Con la ricezione in Italia delle normative in materia di cybersecurity introdotte dalla direttiva NIS2, alle aziende di produzione, installazione e gestione degli impianti di allarme e videosorveglianza si richiede un approccio proattivo di gestione del rischio, per ridurre le vulnerabilità, garantire la continuità dei servizi ed evitare pesanti sanzioni.
Le aziende che operano nel settore della produzione, installazione e gestione d’impianti d'allarme e videosorveglianza sono soggette a una crescente regolamentazione in materia di sicurezza informatica, in particolare con l’entrata in vigore della Direttiva UE 2022/2555 (NIS2) e del Decreto Legislativo 138/2024, che recepisce le norme europee in Italia.
Il 17 ottobre 2024, la Commissione Europea ha inoltre pubblicato un regolamento di esecuzione che specifica i requisiti tecnici e metodologici necessari per la gestione dei rischi di sicurezza informatica.
Chi sono gli operatori “importanti”
La Direttiva NIS2 ha ampliato il perimetro delle aziende soggette a misure di sicurezza, includendo settori come quello delle telecomunicazioni, della sicurezza pubblica e delle tecnologie dell’informazione. Nello specifico, le aziende che producono, distribuiscono e installano impianti di allarme, di gestione domotica e di videosorveglianza, per l’impatto che un’eventuale compromissione della sicurezza di tali sistemi potrebbe avere sulla collettività e su altri operatori, potrebbero rientrare nel novero degli operatori di servizi “importanti”, cioè quei soggetti che, pur non classificati come “essenziali”, potrebbero avere un impatto rilevante sulla realtà economica e sociale del Paese.
Del resto, la Direttiva fa espresso riferimento, nell’allegato 2 (Altri settori critici), ai soggetti che fabbricano “computer e dispositivi elettronici”, richiamando la classificazione del Regolamento UE 2023/137 (che ha modificato il Regolamento UE 1893/2006) in cui sono inclusi i produttori di componenti elettronici e schede elettroniche, i produttori di apparecchiature per le comunicazioni, i produttori di beni elettronici di largo consumo, compresi tutti i dispositivi IoT.
Non solo: la Direttiva NIS2 coinvolge anche la filiera a valle del produttore, identificando come importanti tutti i soggetti che forniscono le attività considerate essenziali e importanti (quindi si diviene importanti anche di riflesso, se, per esempio, si ha tra i clienti una stazione ferroviaria o un ospedale), e individua come operatori di servizi importanti tutti i soggetti che potrebbero, in caso di violazione della sicurezza o di blocco dei loro sistemi, incidere in modo rilevante sui sistemi critici, sulla collettività, sul sociale, su economia e finanza, sui servizi erogati al cittadino (sanità per esempio), sui settori della sicurezza e dell’ordine pubblico.
Un distinguo che installatori e manutentori devono avere ben presente, considerato che la maggior parte di loro non si limita a installare impianti per clienti privati ma ha solitamente tra i propri clienti banche, assicurazioni, enti pubblici (ospedali in primis), fabbriche e altre attività produttive.
Rischi non solo virtuali
La Direttiva NIS2, inoltre, non si limita alla tutela del perimetro digitale, ma amplia l’attenzione degli operatori al perimetro fisico. La compromissione a livello informatico di un sistema di allarme e videosorveglianza, infatti, potrebbe essere solo un’anticipazione di un attacco fisico alla struttura e quindi risultare doppiamente rilevante ai fini della tutela della cybersicurezza.
Se per i produttori di impianti di allarme e videosorveglianza, quindi, non c’è dubbio che debbano quantomeno dichiararsi all’Agenzia per la Cybersicurezza Nazionale entro il 17 gennaio 2025, per installatori e manutentori occorre procedere a un’analisi dei servizi offerti, della tipologia di clientela e dell’impatto di una possibile compromissione dei loro sistemi. Se l’attività si limita all’installazione fisica dei sistemi, senza una gestione continua e proattiva degli stessi (tramite manutenzione o monitoraggio remoto), è meno probabile che l’azienda rientri nel novero dei soggetti “importanti”.
Tuttavia, chi offre servizi di progettazione e installazione di sistemi complessi (come smart home o building automation) potrebbe essere considerato “importante”, soprattutto se i sistemi gestiti sono critici per il funzionamento di altre attività. Una compromissione dei sistemi informatici dell’installatore, infatti, potrebbe consentire al criminale di acquisire le informazioni e le credenziali necessarie per accedere al sistema informatico del cliente, utilizzando la debolezza del fornitore per fare breccia nella sicurezza del “vero bersaglio”.
Inoltre, se l’installatore lavora principalmente con clienti appartenenti a settori identificati come critici dalla Direttiva NIS2 (energia, trasporti, sanità ecc.), la probabilità di essere classificato come soggetto “importante” può aumentare in modo considerevole.
Solo sotto autorizzazione
Le politiche di controllo degli accessi devono garantire che solo personale autorizzato possa accedere ai sistemi critici: in questo senso, l’uso di un sistema di autenticazione a due o più fattori rafforza la postura di sicurezza aziendale, costringendo anche i fornitori e i manutentori a rivedere le proprie politiche di sicurezza delle informazioni.
Per accedere alle centrali di allarme, per esempio, i manutentori dovrebbero utilizzare credenziali diverse e adeguate al tipo di attività da svolgere, con invio di un OTP al cellulare per effettuare il login. Ogni accesso dovrebbe essere registrato e notificato di default all’interessato o all’azienda produttrice.
Direttiva NIS2, gli adempimenti per le aziende
Premesso quanto sopra, è opportuno elencare gli adempimenti che ogni azienda dovrà fronteggiare per arrivare al mese di ottobre 2026 (quando scatteranno le sanzioni) in piena conformità.
Le aziende devono innanzitutto redigere e implementare una politica di sicurezza, integrata con gli obiettivi strategici e le operazioni aziendali, per i propri sistemi di rete e per quelli di gestione delle informazioni. È obbligatorio adottare un approccio metodologico alla gestione della sicurezza delle informazioni (non solo digitali), basandosi su un’analisi continua dei rischi e su un piano di trattamento per ridurre al minimo le minacce.
Sono indispensabili le procedure di gestione degli incidenti informatici, incluso il monitoraggio, la risposta e il recupero in tempi ragionevoli, valutando l’impatto sui soggetti che potrebbero subire gli effetti di un eventuale blocco o compromissione del fornitore. Il sistema di gestione della sicurezza delle informazioni deve quindi prevedere test periodici delle capacità di risposta agli incidenti, un piano di continuità operativa e di disaster recovery e la capacità di gestire adeguatamente i cambiamenti.
A tal proposito, occorre considerare che il Regolamento di esecuzione della Direttiva NIS2, pubblicato dalla Commissione Europea il 17 ottobre 2024, fornisce indicazioni dettagliate sulle misure di gestione del rischio e sugli obblighi di segnalazione di incidenti significativi per vari settori, da cui si possono trarre informazioni importanti anche per chi deve valutare se adeguarsi o meno alla direttiva.
Politica di sicurezza
Ogni azienda deve sviluppare una politica di sicurezza adeguata ai propri obiettivi di business, ma senza dimenticare i soggetti controinteressati in caso di incidente informatico (clienti, for nitori, dipendenti ecc.). La politica di sicurezza è il primo passo per assicurare la protezione dei sistemi e deve includere obiettivi chiari, individuare le risorse necessarie e stabilire la distribuzione di ruoli e responsabilità. Per esempio, l’azienda potrebbe definire che il team IT è responsabile del monitoraggio quotidiano delle reti, mentre il team di risk management verifica e aggiorna ogni anno le linee guida di sicurezza.
In caso di incidente, la politica prevede una revisione immediata del piano per apportare miglioramenti. Un quadro di gestione dei rischi analizza e tratta i potenziali rischi informatici, includendo una valutazione approfondita e un piano di trattamento. Si opera solitamente per scenari, a cui si associano minacce, vulnerabilità e probabilità di accadimento per valutare eventuali azioni correttive e reazioni in caso di incidente.
È essenziale verificare periodicamente l’efficacia delle misure di sicurezza e delle azioni correttive adottate. Per esempio, ogni trimestre l’azienda potrebbe eseguire una scansione delle vulnerabilità della rete per rilevare nuovi rischi e aggiornare il piano di trattamento sulla base dei risultati emersi dal rilevamento, informando il management dell’attività svolta e degli eventuali rischi residui. La gestione degli incidenti non può prescindere da indicatori di compromissione e procedure finalizzati a individuare tempestivamente il problema, analizzare l’accaduto e reagire rapidamente, garantendo resilienza e continuità dell’attività aziendale (che si tratti di incidente casuale o attacco deliberato, non fa differenza).
Ogni incidente dev’essere documentato e seguito da una revisione. Per esempio, se viene rilevata un’intrusione nel perimetro digitale dell’azienda, il team IT deve reagire tempestivamente, attivare le misure di contenimento, valutare i danni e procedere alla sanificazione del sistema e alla riattivazione graduale dei servizi. Tutto ciò comporta l’adozione di procedure di incident management per scenari, in cui ogni soggetto coinvolto abbia una specifica funzione e conosca gli strumenti e le attività da svolgere in quella specifica situazione. Dopo la risoluzione, bisogna redigere un rapporto dettagliato con raccomandazioni per evitare incidenti futuri.
Il piano di continuità operativa ha lo scopo di individuare le soluzioni ottimali per impedire l’interruzione delle attività o procedere alla loro riattivazione in tempi certi, con gestione delle risorse di backup e un protocollo di comunicazione per le crisi. Per esempio, l’azienda può implementare un sistema di backup su server remoti e offline, per garantire integrità anche in caso di attacco ransomware. In caso di crisi, il piano di continuità consente al personale di comunicare tramite canali predefiniti e sicuri e di continuare le operazioni da sedi alternative, utilizzando sistemi già predisposti sui quali caricare i backup e reindirizzare i flussi di dati.
Per un backup a regola d’arte
Eseguire un backup è oggi un’operazione relativamente semplice, ma garantirne l’utilizzabilità in caso di incidente informatico è tutt’altro che scontato. Innanzitutto, i sistemi di storage dovrebbero essere fisicamente dislocati altrove rispetto alle apparecchiature di elaborazione, per evitare che un incendio o una calamità possano compromettere anche i backup.
Inoltre, periodicamente la divisione IT dovrebbe verificare che tutte le risorse importanti siano sottoposte a backup, giacché ogni azienda è una realtà dinamica nella quale entrano ed escono dipendenti ma soprattutto dispositivi con i quali sono trattate le informazioni aziendali.
Infine, un attacco ransomware o un virus possono restare latenti nel sistema anche per mesi, andando a inquinare anche i supporti di backup, per cui è necessario che, in caso di incidente, sia possibile verificare l’integrità dei supporti per evitare di veder nuovamente in attività l’agente malevolo qualche tempo dopo il ripristino.
Attenzione alla supply chain
La Direttiva NIS2 richiede anche una politica di sicurezza per la catena di fornitura, con criteri di selezione dei partner che includano verifiche sulla loro sicurezza informatica. L’azienda, in sostanza, deve scegliere i fornitori in base alla loro conformità agli standard di sicurezza e chiedere loro, contrattualmente, di segnalare eventuali incidenti.
Sui fornitori devono essere eseguiti audit periodici per verificare l’effettiva rispondenza ai requisiti richiesti. È evidente, infatti, che soprattutto un piccolo fornitore può essere un problema per la continuità delle attività, perché solitamente non è strutturato dal punto di vista della sicurezza informatica. Se accede ai sistemi del cliente, per esempio, può creare problemi in caso di sottrazione delle credenziali o se tramite una mailbox compromessa viene veicolato un attacco ransomware. Inoltre, anche nel caso in cui il fornitore non abbia accesso ai sistemi del cliente, può creare problemi di approvvigionamento se è l’unico a fornire determinati componenti e viene coinvolto in un incidente informatico rilevante.
Con la Direttiva NIS2 diventa necessario valutare con cura anche l’acquisizione di servizi e sistemi IT, poiché anche la dipendenza tecnologica da un fornitore che non è in grado di offrire servizi e assistenza adeguata può compromettere la sicurezza dell’azienda principale, soprattutto se è l’unico fornitore di quel prodotto o servizio. Gestire i rischi associati a servizi e prodotti ICT implica l’adozione di requisiti di sicurezza lungo tutto il ciclo di vita, con precisi vincoli contrattuali per ogni fornitore di beni e servizi IT.
Durante l’acquisto di un software, l’azienda dovrebbe stabilire quali standard di sicurezza richiede e vincolare contrattualmente il fornitore al rispetto di aggiornamenti regolari, manutenzione periodica, separazione degli ambienti di sviluppo e produzione, test di funzionamento e sicurezza prima dell’effettivo rilascio ecc.
Gli standard di riferimento
Infine, ma non ultimo per importanza, il personale deve essere formato sulle misure di sicurezza e sulle procedure da rispettare: è indispensabile non solo un corretto orientamento al momento dell’ingresso in servizio, ma anche un aggiornamento periodico sulle procedure e sui rischi connessi all’attività svolta, con verticalizzazioni sugli argomenti più importanti e sui settori più a rischio.
Una buona notizia viene dall’analisi del Regolamento di esecuzione della Direttiva 2022/2555 (NIS2), che sostanzialmente ripercorre i controlli della norma ISO 27002 per la sicurezza delle informazioni, ampiamente riconosciuta e utilizzata come riferimento per la conformità normativa in materia di cybersecurity.
Oltre a tale norma volontaria, il Regolamento richiama le attività previste dagli standard ISO 20000 per il change management e quelle della norma ISO 22301 per la business continuity, per cui è possibile non solo attenersi a tali norme per avere una ragionevole certezza di aver adempiuto correttamente alle prescrizioni della direttiva ma, eventualmente, anche ottenere la verifica periodica di una terza parte, nell’ipotesi si decida di farsi certificare da un organismo accreditato.
