La Direttiva NIS2 rappresenta un passo cruciale per rafforzare la sicurezza informatica nell’Unione Europea, imponendo obblighi legali alle organizzazioni critiche e importanti. Al contempo, le norme ISO/IEC 27001 e ISO 22301 forniscono framework riconosciuti a livello internazionale per gestire la sicurezza delle informazioni e la continuità operativa.
La domanda che spesso emerge è: “La certificazione ISO 27001 e/o ISO 22301 garantisce la conformità alla NIS2?”. La risposta semplicistica è che le certificazioni ISO non determinano una compliance automatica a NIS2. Sebbene rappresentino una base robusta, le norme ISO, da sole, non soddisfano tutti i requisiti della NIS2. In particolare, il tema dello scope (ambito) della certificazione e alcune lacune nelle norme ISO rispetto alle richieste NIS2 evidenziano la necessità di misure supplementari.
Le Norme ISO: Una Base Solida
ISO/IEC 27001: Sicurezza delle Informazioni
La ISO/IEC 27001 è lo standard di riferimento per implementare un Sistema di Gestione della Sicurezza delle Informazioni (SGSI), garantendo la protezione di dati e sistemi da minacce informatiche.
- Punti di forza:
- Gestione strutturata dei rischi.
- Controlli di sicurezza ampi e dettagliati (Annex A), come:
- Protezione contro malware.
- Controlli di accesso.
- Gestione delle vulnerabilità.
- Creazione di una cultura della sicurezza.
ISO 22301: Continuità Operativa
L’ISO 22301 è lo standard internazionale per la gestione della continuità operativa (BCMS), progettato per garantire che le organizzazioni possano mantenere o ripristinare rapidamente le operazioni in caso di eventi dirompenti.
- Punti di forza:
- Analisi di impatto aziendale (BIA) per identificare i processi critici.
- Piani di continuità operativa e ripristino.
- Test regolari per garantire l’efficacia dei piani.
Scope: un possibile limite della Certificazione ISO
Un aspetto critico nella ISO 27001 è la definizione dello scope. Questo determina quali aree, processi, servizi o sedi aziendali sono incluse nella certificazione ottenuta.
- Problema dello scope limitato:
- Spesso, le organizzazioni certificano solo una parte dei loro sistemi, come il dipartimento IT o un data center, lasciando scoperte aree rilevanti per la NIS2, come HR, logistica o supply chain.
- La NIS2 si applica all’intera organizzazione, richiedendo che tutte le aree che supportano i servizi critici siano protette.
- Come risolvere:
- Ampliare lo scope della certificazione ISO 27001 per includere tutti i processi e sistemi critici.
- Effettuare un’analisi di gap per identificare le aree non coperte.
Ambiti non considerati dalle Norme ISO rispetto a NIS2
Pur essendo delle basi fondamentali e consolidate, ISO 27001 ed ISO 22301 non contemplano alcuni aspetti chiave della NIS2:
- Notifica degli Incidenti
- La NIS2 richiede la notifica di incidenti significativi entro 24 ore e un rapporto dettagliato entro 72 ore.
- La ISO 27001 si concentra sulla gestione interna degli incidenti e non prevede requisiti temporali o obblighi verso autorità esterne.
- Gestione della Supply Chain
- La NIS2 impone una gestione rigorosa dei rischi legati ai fornitori, con obblighi di verifica e garanzie contrattuali.
- La ISO 27001 tratta la sicurezza della supply chain solo in modo generale.
- Supervisione e Audit Esterni
- La NIS2 prevede ispezioni e audit da parte delle autorità competenti.
- La ISO 27001 si limita ad audit interni e legati alla certificazione.
- Cooperazione e Scambio di Informazioni
- La NIS2 richiede la cooperazione con autorità nazionali e team di risposta agli incidenti (CSIRT).
- Le norme ISO non includono disposizioni simili.
Come Integrare i Framework ISO per la compliance a NIS2
Le organizzazioni possono sfruttare i punti di forza delle norme ISO, integrandole con misure aggiuntive per soddisfare la NIS2:
- Ampliare lo Scope:
- Estendere lo scope del SGSI per includere tutte le aree critiche per la NIS2.
- Includere processi come HR, supply chain e sistemi amministrativi.
- Gestire i Gap:
- Effettuare un’analisi di gap per confrontare i requisiti della NIS2 con le misure già adottate.
- Implementare Procedure Specifiche:
- Sviluppare piani per la notifica degli incidenti in linea con i requisiti della NIS2.
- Creare procedure per la valutazione della sicurezza della supply chain.
- Integrare la Continuità Operativa:
- Utilizzare i principi dell’ISO 22301 per garantire la resilienza e la continuità dei servizi critici.
In Conclusione
Le norme ISO 27001 e 22301 sono strumenti fondamentali per costruire una base di sicurezza e resilienza, ma non sono sufficienti a garantire la piena conformità alla NIS2. Ampliare lo scope, integrare requisiti specifici e colmare le lacune rappresentano passi essenziali per affrontare le sfide della direttiva.
Con un approccio olistico e integrato, le organizzazioni possono non solo rispettare gli obblighi normativi, ma anche rafforzare la loro posizione nel panorama della sicurezza informatica.
GLI ALTRI NOSTRI APPROFONDIMENTI SU NIS2
Norme ISO: basi per NIS2, ma insufficienti
La Direttiva NIS2 rappresenta un passo cruciale per rafforzare la sicurezza informatica nell’Unione Europea, imponendo…
Penetration Test vs Vulnerability Assessment
In ambito sicurezza informatica, i termini “penetration test” e “vulnerability assessment” vengono spesso usati in…
Australia Introduce il Cyber Security Bill 2024
L’Australia ha presentato il Cyber Security Bill 2024, un disegno di legge che rappresenta un’importante…
Autenticità, il 4° pilastro della sicurezza
Sinora, gli aspetti della sicurezza delle informazioni hanno sempre avuto come pilastri la terna RID…
ACN aggiorna le linee guida sulla crittografia
Come sappiamo, gli strumenti ed i protocolli crittografici permettono di proteggere sia le comunicazioni digitali…