Un modello pragmatico di registro dei rischi per l’articolo 21 NIS2

L'articolo 21, paragrafo 1, della direttiva (UE) 2022/2555 impone ai soggetti essenziali e importanti di adottare «misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti per la sicurezza dei sistemi informativi e di rete». L'articolo 21, paragrafo 2, elenca le dieci categorie che tali misure devono coprire.

L'espressione che fa il lavoro è basato sul rischio. Il considerando 79 della direttiva inquadra l'intero capitolo come esercizio di gestione del rischio: le misure devono essere calibrate sul rischio affrontato dal soggetto e dai suoi servizi. L'artefatto che operazionalizza questa calibrazione è il registro dei rischi.

La maggior parte dei soggetti nel perimetro NIS2 ne tiene già uno. La maggior parte, nella sua forma attuale, non supera il test del regolatore. Lo scarto raramente è il volume dei rischi registrati — è l'assenza di cinque campi precisi che ogni ispettore si aspetta di trovare. Questa è la guida di aggiornamento.

Campo 1 — Asset, ancorato al perimetro NIS2

Ogni voce del registro richiede un asset — la cosa a rischio. Per la NIS2 l'asset deve essere ancorato al perimetro NIS2 del soggetto: i sistemi informativi e di rete che sostengono i servizi che il soggetto eroga in qualità di soggetto essenziale o importante.

Un rischio sul parco stampanti d'ufficio non è nel perimetro. Un rischio sul SIEM che monitora la piattaforma di pagamento in produzione sì. La distinzione non è accademica — è ciò che permette all'ispettore di mettere il registro a confronto con la classificazione del soggetto ai sensi dell'articolo 3 e delle regole settoriali di perimetrazione.

L'aggiornamento: aggiungete una colonna «Perimetro NIS2» al vostro registro esistente. Etichettate ogni voce Nel perimetro, Fuori perimetro o Adiacente (tocca il perimetro ma non ospita dati di servizio). Gli ispettori guardano il sottoinsieme nel perimetro; il resto è solo informativo.

Campo 2 — Minaccia e vulnerabilità, in coppia

La NIS2 non nomina una metodologia. Il quadro di gestione del rischio pubblicato dall'ENISA, basato su ISO/IEC 27005 e ISO 31000, tratta il rischio come una coppia minaccia–vulnerabilità: un attore di minaccia (o un evento naturale) che potrebbe sfruttare una specifica vulnerabilità e causare danno.

Registrare «ransomware» come rischio non basta. La voce dovrebbe accoppiarlo alla vulnerabilità che sfrutterebbe — ad esempio «ransomware che sfrutta un appliance VPN di bordo non patchato» — perché il trattamento differisce completamente da «ransomware consegnato via phishing al personale finance».

L'aggiornamento: dividete la vostra unica colonna «rischio» in due colonne, minaccia e vulnerabilità. Alcune voci si comprimeranno pulitamente; altre si apriranno in due o tre. Entrambi i risultati sono segnali che il registro è ora utilizzabile.

Campo 3 — Probabilità × impatto, con metodo documentato

L'articolo 21, paragrafo 2, lettera a) richiede esplicitamente «politiche di analisi dei rischi». Analisi implica metodo. Il registro deve mostrare, per ogni voce, una probabilità e un impatto stimati, derivati da un metodo documentato che non cambia fra le voci.

Tre metodi sono accettati dalle autorità nazionali competenti europee:

• Una matrice qualitativa 5×5 (Molto basso → Molto alto su ciascun asse), con definizioni di banda scritte una volta per tutto il registro.
• Un metodo quantitativo a 3 bande per l'impatto (perdita finanziaria in bande in €) combinato con probabilità qualitativa.
• Un metodo allineato a FAIR per organizzazioni con la maturità per sostenerlo.

Ciò che non è accettato: una sola colonna di «criticità» senza derivazione. L'aggiornamento: scegliete uno dei tre metodi, scrivete le sue definizioni su una pagina che vive accanto al registro, e ripuntate ogni voce esistente con il metodo scelto. Sì, è laborioso. È anche la più piccola azione atomica che porta il registro da «elenco» ad «analisi».

Campo 4 — Trattamento, con titolare e scadenza

Il considerando 78 della direttiva inquadra la scelta delle misure come proporzionata al rischio. In termini di registro, è la decisione di trattamento: Accettare, Mitigare, Trasferire o Evitare.

Per Mitigare — il caso più frequente — il registro deve riportare:

• la misura in attuazione (mappata all'articolo 21, paragrafo 2, vedi campo 5),
• il titolare (un ruolo nominato, non una squadra),
• la scadenza entro cui la misura sarà in essere,
• il rischio residuo atteso dopo la misura (ripuntato con lo stesso metodo probabilità × impatto).

Per Accettare, la voce deve indicare l'autorità di accettazione — il ruolo nominato con la seniority per accettare formalmente il rischio residuo per conto del soggetto. Per la maggior parte dei rischi nel perimetro NIS2, è l'organo di direzione stesso, ai sensi dell'articolo 20, paragrafo 1.

L'aggiornamento: aggiungete le colonne Trattamento, Titolare, Scadenza, Residuo. Per le voci preesistenti senza trattamento, marcatele Da rivedere e portatele all'ordine del giorno del prossimo comitato rischi.

Campo 5 — Mappatura alle categorie dell'articolo 21, paragrafo 2

È il campo che trasforma un registro generico in un registro NIS2. L'articolo 21, paragrafo 2, elenca dieci categorie di misure:

1. politiche di analisi dei rischi e di sicurezza dei sistemi informativi,
2. gestione degli incidenti,
3. continuità operativa (backup, ripristino in caso di disastro, gestione delle crisi),
4. sicurezza della catena di approvvigionamento,
5. sicurezza nell'acquisizione, sviluppo e manutenzione dei sistemi informativi e di rete,
6. politiche e procedure di valutazione dell'efficacia,
7. pratiche di igiene informatica di base e formazione in materia di cybersicurezza,
8. crittografia,
9. sicurezza delle risorse umane, politiche di controllo degli accessi, gestione degli asset,
10. autenticazione multifattore, comunicazioni voce/video/testo sicure, comunicazioni di emergenza sicurate.

Ogni voce del registro nel perimetro NIS2 deve essere mappata ad almeno una di queste categorie. La mappatura è ciò che consente all'ispettore di verificare, in un solo passaggio, che il registro presidia tutte e dieci le categorie — e viceversa, che nessuna delle dieci resta muta.

L'aggiornamento: aggiungete un'ultima colonna «Categoria articolo 21(2)». Etichettate ogni voce nel perimetro. Se una categoria ha zero voci, è già di per sé un rilievo da portare al prossimo comitato rischi.

Come si presenta quando è fatto bene

Nelle note di ispezione pubblicate dalle autorità nazionali competenti europee, tornano sistematicamente tre segnali:

1. Il registro ha uno storico di versioni datato. Ogni versione è firmata — tipicamente trimestralmente — dal comitato sicurezza, con informativa all'organo di direzione.
2. Ogni voce nel perimetro ha i cinque campi sopra, compilati. Le celle vuote sono un segnale d'allarme; «da definire» con scadenza è accettabile.
3. La mappatura alle categorie dell'articolo 21, paragrafo 2 mostra una copertura diversa da zero su tutte e dieci. Un registro in cui la categoria 7 (igiene informatica di base) è vuota è, in termini regolatori, un registro che in realtà non è stato fatto.

Il registro non è il programma di sicurezza. È il documento che dimostra che il programma esiste, è calibrato sul rischio ed è governato al livello giusto. L'aggiornamento, fatto bene, richiede a un team competente tre-quattro settimane. L'alternativa, fatta al momento dell'ispezione, costa un rilievo di vigilanza.

Fonti

1. Direttiva (UE) 2022/2555, articolo 21, paragrafi 1 e 2 (misure di gestione dei rischi di cybersicurezza).
2. Direttiva (UE) 2022/2555, considerando 78 e 79 (misure basate sul rischio e proporzionate).
3. Direttiva (UE) 2022/2555, articolo 20, paragrafo 1 (approvazione e vigilanza da parte dell'organo di direzione).
4. ISO/IEC 27005 (gestione del rischio per la sicurezza delle informazioni) e ISO 31000 (gestione del rischio — principi e linee guida).
5. ENISA, Risk Management Methodology e NIS2 Implementation Guidance.
6. Linee guida pubblicate dalle autorità nazionali competenti: ANSSI (FR), BSI (DE), INCIBE (ES), ACN (IT), NCSC-IE (IE).