Le scadenze imposte dalle normative vengono spesso viste come una scocciatura. Quello sulla gestione degli incidenti di sicurezza previsto per il 31 dicembre 2025 dal decreto 138/2024 che ha recepito in Italia la direttiva europea NIS 2, però, non è un semplice adempimento burocratico.

Tra le varie previsioni c’è, infatti, uno specifico elemento che permetterà di fare un vero e proprio salto di qualità nella postura di cyber security delle organizzazioni italiane ed europee.

“La predisposizione di un piano di gestione degli incidenti informatici non è un semplice atto formale” spiega Nicola Tacconi, Senior Cyber Security Consultant di Cyberloop. “Si tratta di definire una strategia precisa che consenta sia di rispettare le regole previste dalla legge in tema di comunicazione, sia – soprattutto – di reagire a un attacco cyber in maniera efficace, minimizzandone l’impatto”.

Secondo l’esperto di cyber security, l’adozione di un accurato piano di risposta e gestione degli incidenti permetterà di elevare gli standard di tutte le imprese e gli enti del nostro Paese.

Una direttiva specifica, ma che vale per tutti

Le aspettative nel settore della cyber security per l’impatto che avrà NIS 2 sono altissime. La direttiva europea è teoricamente diretta alle organizzazioni che operano infrastrutture e servizi considerati critici per la sicurezza e la resilienza digitale nell’Unione Europea.

“La direttiva ha come obiettivo quello di fare in modo che tutte le realtà coinvolte in questo tipo di attività siano in grado di mantenere la continuità operativa di servizi critici anche in caso di attacco informatico” spiega Nicola Tacconi. “Le caratteristiche della normativa, però, estendono notevolmente il suo ambito di applicazione”.

Questo a causa di un “trucchetto” che è emerso rapidamente nella lettura della direttiva. Chi appartiene a una delle categorie che individuano la sottoposizione a NIS 2, infatti, ha l’obbligo di verificare il livello di sicurezza anche della catena di approvvigionamento. Questo significa che l’applicazione della direttiva si estende, di fatto, a tutta la filiera a livello di produzione e di servizi.

“Il numero di aziende coinvolte è molto più alto rispetto alla precedente normativa – sottolinea Tacconi – e NIS 2 si candida a diventare, praticamente, uno standard a cui tutte le imprese dovranno adeguarsi per poter operare sul mercato”.

L’importanza del piano di gestione degli incidenti

Nel mondo della sicurezza informatica si dice spesso che non bisogna chiedersi “se” si subirà un attacco, ma “quando” questo accadrà. NIS 2 impone di notificare gli incidenti significativi a partire da 9 mesi dopo la ricezione via PEC dell’avvenuta iscrizione nel registro dei soggetti interessati. Questo obbligo non può essere rispettato senza l’adozione di un accurato piano di gestione degli incidenti.

L’adozione di un piano di gestione in caso di attacco diventa quindi fondamentale. Ma che caratteristiche deve avere?

“È bene tenere conto del fatto che un’adeguata preparazione a contrastare un attacco fa la differenza tra un potenziale disastro e un evento spiacevole che, però, viene gestito in maniera corretta” esordisce Tacconi.

“La fase preliminare deve prevedere l’identificazione dei ruoli e delle responsabilità interne o esterne necessarie per la corretta gestione degli incidenti di sicurezza informatica”.

Oltre a ciò, spiega l’esperto, è necessario verificare la disponibilità delle tecnologie e delle risorse – anche economiche – necessarie per poter contrastare un eventuale incidente. Fondamentale, inoltre, definire le corrette procedure, con una particolare attenzione alla comunicazione sia verso l’interno, sia verso l’esterno.

La logica è cristallina: in una situazione di alto stress come quella legata a un attacco cyber, l’improvvisazione si traduce inevitabilmente in errori che possono costare carissimi. È indispensabile, quindi, che tutti i soggetti coinvolti sappiano esattamente cosa fare e come farlo.

I punti di riferimento per la creazione di un framework, sottolinea Tacconi, devono essere individuati negli standard internazionali, a partire per esempio da ISO 27035. Sulla base di questa logica, è possibile distinguere diverse fasi che devono essere definite nel piano.

L’analisi della minaccia

Il primo step nella gestione di un incidente richiede l’intervento di specialisti che siano in grado di individuare le caratteristiche dell’attacco e fornire il quadro in cui è necessario muoversi per contrastarlo.

La prima linea di frontiera è rappresentata normalmente dal SOC (Security Operation Center), che ha il compito di identificare tramite un monitoraggio continuo i potenziali incidenti e gestirli nelle fasi iniziali, riducendo sensibilmente gli impatti potenziali.

“Questa fase ha avvio quando viene identificato un evento che potrebbe essere classificato come incidente di sicurezza” spiega Tacconi. “L’analisi viene solitamente affidata al SOC (Security Operation Center) che ha il compito di escludere l’ipotesi che si tratti di un falso positivo, avviare la fase di triage, qualificazione e registrazione”.

In sostanza, la prima fase coinvolge gli analisti per individuare la tipologia di incidente e valutarne la criticità. Nel momento in cui l’analisi conferma l’evento, questo viene inserito nel registro degli incidenti.

“Si tratta di un passaggio fondamentale sotto due profili” sottolinea Tacconi. “Sotto un punto di vista burocratico, questo momento segna l’avvio delle tempistiche per le notifiche previste da NIS 2. Inoltre, permette di dare una giusta priorità di lavorazione in base alla diversa tipologia di incidente”.

Dal contenimento all’eradicazione e ripristino

Una volta individuato l’attacco, la priorità è quella di fare in modo che l’incidente sia contenuto per impedire che i cyber criminali abbiano successo. Se è vero che si tratta di attività che possono variare a seconda della tipologia dell’attacco stesso, la predisposizione di procedure precise consentono di operare con la massima efficacia.

“Nel piano devono essere indicate tutte le procedure, i processi e le tattiche di contenimento, cioè le risposte agli incidenti pre-autorizzate” spiega l’esperto di Cyberloop. “Le procedure devono anche fare chiarezza sui ruoli e le responsabilità in fase di intervento”.

Un esempio, specifica Tacconi, è quello di definire in anticipo quali azioni sono affidate al team di sicurezza interno e quali invece sono delegate, per esempio, a un eventuale SOC esterno.

Dal momento che le aziende sempre più spesso affidano le attività di detection and response a servizi gestiti attraverso Security Operation Center di società di cyber security, una definizione a priori del ruolo che dovranno avere i diversi soggetti (gli analisti del SOC e gli amministratori IT dell’azienda) permette di operare in maniera appropriata e, soprattutto, di evitare “rimpalli” e perdite di tempo.

Una volta fermato l’attacco, è necessario procedere all’eliminazione della minaccia dai sistemi. “È indispensabile definire a priori tutte le procedure che consentono di ripristinare il livello di sicurezza dei sistemi, per esempio attraverso la formattazione o il ripristino attraverso backup” precisa Tacconi. “Formalizzare nel piano le procedure è fondamentale per non correre il rischio di commettere errori in questa fase”.

Notifica e comunicazione

Per i soggetti sottoposti a NIS 2 esistono una serie di obblighi di comunicazione aggiuntivi rispetto a quelli già previsti dalle normative precedenti. “L’Agenzia per la Cybersecurity Nazionale ha identificato specifici scenari di incidente che devono essere notificati a CSIRT Italia. È importante quindi comprendere tempestivamente se l’incidente rientri in una di queste casistiche e adempiere all’obbligo” spiega Tacconi.

Ci sono altri aspetti legati alla comunicazione, che possono impattare soprattutto a livello del potenziale danno reputazionale che può subire l’organizzazione. Oltre a definire chi dovrà gestire le comunicazioni con le istituzioni e con la stampa, l’esperto di Cyberloop sottolinea come sia fondamentale gestire in maniera corretta la comunicazione interna.

“In epoca di social, se gli stessi impiegati dell’azienda non hanno un’idea chiara di quello che sta succedendo potrebbero contribuire a far circolare informazioni non controllate che possono pregiudicare la gestione della comunicazione in un momento di crisi”.

Dopo l’incidente

L’ultima fase è quella di post incident, una fase altamente strategica di analisi di tutto quanto è avvenuto durante l’incidente, partendo dall’individuazione delle origini e le cause dell’attacco.

“Capire quali siano state le falle o i punti deboli sfruttati dai cyber criminali permette di agire in maniera proattiva per migliorare il livello di sicurezza dei sistemi” spiega Tacconi. “È bene tenere presente che l’obiettivo non è quello di attribuire delle colpe, ma di capire dove effettivamente l’azienda deve migliorare affinché non si verifichi una situazione simile in futuro”.

Il processo si conclude con la redazione di un report finale, al cui interno viene riportato tutto ciò che è stato fatto nel corso della gestione della crisi.

“Si tratta di un’attività altamente strategica – sottolinea Tacconi – che permette di comprendere non solo le origini del problema, ma anche se l’incidente è stato gestito correttamente durante il percorso, se la procedura è stata seguita in maniera corretta e se il piano stesso fosse completo o debba essere migliorato”, conclude l’esperto.