Come condurre una valutazione del rischio NIS 2
Tre passaggi che l'UE richiede: individuare, analizzare, valutare e trattare. Un metodo scritto. Un'approvazione della direzione. Riesaminato a intervalli pianificati e in caso di cambiamenti significativi. Questa pagina ti mostra come si presenta ciascun elemento nella pratica.
La versione breve
L'Articolo 21(2)(a) NIS 2 stabilisce che ogni soggetto essenziale e importante deve attuare una politica basata sull'analisi dei rischi. Il CIR (UE) 2024/2690 Allegato §2 lo rende concreto. Predisponi un quadro di gestione del rischio per la sicurezza delle informazioni. Lo usi per individuare, analizzare, valutare e trattare i rischi per i tuoi sistemi informatici e di rete. Metti per iscritto i criteri che utilizzi, e l'organo di direzione li approva.
Il metodo non lo inventi tu. Puoi usare il BSI Standard 200-3 (Germania), ISO/IEC 27005:2022 (l'equivalente internazionale) o qualsiasi altro metodo riconosciuto. Ciò che conta è che sia documentato, che copra gli asset che effettivamente gestisci e che tu lo riesamini a intervalli pianificati, almeno annualmente, e ogni volta che si verifica qualcosa di significativo.
La trappola in cui cade la maggior parte degli operatori: scelgono uno scenario di minaccia, lo valutano e si fermano. Una valutazione del rischio è un metodo applicato al tuo inventario degli asset, non un singolo workshop. Di seguito percorriamo individuazione, analisi e valutazione, poi mostriamo i principi che tengono insieme l'intero impianto.
Articolo 21(2)(a) Direttiva NIS 2 (2022/2555)
Politiche di analisi dei rischi e di sicurezza dei sistemi informatici.
Il punto (a) nell'elenco delle dieci misure di cibersicurezza che ogni soggetto essenziale e importante è tenuto a porre in essere. La direttiva non prescrive un metodo. Prescrive l'obbligo.
CIR (UE) 2024/2690, Allegato §2
Ai fini dell'Articolo 21(2)(a) della Direttiva (UE) 2022/2555, i soggetti interessati stabiliscono un quadro adeguato di gestione del rischio per la sicurezza delle informazioni al fine di individuare, analizzare, valutare e trattare i rischi per la sicurezza delle informazioni. I soggetti interessati riesaminano e, ove opportuno, aggiornano il quadro a intervalli pianificati e almeno annualmente, nonché quando si verificano cambiamenti significativi.
Poiché si tratta di un regolamento (non di una direttiva), costituisce diritto UE direttamente vincolante. Il CIR Allegato §2 collega inoltre il quadro all'inventario degli asset di cui al §12 CIR. I quattro verbi individuare, analizzare, valutare, trattare provengono direttamente dal testo UE.
§30(2)(1) BSIG (Germania)
Politiche di analisi dei rischi e di sicurezza della tecnologia dell'informazione.
La Germania ricopia il testo UE quasi parola per parola. I BSI Standard 200-2 (ISMS) e 200-3 (analisi del rischio) ti spiegano in dettaglio come soddisfare l'obbligo ai sensi del §30 BSIG. Lo stesso obbligo dell'Articolo 21(2)(a) si applica in ogni altro Stato membro attraverso la sua legge nazionale di recepimento.
Individuare
Parti dal tuo inventario degli asset di cui al §12 CIR. Per ciascun asset (o classe raggruppata di asset identici), elenca le minacce e le vulnerabilità applicabili. Usa un catalogo di riferimento così da non partire da una pagina bianca. Il catalogo BSI Elementare Gefährdungen ha 47 voci che coprono incendio, furto, ingegneria sociale, malware, catena di approvvigionamento, perdita di personale chiave e il resto. L'Allegato A di ISO/IEC 27005:2022 elenca tipi di minaccia e vulnerabilità comparabili. L'output è una terna asset, minaccia e vulnerabilità per ciascun rischio.
Analizzare
Per ciascuna terna, valuta quanto sarebbe grave l'impatto e quanto è probabile che si verifichi. Una matrice 3x3 (basso / medio / alto) è sufficiente per la maggior parte dei soggetti del Mittelstand. Una matrice 5x5 ti dà più risoluzione se devi confrontare rischi simili. L'impatto copre riservatezza, integrità e disponibilità, più qualsiasi effetto aziendale o di sicurezza che ne consegua. La probabilità è un giudizio informato da ciò che hai già osservato, dai dati settoriali e dallo stato dei tuoi controlli. Metti per iscritto il punteggio con una motivazione di una riga.
Valutare e trattare
Confronta ciascun rischio valutato con i tuoi criteri di accettazione, che fissi prima di iniziare ad attribuire i punteggi. Al di sopra della soglia, tratti: riduci (applicando controlli), eviti (cessando l'attività), condividi (assicurazione o contratto, con dei limiti, vedi sotto), o accetti (con motivazione documentata). Al di sotto della soglia, annoti che lo accetti. Ogni decisione di trattamento ha un titolare designato e una data. L'organo di direzione approva i rischi residui con cui è disposto a convivere.
Metodo scritto con approvazione della direzione
Il CIR §2 parla di un quadro, non di un workshop. Il metodo (come attribuisci i punteggi, com'è la matrice, chi decide, quali sono le tue soglie di accettazione) deve essere su carta. L'organo di direzione lo approva. Non ti serve un metodo sofisticato. Ti serve un metodo documentato. L'Articolo 21(1) ti consente di mantenere la profondità proporzionata al tuo rischio e alle tue dimensioni, ma il metodo in sé non è facoltativo.
Riesame a intervalli pianificati e in caso di cambiamenti significativi
Il CIR §2(2) è esplicito: riesamini il quadro e la valutazione a intervalli pianificati, almeno annualmente, e quando si verificano cambiamenti significativi. Una nuova linea di business, un nuovo fornitore chiave, un grave incidente, un cambiamento normativo, contano tutti come significativi. Il riesame annuale è la soglia minima, non il limite massimo. Tratta la valutazione come un artefatto vivo legato al tuo inventario degli asset, non come un raccoglitore scritto una volta sola.
BSI Standard 200-2 e 200-3
Il BSI pubblica due standard che coprono dall'inizio alla fine l'obbligo di analisi dei rischi di cui al §30 BSIG. Il BSI 200-2 definisce il ciclo di vita dell'ISMS. Il BSI 200-3 è l'analisi del rischio vera e propria, con le Elementare Gefährdungen come catalogo delle minacce. Il BSI è esplicito nei suoi Infopakete: un trasferimento generalizzato del rischio o un'accettazione generale del rischio sono esclusi. L'assicurazione è qualcosa che aggiungi al di sopra, mai un sostituto del trattamento.
ENISA Technical Implementation Guidance
L'ENISA, l'agenzia dell'UE per la cibersicurezza, pubblica una Technical Implementation Guidance (TIG) per il CIR (UE) 2024/2690. Non è legge. È il riferimento pratico che mappa il testo del CIR su standard riconosciuti, incluso ISO/IEC 27005:2022 per la gestione del rischio. Le autorità nazionali e gli auditor la citano come ragionevole interpretazione del CIR.
ISO/IEC 27005:2022
ISO/IEC 27005:2022 è lo standard internazionale per la gestione del rischio per la sicurezza delle informazioni. È citato nella TIG dell'ENISA come metodo riconosciuto per soddisfare il CIR §2. Se già gestisci un ISMS ISO 27001, ISO 27005 è il metodo di analisi del rischio che vi si colloca all'interno. Usa il metodo riconosciuto che meglio si adatta al tuo contesto. Il CIR non ne sceglie uno.
Abbiamo fatto la valutazione del rischio l'anno scorso, quindi abbiamo finito.
Il CIR §2(2) richiede il riesame a intervalli pianificati, almeno annualmente, e in caso di cambiamenti significativi. Una valutazione una tantum dell'anno scorso non soddisfa l'obbligo se nel frattempo è cambiato un fornitore importante, è entrato in funzione un nuovo sistema o si è verificato un incidente significativo. Tratta la valutazione come un artefatto vivo legato al tuo inventario degli asset.
Ci serve una voce di rischio separata per ogni CVE e ogni minaccia.
Non è così. La valutazione del rischio è asset per asset (o per classe raggruppata di asset identici), non vulnerabilità per vulnerabilità. Il BSI ti consente di raggruppare 45 laptop d'ufficio in una sola voce. Valuti minacce e vulnerabilità a livello di asset. La gestione delle patch è un obbligo continuativo separato ai sensi dell'Articolo 21(2)(e), non parte della valutazione annuale.
Abbiamo un'assicurazione informatica, quindi possiamo accettare il resto.
Il BSI è netto: un trasferimento generalizzato del rischio o un'accettazione generale del rischio sono esclusi. L'assicurazione si colloca al di sopra del trattamento, non lo sostituisce mai. Lo stesso vale per l'accettazione: non puoi accettare ogni rischio di cui non vuoi occuparti. L'accettazione deve essere motivata, nominativa, firmata e all'interno dei criteri che fissi in anticipo.
Ciò che vediamo nei soggetti del Mittelstand da 60 a 250 persone: da dieci a quindici asset raggruppati, un sottoinsieme di Elementare Gefährdungen di circa venti minacce, una matrice 3x3 e tra quaranta e ottanta voci di rischio in totale. La prima passata richiede alcuni giorni lavorativi con le persone giuste nella stanza. Fatta una volta, il riesame annuale è questione di ore, non di giorni.
Le due parti che richiedono più tempo la prima volta sono l'inventario degli asset e i criteri di accettazione. Entrambe ripagano: ogni requisito successivo (fornitori, incidenti, continuità operativa, formazione) riutilizza lo stesso elenco di asset, e i criteri ti evitano di ridiscutere ogni singola decisione di trattamento. I professionisti con trenta clienti del Mittelstand dicono la stessa cosa: applica il metodo correttamente una volta, e il riesame annuale è l'ora più economica che spendi per la NIS 2.
Metodologia del rischio, inventario degli asset, minacce e vulnerabilità, rischi valutati, piani di trattamento e criteri di accettazione risiedono in un unico modulo sulla piattaforma. Registri il metodo una volta, l'organo di direzione lo approva, e ogni valutazione successiva usa lo stesso sistema di punteggio. La traccia di audit è la prova.
Il riesame annuale e il riesame in caso di cambiamenti significativi scaturiscono dall'uso della piattaforma: scadenze, approvazioni, stato. Nulla da mantenere a parte. Quando la valutazione si lega direttamente al tuo inventario degli asset (come richiede il CIR §2(3)), ogni modifica di un asset emerge nel riesame successivo. Gratuita e open source. Nessun lock-in.
- Direttiva (UE) 2022/2555 (NIS 2), Articolo 21(2)(a) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Regolamento di esecuzione (UE) 2024/2690 della Commissione (CIR), Allegato §2 e §12 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Legge sul BSI (BSIG), §30 come modificato dalla legge di attuazione della NIS2 e di rafforzamento della cibersicurezza
- BSI Standard 200-2: metodologia IT-Grundschutz — bsi.bund.de
- BSI Standard 200-3: analisi del rischio basata su IT-Grundschutz — bsi.bund.de
- BSI Infopakete 'NIS 2 Pflichten' — bsi.bund.de/dok/nis-2-infopakete
- ISO/IEC 27005:2022 — Sicurezza delle informazioni, cibersicurezza e protezione della privacy: Orientamenti sulla gestione dei rischi per la sicurezza delle informazioni
- ENISA Technical Implementation Guidance per il CIR (UE) 2024/2690 (aggiornata a maggio 2026)