Eccoci arrivati al settimo appuntamento della rubrica dedicata alla Direttiva NIS2.
Questo capitolo affronta uno dei requisiti cardine per la conformità: la Gestione del Rischio NIS2.
La Gestione del Rischio NIS2 non è un’attività una tantum né una semplice analisi delle vulnerabilità, ma un processo strutturato e continuativo che consente all’azienda di individuare, valutare, trattare e monitorare i rischi che minacciano la sicurezza delle reti e dei sistemi informativi.
Si tratta di un requisito di governance, la cui responsabilità finale ricade sugli organi di gestione. Dimostra maturità, metodo e accountability verso clienti e partner della filiera.
Il quadro di Gestione del Rischio NIS2 secondo ENISA
La Guida ENISA chiede a ogni azienda di disporre di un quadro di gestione del rischio formalizzato, adeguato alla propria dimensione e complessità.
Questo quadro non è un documento teorico, ma un sistema di regole e procedure che collega la sicurezza informatica alla governance aziendale: in pratica, serve a dimostrare che ogni decisione in materia di sicurezza è presa in modo tracciabile e consapevole.
L’azienda può adottare uno standard riconosciuto — come ISO/IEC 27005:2022 — oppure sviluppare un proprio metodo, purché sia documentato e aggiornato nel tempo.
Il quadro deve includere una metodologia di valutazione del rischio (qualitativa o quantitativa), i criteri di rischio e le regole di accettazione, così da rendere chiaro come vengono stimate probabilità, impatto e priorità d’intervento.
Fondamentale è la definizione della propensione al rischio (risk appetite) e del livello di tolleranza (risk tolerance), cioè quanto rischio la direzione è disposta ad accettare rispetto ai propri obiettivi e alla continuità operativa.
Nelle PMI questo può tradursi in indicatori semplici: ore di fermo tollerabili, perdita economica sostenibile, massimo tempo di ripristino accettabile.
ENISA adotta inoltre un approccio all-hazards, che impone di considerare tutti i possibili scenari di rischio, non solo quelli informatici.
Devono essere valutati anche eventi naturali, guasti tecnici, errori umani, minacce intenzionali e problemi nella supply chain.
In questa fase l’azienda deve individuare i propri asset critici, i processi essenziali e i single points of failure (SPOF): componenti o risorse la cui compromissione può bloccare le attività.
Dalla valutazione al piano di trattamento del rischio
Una volta definito il quadro metodologico, l’azienda deve eseguire una valutazione del rischio articolata in tre fasi: identificazione, analisi e valutazione.
Nella prima fase si individuano gli asset e le minacce più rilevanti; nella seconda si valuta la probabilità che l’evento si verifichi e l’impatto che avrebbe su disponibilità, integrità, autenticità e riservatezza dei sistemi; nella terza si assegna un livello di priorità in base ai criteri stabiliti.
I risultati devono essere raccolti in un Piano di Trattamento del Rischio (PTR), il documento che collega ogni rischio alle misure da adottare per gestirlo.
Il PTR deve indicare per ogni voce l’asset coinvolto, le misure tecniche e organizzative previste, i tempi, i responsabili e il modo in cui sarà verificata l’efficacia delle azioni.
Le opzioni di trattamento ammesse sono quattro:
- evitare il rischio (es. eliminando una vulnerabilità o interrompendo un servizio a rischio);
- ridurlo (implementando misure di sicurezza o procedure di controllo);
- trasferirlo o condividerlo (ad esempio con un’assicurazione o un fornitore esterno);
- accettarlo, se il costo della mitigazione supera l’impatto potenziale.
La Gestione del Rischio NIS2 richiede che i rischi residui, cioè quelli che restano dopo l’attuazione delle misure, siano formalmente approvati dagli organi di gestione o da chi ha autorità in materia.
Questo passaggio, spesso trascurato, è fondamentale: significa che la direzione è pienamente consapevole dei rischi ancora presenti e li accetta in modo documentato.
ENISA richiede inoltre che vengano considerati anche i rischi residui provenienti da terze parti, come vulnerabilità non risolte, fornitori non conformi o dipendenze critiche. Questi devono essere riportati nel PTR e nel registro dei rischi.
Monitoraggio, revisione e prove di conformità
La Gestione del Rischio NIS2 non si esaurisce nella valutazione iniziale.
Il processo deve essere mantenuto vivo nel tempo, con revisioni periodiche e un monitoraggio continuo dell’efficacia delle misure adottate.
La guida ENISA prevede che il quadro e il PTR siano riesaminati almeno una volta l’anno o ogni volta che cambiano i sistemi, le operazioni o il contesto di rischio.
Il monitoraggio deve includere la verifica delle misure, il controllo delle eccezioni e la segnalazione di eventuali rischi emergenti.
È inoltre richiesto un sistema di reporting che informi periodicamente la direzione sullo stato della sicurezza e della conformità.
In ambito PMI, questo può essere un report sintetico che riassume i rischi principali, le azioni intraprese e le scadenze future.
La tracciabilità è essenziale: ogni decisione deve poter essere dimostrata con documenti, registri o verbali.
Infine, la guida prevede una revisione indipendente del sistema di gestione del rischio.
Può essere svolta da un consulente esterno o da personale non coinvolto nelle attività operative, con competenze in cybersecurity e risk management.
L’obiettivo è valutare l’efficacia del processo, individuare eventuali carenze e proporre azioni correttive.
Tutti i risultati e le misure correttive devono essere documentati e conservati come prova di conformità.
Gestione del Rischio NIS2 come leva di fiducia nella filiera
Per le PMI della supply chain, la Gestione del Rischio NIS2 è il criterio principale con cui le aziende soggette alla Direttiva valutano l’affidabilità dei propri fornitori.
Un’azienda che adotta un quadro documentato e coerente dimostra di avere una governance matura, capace di gestire consapevolmente la sicurezza delle informazioni e la resilienza operativa.
Oltre a garantire conformità normativa, questo processo rafforza la fiducia commerciale, riduce il rischio di esclusione dalla filiera e consente di rispondere in modo strutturato alle richieste di due diligence provenienti dai clienti NIS2-compliant.
Vuoi rendere la tua azienda un partner affidabile nella filiera NIS2?
Con NIS2Lab puoi strutturare un sistema di gestione del rischio chiaro, documentato e riconoscibile dai tuoi clienti.
