ENISA pubblica un Tool per la mappatura delle (inter) dipendenze tra “OSE” e “FSD” rispetto agli Standard internazionali di Cybersecurity

Obiettivo e contesto

La direttiva del NIS (Network and Information Security), entrata in vigore nel 2016, rappresenta la prima normativa europea in materia di sicurezza informatica. La direttiva è stata creata con l’obiettivo di rafforzare il livello generale di sicurezza informatica nell’Unione europea attraverso il miglioramento delle competenze di Cybersecurity negli Stati membri, il rafforzamento della cooperazione in materia di Cybersecurity tra gli Stati membri e richiedendo agli operatori dei servizi essenziali (OSE) ed ai fornitori di servizi digitali (FSD) di gestire i loro rischi. In relazione a questi ultimi, un elemento importante del processo di valutazione del rischio è quello relativo alle dipendenze e interdipendenze dei servizi offerti dagli OSE e dai FSD. Queste dipendenze potrebbero essere di natura nazionale o transnazionale.
Tale contesto rivela una serie di (inter)dipendenze emergenti tra OSE e FSD, sia a livello di sistemi che di servizi. Vi è un numero crescente di incidenti di Cybersecurity che, a causa di queste interdipendenze, si sono propagati tra le organizzazioni, spesso oltre i confini, o hanno avuto un effetto a cascata a livello dei servizi essenziali. Su tale ambito, L’Agenzia Europea per la Cybersecurity (ENISA) ha emanato un Report denominato “Good practices on interdependencies between OSE and DSPs to international information security standards”, all’interno del quale vengono analizzate le dipendenze e le interdipendenze tra OSE e FSD, identificando i principali indicatori per valutarle. Tali indicatori sono ricondotti ai più noti Framework internazionali di sicurezza informatica quali ISO IEC 27002, COBIT5, NIS Cooperation Group Security Measures e NIST Cybersecurity Framework.


Il report evidenzia inoltre come, a causa della digitalizzazione dei servizi, tutti i settori di maggiore rilievo abbiano aumentato il proprio livello di Cyber (inter)dipendenza da infrastrutture digitali e da fornitori di servizi digitali, suggerendo di integrare la valutazione di tali (inter)dipendenze all’interno di un più ampio processo di Risk Management, includendo le dipendenze e le interdipendenze Cross-settoriali e Cross-Border.


Sulla scia delle risultanze dell’analisi sopra citata, ENISA ha pubblicato un Tool per mappare gli Standard internazionali di sicurezza informatica a specifici indicatori di interdipendenza tra gli OSE (operatori di servizi essenziali) ed i FSD (fornitori di servizi digitali), che presenta al suo interno la mappatura degli indicatori mostrati all’interno del Report “Good practices on interdependencies between OES and DSPs to international information security standards”.


Il seguente modello è stato utilizzato per identificare e analizzare le interdipendenze con la finalità di definire degli indicatori utili:

Le principali raccomandazioni indicate da ENISA per affrontare efficacemente le interdipendenze nelle loro valutazioni del rischio, tra cui:

  • OSE e FSD dovrebbero condurre indagini empiriche per raccogliere i dati necessari a svolgere la valutazione;
  • OSE, FSD e le autorità competenti dovrebbero sviluppare e integrare metodologie e strumenti ad-hoc;
  • Gli OSE e i FSD dovrebbero sviluppare le competenze attraverso la consapevolezza e la formazione;
  • Le autorità competenti dovrebbero adoperarsi per sviluppare una tassonomia comune della valutazione dell’impatto degli incidenti;
  • OSE e FSD dovrebbero indirizzare le interdipendenze ed i relativi rischi attraverso processi ed approcci operativi;
  • Le autorità competenti dovrebbero facilitare la condivisione delle informazioni.

Il Tool
Il Tool, accessibile online dal sito ufficiale dell’ENISA (https://www.enisa.europa.eu/topics/nis-directive/Interdependencies_OES_and_DSPs), intende contribuire al raggiungimento di un comune e convergente livello di sicurezza nelle reti e nei sistemi informatici a livello europeo, così come previsto dall’Art. 3 della Direttiva NIS, e non sostituisce gli standard esistenti, né i Framework internazionali o le Best Practice utilizzate dagli Operatori di Servizi Essenziali.
Durante lo sviluppo del Tool, i ricercatori hanno identificato 17 indicatori di interdipendenza (es. distribuzione geografica, numero di utenti impattati, etc.) e li hanno mappati rispetto ai controlli dei principali standard del settore:

  • Requisiti del Gruppo di Cooperazione della Direttiva NIS;
  • Standard ISO/IEC 27002 (Tecnologie Informatiche – Tecniche di sicurezza – Codice di pratica per la gestione della sicurezza delle informazioni stabilisce che la sicurezza dell’informazione è caratterizzata da integrità, riservatezza e disponibilità);
  • Framework di cybersecurity del National Institute of Standards and Technology (NIST);
  • Framework COBIT® 5 per la governance e il management dei sistemi informativi.

La risultante matrice, adattabile in base alle esigenze aziendali, risulta essere uno strumento di supporto utile e versatile per la valutazione dei potenziali impatti delle interdipendenze in termini di rischio. L’utilizzo degli standard internazionali e di Framework universalmente riconosciuti nel settore, permette di utilizzare una terminologia comune e omnicomprensiva.

di Daniele Binda Senior Manager – IT & Security Governance, Risk Management, Compliance and Finance @ Dedalo GRC Advisor