiene informatica per prevenire attacchi e vulnerabilità.
Misure tecniche, operative e organizzative: Le misure devono essere adeguate e proporzionate ai rischi identificati, mirando a proteggere i sistemi informatici e di rete da attacchi e a minimizzare l’impatto degli incidenti. Queste misure possono includere la crittografia, il controllo degli accessi, la protezione dei dati e la formazione del personale.
Valutazione della conformità: Le aziende devono essere pronte a sottoporsi a valutazione della conformità per valutare l’efficacia delle misure di sicurezza intraprese e garantire che rispettino gli obblighi di sicurezza stabiliti dalla direttiva. Ciò può includere audit e controlli da parte di fornitori specializzati (es. Penetration Test e Vulnerability Assessment) delle autorità competenti.

Queste misure sono progettate per garantire che le aziende adottino un approccio proattivo alla sicurezza informatica, contribuendo così a una maggiore resilienza e protezione contro le minacce cibernetiche.

Le misure di sicurezza sono simili ai controlli previsti dalla nota ISO 27001 per i sistemi di gestione della sicurezza delle informazioni, ma quali sono le differenze? Chi è già certificato ISO 27001 o sta per farlo è già conforme alla NIS 2? Occorre fare alcune precisazioni.

Da un lato i controlli ISO 27001 (e linea guida ISO 27002) coprono uno spettro più ampio della sicurezza delle informazioni, dall’altro alcune misure di sicurezza richieste dalla NIS 2 sono più specifiche (es. gestione e notifica degli incidenti).

La NIS 2 è più orientata alla Cybersecurity ed alla protezione delle informazioni sensibili per il funzionamento delle infrastrutture critiche, mentre il campo di applicazione di un SGSI ISO 27001 può spaziare in diversi ambiti e, pertanto, potrebbe avere un perimetro più esteso di quello della NIS 2. Attenzione però che data breach di attività e servizi fuori dal perimetro della NIS 2 non possano coinvolgere attività e servizi critici entro il perimetro NIS 2.

La procedura di registrazione al portale ACN

La registrazione al portale ACN èobbligatoria entro il 28 febbraio 2025, in mancanza l’azienda, se rientra tra i soggetti nell’ambito della Direttiva, è soggetta a sanzione.

Informazioni necessarie per la registrazione

La registrazione si compone di tre fasi: il censimento del punto di contatto, la sua associazione al soggetto NIS e la compilazione della dichiarazione.

Per la fase di censimento del punto di contatto, sarà necessario verificare o fornire i seguenti dati:
1. nome e cognome;
2. luogo e data di nascita;
3. codice fiscale;
4. cittadinanza;
5. Paese di residenza e, ove richiesto, di domicilio;
6. indirizzo di posta elettronica ordinaria, preferibilmente individuale, nonché di servizio, aziendale o professionale;
7. ove disponibile, un indirizzo di posta elettronica certificata, preferibilmente individuale, nonché di servizio, aziendale o professionale;
8. numero di telefono, preferibilmente individuale, nonché di servizio, aziendale o professionale;
9. ove disponibile, un numero alternativo di telefono, preferibilmente individuale di servizio, aziendale o professionale.
Per la fase di associazione del punto di contatto al soggetto NIS, sarà necessario disporre del codice fiscale di quest’ultimo. Inoltre, qualora il Punto di contatto non sia il rappresentante legale del soggetto o un suo procuratore generale censito sul registro delle imprese, sarà necessario caricare il titolo giuridico che lo delega a operare per conto del soggetto.
Per la fase di compilazione della dichiarazione, sarà necessario disporre:
1. dell’elenco dei codici ATECO che caratterizzano le attività svolte e i servizi erogati dal soggetto, con particolare riferimento all’ambito di applicazione del decreto NIS;
2. delle normative europee settoriali citate dal decreto NIS per delimitarne l’ambito di applicazione che si applicano al soggetto;
3. del numero di dipendenti, il fatturato e il bilancio del soggetto. Qualora il soggetto non sia una impresa autonoma, il numero di dipendenti, il fatturato e il bilancio del soggetto calcolato ai sensi della raccomandazione 2003/361/CE, con particolare riguardo all’articolo 6, paragrafo 2, dell’allegato alla raccomandazione medesima;
4. l’elenco delle tipologie di soggetto di cui agli allegati I, II, III e IV, a cui è riconducibile il soggetto (ovvero soggetto appartenente a settori ad alta criticità, altri settori critici, P.A.,…) ;
5. l’autovalutazione del soggetto quale essenziale, importante o fuori ambito, sulla base di quanto previsto dagli articoli 3 e 6 del decreto NIS.

Per i soggetti che non sono imprese autonome (ovvero hanno imprese collegate, associate e/o fanno parte di un gruppo di imprese), in fase di registrazione sarà inoltre necessario fornire le informazioni indicate nel seguito.

Per i Gruppi di imprese che si devono registrare

Con riferimento alla designazione del punto di contatto, al fine di non imporre radicali cambiamenti nel governo della sicurezza informatica, i soggetti che fanno parte di un gruppo di imprese ai sensi dell’articolo 1, comma 1, lettera u), della Determinazione 38565/2024, possono designare quale punto di contatto il dipendente di un’altra impresa che rientra nell’ambito di applicazione del decreto NIS e che fa parte del medesimo gruppo di imprese.

Pertanto, ad esempio:

nei gruppi di imprese nei quali il governo della sicurezza informatica è decentralizzato, i soggetti che fanno parte del gruppo possono designare ognuno un proprio dipendente quale punto di contatto;
nei gruppi di imprese nei quali il governo della sicurezza informatica è centralizzata, i soggetti che fanno parte del gruppo possono tutti designare quale punto di contatto un dipendente della struttura del gruppo che governa la sicurezza informatica, oppure designare ognuno un proprio dipendente quale punto di contatto che si coordinerà con la struttura del gruppo che governa la sicurezza informatica.

Qualora la stessa persona fisica sia designata quale punto di contatto per tutti o una parte dei soggetti NIS del gruppo di imprese, occorrerà ripetere la fase di associazione e registrazione per ogni soggetto NIS.

Inoltre, con riferimento alla registrazione di soggetti che non sono imprese autonome ai sensi dell’articolo 1, comma 1, lettera t) della Determinazione 38565/2024, sarà necessario fornire le seguenti ulteriori informazioni rispetto a quanto illustrato in precedenza:

il codice fiscale e la ragione sociale della capogruppo, qualora il soggetto appartenga a un gruppo e non sia la capogruppo;
il codice fiscale e la ragione sociale di tutte le imprese collegate, ai sensi della Determinazione 38565/2024, articolo 1, comma 1, lettera s), che soddisfano almeno uno dei criteri di cui all’articolo 3, comma 10, del decreto legislativo 138/2024 (decreto NIS) nei confronti del soggetto medesimo;
il codice fiscale e la ragione sociale di tutte le imprese collegate che, per quanto noto, siano a loro volta soggetti NIS, ai sensi della Determinazione 38565/2024, articolo 1, comma 1, lettera s), nei confronti dei quali il soggetto medesimo soddisfa almeno uno dei criteri di cui all’articolo 3, comma 10, del decreto legislativo 138/2024 (decreto NIS);
il numero di dipendenti, il fatturato e il bilancio del soggetto calcolato ai sensi della raccomandazione 2003/361/CE, con particolare riguardo all’articolo 6, paragrafo 2, dell’allegato alla raccomandazione medesima.

Infine, con riferimento a quest’ultimo punto, qualora tale soggetto ritenga sproporzionata l’applicazione dell’articolo 6, paragrafo 2, dell’allegato alla raccomandazione 2003/361/CE, sarà necessario fornire anche:

il numero di dipendenti, il fatturato e il bilancio del soggetto calcolato ai sensi della raccomandazione 2003/361/CE, senza tenere conto di quanto previsto dall’articolo 6, paragrafo 2, dell’allegato alla raccomandazione medesima;
la valutazione del grado di indipendenza (totale parziale o assente) dei sistemi informativi e di rete NIS dell’organizzazione dai sistemi informativi e di rete delle imprese collegate. Con attività e servizi NIS si intendono le attività e i servizi per i quali l’organizzazione rientra nell’ambito di applicazione del decreto NIS. Con sistemi informativi e di rete NIS, si intendono i sistemi informativi e di rete che abilitano attività e servizi NIS;
la valutazione del grado di indipendenza (totale parziale o assente) delle attività e dei servizi NIS dell’organizzazione NIS dalle attività e dai servizi delle imprese collegate;
la risposta (si, in parte, no) alle domande seguenti:
1. I sistemi informativi e di rete delle imprese collegate concorrono ai sistemi informativi e di rete NIS dell’organizzazione?
2. Le attività e i servizi di imprese collegate concorrono alle attività e servizi NIS dell’organizzazione?
3. Le imprese collegate sono essenziali nella catena di approvvigionamento, anche digitale, dell’organizzazione?

Criteri per designare il punto di contatto

Il Punto di contatto è il rappresentante legale o un suo procuratore generale oppure un dipendente delegato del soggetto.

In quest’ultimo caso, nel corso della registrazione, il punto di contatto dovrà caricare il titolo giuridico che lo delega a operare per conto del soggetto nel contesto NIS. Come titolo giuridico è sufficiente una delega del rappresentante legale che può essere ad-hoc (modello suggerito) o anche una delega pre-esistente più ampia.

Per le pubbliche amministrazioni è possibile designare quale punto di contatto il dipendente di un’altra pubblica amministrazione che rientra nell’ambito di applicazione del decreto NIS.

Analogamente, i soggetti che fanno parte di un gruppo di imprese possono designare quale punto di contatto il dipendente di un’altra impresa che rientra nell’ambito di applicazione del decreto NIS e che fa parte del medesimo gruppo di imprese.

Il punto di contatto ha il compito di curare l’attuazione delle disposizioni del decreto NIS per conto del soggetto stesso, a partire dalla registrazione, e interloquisce, per conto del soggetto NIS, con l’Autorità nazionale competente NIS.

Conclusioni

La Direttiva NIS 2 e il Decreto Legislativo 138/2024 rappresentano un passo importante nella protezione delle infrastrutture digitali e nella lotta contro il crimine informatico. Con l’adozione di misure più rigorose e la creazione di un sistema di cooperazione tra Stati membri, l’UE sta cercando di creare un ambiente digitale più sicuro e resistente.

Per diverse aziende l’interpretazione dell’ambito di applicazione, ovvero se sono obbligate o meno all’applicazione della NIS 2, non è semplice; si auspica chiarimenti da parte di ACN, molto attiva sull’argomento (si veda https://www.acn.gov.it/portale/faq/cloud).

Per le aziende italiane, la sfida non è solo adeguarsi alle nuove normative, ma farlo in modo proattivo, rafforzando la sicurezza informatica e costruendo una cultura della protezione che diventi parte integrante delle loro operazioni quotidiane.

Investire in cybersecurity non è più un’opzione: è una necessità imprescindibile per proteggere i dati, la privacy e la reputazione di ciascuna organizzazione. Con il Decreto 138/2024, l’Italia compie un passo decisivo verso una maggiore protezione delle sue reti e sistemi informativi, rafforzando la fiducia nel sistema digitale europeo.