Per essere conformi alle misure di sicurezza richieste dalla normativa NIS2, le organizzazioni sono tenute a implementare un numero importante di specifiche tecniche e amministrative.

Se, da una parte, infatti, ai soggetti NIS è richiesta l’adozione e l’utilizzo di misure di sicurezza e strumenti tecnologici (cifratura dei dati, aggiornamento del software, MFA, solo per citarne alcuni), dall’altra l’impegno richiesto in termini di gestione, organizzazione, documentazione e controllo di processi e attività è tutt’altro che trascurabile.

Alle organizzazioni si richiede di adottare e approvare politiche, di definire piani, di documentare procedure, ma non solo.

I soggetti NIS sono tenuti anche a condurre verifiche di conformità e audit di sicurezza, al fine di valutare l’efficacia delle misure adottate, identificare aree di miglioramento ed eventuali interventi necessari.

I momenti di controllo formale

Nel complesso panorama normativo odierno, introdurre dei momenti di controllo formale rappresenta non solo un obbligo, ma anche uno strumento utile, al fine di garantire la conformità ai requisiti definiti dal legislatore e dall’Autorità.

Al fine di delineare il proprio percorso verso un cambiamento consapevole e duraturo, c’è una domanda che ogni organizzazione dovrebbe porsi prima di procedere: stiamo facendo un audit unicamente perché lo richiede la norma o per valutare l’effettivo livello di sicurezza delle reti e dei sistemi informativi? La distinzione non è semantica.

È la differenza tra un documento prodotto per “sopravvivere” a un controllo e uno strumento che protegge davvero l’organizzazione e, di riflesso, le persone che la governano.

Audit di sicurezza: cosa cambia con la NIS2

La Direttiva NIS2, recepita in Italia con il Decreto Legislativo 4 settembre 2024, n. 138, non è un semplice aggiornamento della normativa precedente.

La Direttiva, infatti, definisce un nuovo modo di concepire la sicurezza informatica, non più come mera questione tecnica delegabile al solo reparto IT.

Mentre la prima direttiva NIS del 2016 aveva un perimetro applicativo ristretto e obblighi relativamente generici, la NIS2 amplia significativamente la platea dei soggetti coinvolti, includendo oggi migliaia di organizzazioni italiane nei settori delle infrastrutture critiche, della sanità, del digitale, dell’energia, dei trasporti, della pubblica amministrazione e dell’industria manifatturiera, introducendo inoltre obblighi precisi e verificabili.

Tra questi obblighi, l’audit di sicurezza occupa una posizione centrale, non come adempimento accessorio, ma come meccanismo sistematico attraverso cui un’organizzazione dimostra di aver valutato i propri rischi, adottato misure proporzionate e monitorato nel tempo la propria postura di sicurezza.

Audit ed art. 21 Direttiva Nis2

L’articolo 21 della Direttiva, recepito nel decreto nazionale, richiede esplicitamente che le Entità essenziali e importanti adottino misure adeguate di gestione del rischio informatico che comprendano, tra l’altro, politiche di analisi dei rischi, sicurezza della catena di approvvigionamento e pratiche di igiene informatica: tutti elementi che richiedono un processo di verifica strutturato o, in altre parole, un audit.

La NIS2, inoltre, personalizza la responsabilità. I vertici aziendali (amministratori delegati, consigli di amministrazione, organi di gestione) sono chiamati ad approvare le misure di gestione del rischio e possono essere ritenuti personalmente responsabili in caso di violazioni gravi.

Questo significa che firmare un documento di conformità senza averlo compreso, o delegare interamente la materia senza supervisione, non è più una scelta neutra: è un’assunzione di rischio personale.

L’audit, in questo quadro, non tutela solo l’organizzazione: tutela chi la dirige.

Oggetto dell’audit Nis2, finalità e perimetro: delimitare prima di agire

Una volta compresa la sua necessità e opportunità, il passo successivo è definire il perimetro oggettivo dell’audit: cosa, esattamente, è imprescindibile verificare.

Questo passaggio è spesso sottovalutato, con conseguenze che emergono solo quando arriva un’ispezione o, peggio, un incidente.

Un audit senza perimetro definito è un esercizio arbitrario, i cui risultati non sono né confrontabili nel tempo né difendibili di fronte all’Autorità di controllo.

L’oggetto dell’audit NIS2 non si esaurisce nei sistemi informatici. Comprende i processi organizzativi che li governano, le persone che li utilizzano e amministrano, e le terze parti (fornitori, partner, outsourcer) che hanno accesso alle infrastrutture o ai dati dell’organizzazione.

La triade sistemi, processi, persone è la superficie di attacco reale di qualsiasi società e un audit che ne ignori anche solo un elemento produce una fotografia necessariamente distorta.

Le due finalità degli audit in ambito NIS2

È utile distinguere tra le due finalità fondamentali che un audit può (e dovrebbe) perseguire.

La finalità di conformità mira a verificare che l’organizzazione rispetti i requisiti normativi: è una valutazione rispetto a obblighi precisi, i cui esiti devono essere documentati con accuratezza e conservati in modo che possano essere esibiti in caso di controllo.

La finalità di miglioramento, invece, punta a rafforzare in modo continuo la postura di sicurezza dell’organizzazione. Questa finalità è ancorata alla realtà operativa: non si tratta unicamente di evidenziare potenziali gap, ma di guidare l’evoluzione dei controlli, dei processi e delle capacità di risposta, alimentando decisioni strategiche e un percorso strutturato di crescita e di resilienza.

L’audit come processo e non come evento nella logica Nis2

Un perimetro ben definito è necessario, ma insufficiente di per sé se l’audit rimane un evento isolato, condotto una volta l’anno per produrre un documento da archiviare.

La logica definita dalla Direttiva NIS2 è diametralmente opposta: richiede un approccio alla sicurezza che sia continuo, adattivo e documentato nel tempo.

La pianificazione degli audit deve tenere conto di almeno tre variabili che evolvono nel tempo:

• Frequenza: deve essere determinata sulla base del profilo di rischio dell’organizzazione e dai cambiamenti significativi che intervengono (acquisizioni, cambi di fornitori critici, introduzione di nuovi sistemi eccetera).
• Priorità: devono riflettere i principali rischi e non limitarsi a seguire una sequenza predefinita.
• Risorse disponibili: non solo budget, ma anche competenze e capacità di analisi.

Un piano di audit che non tenga conto di questi tre fattori in modo integrato produce inevitabilmente una copertura disomogenea rispetto ai rischi a cui è esposta l’organizzazione.

Sul fronte della conduzione, la NIS2 non prescrive una modalità specifica. Tuttavia, deve ritenersi valida la richiesta di misure adeguate e proporzionate: questo principio implica la necessità di dimostrare come si è arrivati alla scelta di determinate misure e perché si ritiene che siano sufficienti.

Selezionare l’auditor

Non meno importante è la scelta dell’auditor. Gli auditor interni garantiscono continuità, conoscenza approfondita dell’organizzazione e costi minori, ma possono soffrire di prossimità, avere difficoltà a vedere criticamente ciò che si è costruito nel tempo.

Gli auditor esterni portano indipendenza, metodologie consolidate e un benchmark rispetto ad altri contesti organizzativi, ma richiedono un investimento maggiore e una fase di onboarding che può essere impegnativa.

La soluzione più efficace combina le due modalità: una funzione interna che garantisce la continuità del monitoraggio, mentre audit esterni periodici forniscono una validazione indipendente.

Audit e Nis2, le fasi operative

Le fasi operative dell’audit, dalla raccolta preliminare della documentazione all’esecuzione delle verifiche e alla stesura del rapporto, devono essere tracciate con precisione.

Non perché la burocrazia sia un valore in sé, ma perché la tracciabilità del processo è essa stessa una prova di maturità organizzativa: dimostra che l’audit non è stato un’operazione superficiale, ma un’indagine metodica condotta secondo criteri espliciti.

L’audit come strumento decisionale: oltre il rapporto finale

Condurre l’audit in modo strutturato ha valore solo se i suoi risultati alimentano decisioni concrete.

Il rischio più frequente nelle organizzazioni che affrontano la NIS2 per la prima volta è quello di considerare la relazione finale come il punto di arrivo: viene prodotta, consegnata, archiviata e il ciclo si chiude.

Questo approccio non solo è metodologicamente sbagliato, ma vanifica completamente l’investimento fatto nel processo.

I findings dell’audit (non conformità identificate, vulnerabilità rilevate, opportunità di miglioramento) sono dati che devono entrare direttamente nel processo di valutazione del rischio dell’organizzazione.

Per ogni debolezza individuata, infatti, c’è un corrispondente impatto potenziale:

• tradurla in linguaggio di rischio permette al management di prendere decisioni informate su quali azioni intraprendere immediatamente;
• quali pianificare nel tempo;
• e quali rischi residui accettare consapevolmente.

Se ad un audit non segue questa trasposizione allora non è un vero strumento di governance.

La comprensibilità

Il collegamento tra audit e decisione manageriale richiede che i risultati siano comunicati in un linguaggio comprensibile anche per i non addetti ai lavori. Questo è un punto spesso trascurato: i rapporti di audit sono spesso presentati come relazioni dedicate a personale tecnico, non per amministratori delegati o consigli di amministrazione.

La NIS2, ponendo l’enfasi sulla responsabilità del management, rende la comprensibilità non solo utile, ma necessaria.

Un dirigente che non ha compreso i risultati dell’audit non può avere approvato consapevolmente le misure conseguenti.

Il piano di miglioramento

Dalla segnalazione delle non conformità deve scaturire, infine, un piano di miglioramento strutturato, con priorità, responsabilità, scadenze e risorse assegnate. Non un documento di intenzioni, ma un impegno tracciabile nel tempo.

La differenza tra un piano di miglioramento e una lista di buone intenzioni risiede nella misurabilità: scadenze vincolanti, responsabili nominati, criteri di verifica dell’avanzamento e meccanismi di escalation quando qualcosa non procede secondo i tempi previsti.

Non solo IT: l’importanza della dimensione organizzativa

La cyber security moderna non è una questione di tecnologia. O meglio, non solo: coinvolge comportamenti, processi e relazioni.

Un’analisi delle modalità di accesso ai sistemi, per esempio, raramente rivela un problema tecnico.

Più frequentemente ci ritroveremo davanti a credenziali condivise tra colleghi per “fare prima”, a fornitori accedono con permessi eccessivi perché nessuno si è mai preoccupato di revocarli, a processi di approvazione delle modifiche ai sistemi critici informali.

Queste non sono vulnerabilità dell’infrastruttura IT, bensì organizzative, che nessun sistema tecnologico potrebbe correggere da solo.

La supply chain

La catena di fornitura merita una menzione specifica, sia perché la NIS2 ne fa un punto di attenzione esplicito, sia perché rappresenta una delle superfici di attacco più sottovalutate.

Un fornitore di servizi cloud, un provider di software gestionale, un consulente esterno con accesso ai sistemi aziendali: ognuno di questi soggetti è un potenziale vettore di rischio.

L’audit NIS2 deve quindi estendersi a valutare le garanzie contrattuali, le clausole disicurezza, i diritti di audit e le misure di sicurezza effettivamente adottate dai partner tecnologici.

Documentare e monitorare: oltre i tecnicismi

La NIS2 non si limita a richiedere che le misure di sicurezza vengano adottate: richiede che siano documentate in modo da consentire la verifica della loro adeguatezza.

In caso di ispezione o di incidente, la documentazione può fare la differenza nel dimostrare di aver agito responsabilmente e non poterlo fare.

La misurazione nel tempo è il passaggio che trasforma la documentazione da archivio statico a sistema di governance dinamico.

Definire KPI e metriche di sicurezza (quali, per esempio, tempo medio di risoluzione delle vulnerabilità critiche, numero di incidenti rilevati rispetto a quelli gestiti entro i tempi previsti, tasso di completamento delle attività formative del personale) permette di valutare se la postura di sicurezza migliora nel tempo o se si sta semplicemente producendo documentazione senza sostanza.

Queste metriche, se correttamente elaborate, sono anche lo strumento più efficace per rendicontare al management in modo che comprensibile e azionabile: non tecnicismi ma indicatori che rispondono alla domanda “stiamo migliorando?”.

Conformità e sicurezza reale: la checkbox security non basta

Abbiamo più volte ribadito l’importanza di documentare. Ma anche la documentazione più impeccabile non garantisce, di per sé, sicurezza reale. Questo è il punto più scomodo dell’intera discussione sulla NIS2: obbliga a distinguere tra conformità formale e capacità operativa effettiva.

Avere policy, procedure e registri perfettamente compilati non equivale a essere pronti a resistere ad eventi indesiderati.

Checkbox security

La checkbox security, quella che si limita a soddisfare gli adempimenti senza interrogarsi sugli effetti concreti, presenta un limite strutturale: funziona in condizioni ideali, ma non regge se messa alla prova.

Un processo di verifica dovrebbe avere come ambito di indagine principale la realtà operativa:

• I processi vengono attivati tempestivamente?
• Le responsabilità sono chiare e coerenti?
• Le decisioni vengono prese sulla base di informazioni corrette e disponibili?
• L’organizzazione avrebbe effettivamente le capacità necessarie per contenere e gestire un incidente?

Se la risposta a queste domande è incerta, la conformità raggiunta è apparente.

Il ruolo dell’auditor

Per questo l’audit non può essere una semplice checklist. Deve spingersi oltre la verifica documentale e valutare gli effetti reali delle azioni intraprese dall’organizzazione, la coerenza tra quanto dichiarato nelle policy e quanto effettivamente applicato, l’efficacia dei controlli nel ridurre i rischi.

In questo contesto, il ruolo dell’auditor diventa cruciale.

Non può limitarsi a verificare la presenza di evidenze formali: deve avere conoscenze tecniche adeguate a comprendere il contesto e ad analizzare i processi nel concreto, nonché saper valutare se ciò che è stato progettato funziona davvero.

Un audit efficace non mette semplicemente un bollino verde sulla conformità ma misura la sicurezza reale. Ed è proprio questa differenza che trasforma la NIS2 da esercizio formale a leva di governance e resilienza.