L’entrata in vigore della Direttiva NIS 2 (recepita in Italia a fine 2024) ha segnato un punto di non ritorno per la sicurezza informatica a livello europeo e nazionale. In un contesto geopolitico instabile e con un panorama di minacce cibernetiche (come ransomware e attacchi alla supply chain) in continua e rapida evoluzione, la cybersecurity cessa definitivamente di essere un “mero problema IT”. Diventa, a tutti gli effetti, un pilastro imprescindibile della governance aziendale e della continuità operativa.

Con l’ampliamento senza precedenti della platea dei soggetti obbligati — ora suddivisi capillarmente in Soggetti Essenziali (es. energia, trasporti, banche, sanità) e Soggetti Importanti (es. manifattura, produzione alimentare, …) — e l’introduzione di sanzioni economiche severissime, la direttiva introduce un cambio di paradigma: la responsabilità diretta del Top Management (Organi Direttivi dell’organizzazione).

In Italia, l’ACN (Agenzia per la Cybersicurezza Nazionale) è l’autorità competente designata per dettare le linee guida, stabilire le misure di sicurezza e, non da ultimo, condurre le attività ispettive. Per i “Soggetti Importanti”, l’ACN richiede un approccio rigoroso, documentato e basato sulla gestione proattiva del rischio (Risk Management), come del resto avviene in altre normative (ISO 9001, ISO 27001, …).  Ma come tradurre questi stringenti requisiti normativi in azioni pratiche, misurabili e difendibili in sede di audit?

La risposta risiede nell’adozione di una metodologia strutturata e scientificamente valida, meglio se riferita a standard nazionali o internazionali come la ISO 31000.

In questo articolo, vedremo come applicare la Metodologia per il Cybersecurity Assessment basata sul Framework Nazionale per la Cybersecurity e la Data Protection (ideata dal CIS Sapienza e dal CINI) per rispondere in modo ineccepibile ai requisiti della NIS 2 e alle specifiche dell’ACN, ma la Direttiva NIS 2 e le specifiche ACN non impediscono di utilizzare altre metodologie già in uso presso il Soggetto Essenziale o Importante, anzi si suggerisce di utilizzare una metodologia di Risk Management già in uso nell’organizzazione, ovviamente declinata sui rischi di cybersicurezza.

Oltre la semplice Compliance: una Governance strategica e integrata

L’errore operativo e strategico più comune nell’approcciare normative complesse come la Direttiva NIS 2 o il GDPR è limitarsi a spuntare delle checklist (il famigerato tick-the-box approach). Compilare un foglio di calcolo dichiarando di “avere un antivirus” (come molte organizzazioni hanno fatto credendo di soddisfare in tal modo i requisiti del GDPR in merito ad alcune misure di sicurezza) non salva un’azienda in caso di incidente, né supera un’ispezione approfondita.

La metodologia del Framework Nazionale ribalta questo paradigma di compliance passiva. Essa offre uno strumento per la quantificazione matematica, l’analisi multidimensionale e il monitoraggio continuo della cybersecurity posture (postura di cybersicurezza) nel tempo. Inoltre, fornisce una visione unificata che correla nativamente le misure di sicurezza tecnologica con gli obblighi di protezione dei dati personali.

I passaggi chiave per strutturare e definire un modello di valutazione del rischio, in linea con gli obblighi stabiliti dall’Agenzia per la Cybersicurezza Nazionale (ACN) (Determinazione 164179/2025), si concentrano sulle misure ID.RA-05 (Valutazione del Rischio) e GV.RM-03 (Strategia di Gestione del Rischio).

Applicare questa metodologia significa passare da una sicurezza “percepita” (basata su sensazioni o sull’aver acquistato l’ultimo software sul mercato) a una sicurezza “misurata e oggettiva”. Il processo si articola in tre macro-fasi sequenziali, supportate da un rigoroso apparato matematico e di analisi del rischio.

Fondazione del Modello: Integrazione e Politiche (GV.RM-03 e GV.PO-01)

Il modello di valutazione del rischio deve essere parte integrante dei processi generali di gestione del rischio dell’organizzazione.

Il piano di gestione dei rischi per la sicurezza informatica (GV.RM-03) deve essere definito, attuato, aggiornato e documentato per identificare, analizzare, valutare, trattare e monitorare i rischi.

Le politiche di sicurezza (GV.PO-01) stabilite devono includere almeno gli ambiti fondamentali, tra cui la gestione del rischio e la gestione dei rischi per la sicurezza informatica della catena di approvvigionamento (supply chain). Tali politiche devono essere stabilite in base al contesto organizzativo, alla strategia e alle priorità, comunicate e applicate.

Valutazione del Rischio (Risk Assessment – ID.RA-05)

La valutazione del rischio (ID.RA-05) è l’elemento centrale del modello, che deve essere eseguita e documentata. Questa valutazione deve comprendere almeno:

1. Identificazione del rischio.
2. Analisi del rischio.
3. Ponderazione del rischio (ponderazione).

Nella valutazione devono essere utilizzati o considerati i seguenti elementi per comprendere il rischio inerente:

• Minacce, vulnerabilità, probabilità e impatti.
• Minacce interne ed esterne.
• Vulnerabilità non risolte (unresolved vulnerabilities).
• Impatti conseguenti ad eventuali incidenti.
• Dipendenze da fornitori e partner terzi.

La valutazione del rischio deve essere eseguita a intervalli pianificati e comunque almeno ogni due anni (per i soggetti essenziali) o almeno con cadenza annuale (secondo altri requisiti, per soggetti importanti ed essenziali). Inoltre, deve essere riesaminata qualora si verifichino incidenti significativi, variazioni organizzative o mutamenti dell’esposizione alle minacce e ai relativi rischi.

I risultati della valutazione del rischio devono essere approvati dagli organi di amministrazione e direttivi.

Trattamento del Rischio (ID.RA-06)

Sulla base degli esiti della valutazione del rischio (ID.RA-05), si definiscono le risposte al rischio, che devono essere scelte, prioritizzate, pianificate, monitorate e comunicate.

È necessario definire, documentare, eseguire e monitorare un piano di trattamento del rischio che includa almeno:

1. Le opzioni di trattamento e le misure da attuare, con relative priorità.
2. Le articolazioni competenti e le tempistiche di attuazione delle misure.
3. La chiara descrizione e le ragioni che giustificano l’accettazione di eventuali rischi residui al trattamento.

Se, per motivate e documentate ragioni normative o tecniche, non fosse possibile attuare alcuni requisiti, devono essere adottate misure di mitigazione compensative (ove applicabile), e ciò deve essere incluso nel piano di trattamento del rischio, specificando l’eventuale rischio residuo.

Anche il piano di trattamento del rischio e l’accettazione dei rischi residui devono essere approvati dagli organi di amministrazione e direttivi.

Struttura metodologica e applicazione proporzionata

La metodologia di applicazione delle misure di sicurezza (e quindi l’implementazione pratica del modello di gestione del rischio) è resa proporzionata grazie a clausole specifiche inserite nei requisiti, che declinano l’approccio basato sul rischio:

• Sistemi informativi e di rete rilevanti: i requisiti di maggiore complessità sono spesso limitati a “almeno i sistemi informativi e di rete rilevanti”, che sono quei sistemi la cui compromissione causerebbe un impatto significativo sulla riservatezza, integrità e disponibilità delle attività e dei servizi NIS del soggetto.
• Accordo con gli esiti della valutazione del rischio (ID.RA-05): questa clausola determina le modalità di attuazione (es. requisiti di complessità o frequenza) e l’ambito di attuazione (su quali sistemi applicare il requisito) in funzione dei risultati specifici della valutazione del rischio. Ad esempio, l’uso dell’autenticazione multifattore (PR.AA-03) è impiegato “in accordo agli esiti della valutazione del rischio”.
• Deroghe motivate: la clausola “Fatte salve motivate e documentate ragioni normative o tecniche” consente di non applicare un requisito in presenza di vincoli normativi o limiti tecnologici o operativi, a condizione che si adottino misure compensative.

Ciclo di Vita e miglioramento

Il modello deve prevedere un ciclo continuo di miglioramento (ID.IM). I miglioramenti ai processi, alle procedure e alle attività di gestione del rischio devono essere identificati a seguito delle valutazioni.

Il modello di valutazione si inserisce in un processo più ampio di assessment che, mutuato dal Framework Nazionale, si articola in tre fasi:

1. Contestualizzazione: definizione del Profilo Target (postura di sicurezza cyber desiderata) attraverso la selezione delle subcategory pertinenti, la definizione dei livelli di priorità e l’individuazione dei controlli. I prototipi di contestualizzazione (ad esempio il Prototipo NIS, sebbene citato in generale, è parte di questa logica) possono essere utilizzati in questa fase.
2. Misura: rilevazione dell’attuale postura di sicurezza (Profilo Attuale) tramite questionari e interviste, stimando il grado di copertura e il livello di maturità dei controlli (usando la scala CMMI, ad esempio).
3. Valutazione: analisi del gap tra Profilo Attuale e Profilo Target, utilizzando metriche come lo score e la maturità, che possono essere aggregate per specifici Ambiti (ad esempio, l’Ambito Risk Management o Compliance).

Vediamo ora nel dettaglio come si sviluppano queste fasi.

Fase 1: Contestualizzazione (Il “Prototipo NIS 2 – ACN”)

Non tutte le aziende sono uguali, e la NIS 2 lo riconosce esplicitamente richiedendo l’adozione di misure tecnico-organizzative “proporzionate al rischio”. La prima fase della metodologia serve proprio a calare il modello astratto nella realtà operativa specifica della propria organizzazione.

Per un “Soggetto Importante” sotto Direttiva NIS 2, questa fase si traduce nella creazione del cosiddetto Profilo Target (P^T).

Come si costruisce all’atto pratico? Il processo viene accelerato attraverso l’uso dei Prototipi di Contestualizzazione. Si prendono le misure di sicurezza di base richieste esplicitamente dall’ACN e le si mappano sulle storiche Funzioni (Identify, Protect, Detect, Respond, Recover) e Subcategory del Framework Nazionale.

Durante questa fase di “personalizzazione”, l’Owner del processo assegna a ciascun controllo due parametri fondamentali:

• Obbligatorietà: si definisce quali controlli sono categoricamente Mandatori (perché richiesti dalla normativa ACN) e quali Consigliati o Facoltativi.
• Priorità (Alta, Media, Bassa): Basata sulla criticità dei processi di business che quel controllo va a supportare e sui vincoli di budget disponibili.

Il risultato è un “profilo su misura”: la formalizzazione di uno scenario di sicurezza ideale.

Fase 2: Misurazione (rilevazione oggettiva dello stato operativo)

Una volta definito l’obiettivo target, è imperativo comprendere con esattezza dove ci si trova oggi rispetto a esso. L’Assessor (una figura tecnica imparziale) conduce interviste strutturate richiedendo evidenze concrete e auditabili.

Per ogni singolo controllo richiesto dal Profilo Target, l’assessment rileva due dimensioni ortogonali fondamentali:

1. Livello di Maturità (Qualitativo basato su standard CMMI): Misura la robustezza e la ripetibilità del processo su una scala da 1 (Iniziale) a 5 (Ottimizzato).
2. Grado di Copertura (Quantitativo): Indica l’estensione dell’implementazione.

L’output di questa fase è il Profilo Attuale (P^A), un’istantanea fedele della postura di sicurezza. Ma come si legano questi dati al concetto di rischio richiesto dalla NIS 2?

Il cuore del Risk Assessment: rischio, copertura e formule di calcolo

La Direttiva NIS 2 impone un approccio Risk-Based. La metodologia del Framework Nazionale abbraccia questo principio integrandolo con parametri analitici rigorosi. Per comprendere appieno la solidità del modello, è fondamentale analizzare i concetti di Rischio Inerente, le metriche di mitigazione e le formule di calcolo dello Score.

Definizione degli Scenari di Rischio (Identificazione e Analisi del Rischio)

La valutazione del rischio (ID.RA-05) deve comprendere almeno l’identificazione del rischio e l’analisi del rischio.

Gli scenari di rischio sono costruiti considerando un approccio multi-rischio che individua e documenta i rischi per la sicurezza dei sistemi informativi e di rete.

Nell’identificazione e nell’analisi del rischio, devono essere considerate le seguenti componenti e dinamiche:

1. Minacce: Devono essere considerate sia le minacce interne che quelle esterne. Il processo deve tener conto delle informazioni di intelligence relative alle minacce informatiche.
2. Vulnerabilità: Devono essere considerate e registrate le vulnerabilità negli asset (ID.RA-01), comprese le vulnerabilità non risolte (unresolved vulnerabilities). L’organizzazione deve ottenere informazioni sulle vulnerabilità tecniche e valutarne l’esposizione.
3. Asset e Criticità: La valutazione deve riguardare il rischio posto alla sicurezza dei sistemi informativi e di rete, inclusi gli asset che consentono all’organizzazione di raggiungere gli obiettivi di business. Gli asset (hardware, software, servizi, persone, dati) devono essere classificati in base ai requisiti di riservatezza, integrità, autenticità e disponibilità, per determinare il livello di protezione richiesto.
4. Supply Chain Risk (Catena di Approvvigionamento): È obbligatorio includere nella valutazione i rischi derivanti dalle eventuali dipendenze da fornitori e partner terzi. Per le forniture, devono essere valutati almeno:
5. Il livello di accesso del fornitore ai sistemi e alle reti del soggetto NIS.
6. L’accesso del fornitore alla proprietà intellettuale e ai dati in base alla loro criticità.
7. L’impatto di una grave interruzione della fornitura.
8. I tempi e i costi di ripristino in caso di indisponibilità dei servizi.

Il Rischio Inerente, Probabilità e Impatto

Prima di valutare l’efficacia dei controlli, l’analisi deve partire dalla determinazione del Rischio Inerente, ovvero il livello di rischio a cui l’organizzazione sarebbe esposta in assenza totale di misure di sicurezza. Esso è determinato dal prodotto di due fattori chiave:

• Probabilità (Likelihood = Verosimiglianza): stimata analizzando il panorama delle minacce (Threat Landscape) e le vulnerabilità intrinseche dei sistemi. I criteri di determinazione valutano quanto sia facile per un attaccante sfruttare una debolezza, la frequenza storica degli attacchi e l’attrattività del target.
• Impatto (Impact): l’entità del danno in caso di concretizzazione della minaccia. In ottica NIS 2, l’impatto non è solo finanziario o di perdita dati (riservatezza, integrità, disponibilità), ma deve includere criteri sistemici: danni operativi (blocco della produzione), impatti legali/sanzionatori (violazione ACN/GDPR), danni d’immagine e, per i soggetti critici, persino l’impatto sulla salute o sicurezza pubblica.

La probabilità di accadimento di un rischio deve essere analizzata come parte dell’analisi del rischio.

Sebbene le fonti del FNCS non forniscano scale numeriche o descrittive specifiche, il modello deve considerare e stabilire:

• Criteri di Rischio pertinenti: i soggetti devono stabilire e mantenere criteri di rischio pertinenti.
• Intelligence: l’analisi del rischio deve tenere conto delle informazioni di intelligence relative alle minacce informatiche e alle vulnerabilità.

L’analisi del rischio deve valutare gli impatti conseguenti a eventuali incidenti.

L’identificazione dei requisiti di continuità (e quindi la gravità di un’interruzione) si basa sull’esecuzione di una analisi dell’impatto sulle attività aziendali (Business Impact Analysis – BIA), che valuta il potenziale impatto di gravi perturbazioni delle operazioni. I risultati della BIA stabiliscono gli obiettivi di continuità per i sistemi informativi e di rete.

I soggetti pertinenti devono considerare gli impatti in termini di:

• Disponibilità, Integrità, Autenticità e Riservatezza dei sistemi informativi e di rete.
• Impatto Sociale ed Economico: La definizione degli obblighi e delle misure deve tenere conto della gravità degli incidenti, compreso il loro impatto sociale ed economico.

La Mitigazione: valutazione della copertura tramite le Misure di Sicurezza

Le misure di sicurezza (i controlli del Framework) agiscono direttamente per abbattere il Rischio Inerente e portarlo a un livello di Rischio Residuo accettabile. L’efficacia di questa mitigazione è misurata matematicamente dal Grado di Copertura(  _i ^A)  rilevato durante l’assessment.

Prima di calcolare lo Score complessivo di una Subcategory o di un Ambito, è necessario determinare il Grado di Copertura dei singoli Controlli (azioni concrete implementate per soddisfare le prescrizioni delle Subcategory).

Il Grado di Copertura associato a un controllo è un valore numerico compreso tra 0 e 1. Questo valore viene stimato dall’Assessor durante la Fase di Misura (Misura) attraverso la somministrazione di un questionario e l’analisi delle evidenze.

La metodologia FNCSDP utilizza la seguente scala qualitativa standard per determinare il grado di copertura di un singolo controllo (input):

Grado di Copertura	Descrizione	Criterio Qualitativo Associato
0	Nullo	Il controllo non è implementato in alcuna sua parte.
0.6	Incompleto	(Esempio citato).
0.8	Avanzato	Il controllo risulta implementato ad eccezione di qualche elemento marginale.
1	Completo	Controllo completamente implementato.

L’adozione di questa scala standard comune aiuta a rendere il confronto dei risultati di diversi assessment più oggettivo.

Le formule analitiche: Il calcolo dello Score

La sintesi finale di questo lavoro certosino è fornita da formule analitiche. La metrica principale è lo Score (Indice di Copertura Ponderato), che misura matematicamente il grado di completamento delle misure di sicurezza rispetto al Profilo Target, pesandone l’importanza.

La formula formale per il calcolo dello Score di un elemento e_j (che può essere una Subcategory, un processo o l’intera azienda) è:

Dove:

•  = Grado di copertura attuale del controllo i-esimo (rilevato nella Misurazione).
•  = Grado di copertura target desiderato per il controllo i-esimo (definito nella Contestualizzazione).
•  = Il peso che indica quanto il controllo i-esimo è rilevante per l’elemento j-esimo dell’ambito in esame. Questo peso è cruciale: un controllo richiesto esplicitamente dall’ACN avrà un W elevatissimo, influenzando drasticamente lo Score se mancante.

Un valore risultante basso (es. 45%) segnala matematicamente che i controlli a maggior peso specifico (quelli vitali per mitigare i rischi ad alto impatto) sono gravemente carenti.

Fase 3: Valutazione (Analisi Multidimensionale per il Top Management)

Presentare a un CdA un file Excel con centinaia di righe di controlli tecnici e vulnerabilità è strategicamente controproducente. Qui entra in gioco il concetto di Ambiti (Scopes). I dati grezzi elaborati con la formula dello Score appena vista vengono proiettati su diverse “lenti d’ingrandimento”:

• Ambito Compliance NIS 2 (per il Legal/Compliance): Pesa maggiormente W_ij elevato) i controlli obbligatori richiesti dall’ACN.
• Ambito Risk Management (per il CISO): Focalizza l’attenzione sulla capacità di mitigare specifici scenari di minaccia ad alto impatto (es. Ransomware).
• Ambito Privacy & GDPR (per il DPO): Isola e valorizza le misure a tutela dei dati personali.

Le metriche chiave da portare in CdA:

• Lo Score (Indice di Copertura Ponderato): Il numero esatto derivato dalla formula, che segnala immediatamente la percentuale di allineamento al target di sicurezza.
• Il Vettore di Maturità: Un indicatore che descrive la solidità strutturale calcolato valutando la proporzione di controlli per ogni livello CMMI.

I vantaggi strategici e competitivi del modello

Perché le organizzazioni italiane, specialmente i Soggetti Importanti sotto la lente dell’ACN, dovrebbero adottare questo specifico approccio per la NIS 2?

1. Efficienza Operativa e “Write once, Read many”: Con un solo ciclo di interviste si raccolgono i dati () che alimentano molteplici dashboard per diverse funzioni aziendali (IT, Legal, Board). Addio all’audit fatigue.
2. Decisioni Data-Driven: Il modello trasforma la compliance in un KPI matematico. Il Top Management alloca il budget oggettivamente: si investe per colmare il gap dove la frazione   è più bassa sui controlli a maggior peso (W_ij)
3. Benchmarking Settoriale: La standardizzazione matematica rende possibile confrontare il livello di sicurezza nel tempo o tra filiali.

Critiche al modello FNCS

Il FNCS prevede una valutazione di numerosi controlli/misure di sicurezza attraverso un assessment puntuale che deve essere svolto da personale competente che deve intervistare i responsabili (e non solo quelli) dell’organizzazione per determinare la situazione attuale. Il calcolo dei punteggi ad oggi non è supportato da software o file Excel forniti da ACN: sono disponibili solo file Excel con le misure di sicurezza di base e gli algoritmi di calcolo vanno costruiti.

Gli scenari di rischio devono comunque essere associati alle misure di sicurezza, ovvero uno scenario di rischio avrà un suo rischio inerente associato, ma l’applicazione delle misure di mitigazione da applicare a quello scenario potranno essere più di una fra le misure di sicurezza elencate dal framework ed esse potranno influenzare in modo differente il rischio (inerente). In realtà il modello non chiarisce come abbattere il rischio inerente attraverso le misure implementate al fine di ottenere il rischio residuo.

Inoltre il Framework non definisce i livelli di rischio, probabilità e impatto in scala quali-quantitativa. Tali criteri possono comunque essere reperiti da altri modelli (ISO 27005, ENISA, ecc.).

Per soggetti NIS di dimensioni non particolarmente elevate l’applicazione di questo modello può risultare abbastanza impegnativa, ma nulla impedisce di adottare un modello semplificato.

Conclusioni

La Direttiva NIS 2 e le prescrizioni dell’ACN rappresentano un’opportunità storica per strutturare e razionalizzare la sicurezza aziendale, trasformandola da centro di costo a fattore abilitante. L’utilizzo rigoroso della Metodologia di Assessment del Framework Nazionale fornisce alle organizzazioni la bussola esatta per navigare questa complessità, supportati da modelli matematici. Permette di dimostrare in modo inoppugnabile di aver