Cybersecurity Compliance alla Direttiva NIS e Disposizioni in materia di Perimetro Cibernetico Nazionale

Il quadro regolatorio in materia di Cybersecurity per gli OSE, e più in generale per i soggetti che svolgono una Funzione/Servizio Essenziale nei settori identificati all’interno dell’ecosistema nazionale, richiede l’attuazione di una serie di adempimenti (analisi dei rischi cyber, individuazione filiera e sistemi ICT sottesi, stakeholder interni ed esteni, presenza di misure tecno-organizzative cyber, notifica incidenti rilevanti, ecc.) richiesti in coerenza a specifici cronoprogrammi stabiliti dai Ministeri Competenti ed altre Istituzioni coinvolte (PdCM, DIS, MISE, ecc.).

Il Cliente OSE ha avuto necessità di condurre un assessment per una puntuale rilevazione dell’as-is dell’ecosistema della Funzione/Servizio essenziale, della relativa supply chain, delle parti coinvolte (tra cui fornitori e terze parti) come attori fondamentali, dei presidi tecnico-organizzativi cyber attuati. Inoltre, è stato necessario aggiornare l’analisi dei rischi cyber con riferimento alla Funzione/Servizio essenziale per poi redigere le mappe di applicazioni e sistemi ICT sottesi alla Funzione/Servizio essenziale, con la relativa catena tecnologica. Il processo e le procedure di gestione incidenti sono stati oggetto di approfondimento dovendo contemplare l’adattamento e l’adozione degli obblighi di notifica in caso di incidente rilevante secondo soglie individuate dall’Autorità Competente NIS. È stato richiesto supporto nella definizione dei piani di rientro e di una roadmap di improvement, anche sfruttando elementi di benchmarking che EY poteva rendere disponibile grazie al proprio Network. Infine è stato fornito supporto nelle attività di comunicazione e notifica nei confronti dell’Autorità Competente ed altri soggetti istituzionali che entrano in modo preponderante nel processo di condivisione delle informazioni.

Cybersecurity Compliance: supporto all’indirizzamento delle esigenze di conformità in ambito Direttiva NIS e Perimetro Cyber

L’iniziativa di Cybersecurity Compliance che abbiamo sviluppato si inserisce in un programma definito sulla base delle esigenze di business e delle caratteristiche specifiche del cliente al fine di garantire una applicazione immediata ed efficiente della soluzione. Tale iniziativa è stata strutturata sulla base del Framework di Cybersecurity Nazionale (a sua volta definito sulla base degli standard e best practices riconosciuti in ambito Cybersecurity: ENISA, NIST, ISO ed ISA) e ha permesso di valutare il livello di maturità in termini di sicurezza di ciascun servizio essenziale erogato. 

Tale valutazione è stata fondamentale e propedeutica alla definizione di una strategia di remediation volta ad innalzare il livello di sicurezza complessivo dei servizi erogati.

In particolare, la strategia di remediation implementata è relativa all’insieme delle azioni necessarie ad incrementare il livello di maturità della Cybersecurity, sia nei processi aziendali a supporto del business che nel sistema informativo aziendale a supporto dell’erogazione dei Servizi Essenziali, nonché relativamente alla gestione delle terze parti e degli stakeholder fondamentali.

Il Team EY, si è avvalso di un pool di professionisti altamente qualificato e con skill complementari presenti nel vasto Network EY, esperti nell’ambito della Cybersecurity Compliance, in grado di fornire supporto sulle tematiche afferenti alle normative in ambito Sicurezza Nazionale (es. D.L. 105/2019: perimetro di sicurezza cibernetica, Direttiva UE 2016/1148 – Direttiva NIS, ecc.), in accordo agli standard di sicurezza riconosciuti (es. ISO/IEC 27001, NIST, ecc.) ed altre best-practice, garantendo peraltro un osservatorio continuo sulle evoluzioni del landscape normativo.

I risultati dell’iniziativa di Cybersecurity Compliance

Il Cliente, fin da subito ha potuto constatare i benefici derivanti dall’affiancamento di un soggetto come EY, indirizzando le proprie esigenze tramite la progettualità di Cybersecurity Compliance, tale iniziativa è stata in grado di garantire un allineamento alle indicazioni del contesto normativo con particolare riferimento alla NIS e al Perimetro Cibernetico, nonché ad incrementare la Security Posture aziendale per quanto concerne i servizi essenziali.

A tal proposito, EY ha supportato il cliente anche grazie ad alcuni elementi distintivi che hanno favorito il raggiungimento degli obiettivi e dei risultati attesi:

• EY ha disegnato nuovi processi di Comunicazione sia Interni, rivolti principalmente al Top Management e al Board aziendale, sia Esterni verso le Autorità di riferimento per garantire un maggiore coinvolgimento degli stakeholder interessati;

• EY, grazie al proprio network, ha reso disponibile al cliente analisi di Benchmarking e studi di settori con focus su specifici ambiti per favorire e guidare il cliente nell’individuazione delle soluzioni ottimali;

• EY ha supportato il cliente nella definizione di specifiche soluzioni tecnologiche anche grazie ad analisi costi /benefici;

• EY ha garantito un monitoraggio continuativo del landscape normativo, sempre in continua evoluzione, per indirizzare eventuali nuove esigenze.

In particolare, grazie a tale iniziativa il nostro cliente ha potuto riscontrare i seguenti vantaggi e benefici:

• Rafforzamento della Security Posture aziendale

• Un efficientamento dei processi di comunicazione verso le Autorità di riferimento e gli stakeholders interni

• Preciso orientamento sulle scelte strategiche e nell’individuazione delle azioni di remediation

• Individuazione di soluzioni tecnologiche in ambito Cybersecurity adatte a soddisfare i needs