Il tema della resilienza di entità critiche in ecosistemi digitali o reali riscuote un ampio interesse sia metodologico che normativo: non essendo una questione di facile soluzione, presenta molteplici metodi per affrontare questa tematica, proprio a indicazione della mancanza di una generalizzata e consolidata maturità operativa.

In ambito tecnico c’è stata una evoluzione dal concetto originale di continuità operativa, come semplice ripristino delle funzionalità fisiche di una macchina, al riconoscere il maggior valore rappresentato dal prodotto gestito dalla macchina, fino ad assegnare tutta l’importanza alla disponibilità dei servizi erogati e legati agli obiettivi di business, includendo nell’ambito di protezione anche l’intera catena di approvvigionamento.

Poi, un ulteriore evoluzione. La tematica, da pertinenza di una singola entità dell’ecosistema, è divenuta di disponibilità dei servizi ritenuti essenziali per l’intero ecosistema. Per affrontare la nuova estensione del problema, alla tecnica ha dovuto affiancarsi il supporto di legge e l’onore del primo intervento strutturale potrebbe essere assegnato all’Executive Order 13636 (“Improving Critical Infrastructure Cybersecurity”) del 2013.

L’idea alla base dell’esigenza di un approccio legale al tema della resilienza è dovuta al bisogno di promuovere una costante condivisione di informazioni di conoscenza e comprensione degli incidenti che si manifestano nelle singole entità, per poter contrastare il ripetersi dello stesso fenomeno sull’intero ecosistema.

La conoscenza della vulnerabilità è il primo passo per attivare una difesa. La comprensione della vulnerabilità è alla base della ricerca di un rimedio efficace da condividere tra tutte le entità. Quindi, operativamente si agisce all’interno della singola entità per garantire la raccolta dei dati dell’incidente, ed organizzativamente si dispone lo scambio delle informazioni tra le entità, autorità e relativi enti tecnici preposti.

In Europa, per affrontare questa tematica da una prospettiva generale, il punto di partenza sul fronte legale è la Direttiva europea 2022/2557 CER (“Critical Entities Resilience Act”).

Una corretta lettura normativa della Direttiva CER

Da una lettura dei contenuti della direttiva, risulta evidente che non è un documento chiuso e finito, anzi tra considerandi e articoli vengono richiamati diversi altri regolamenti e direttive con cui esistono dei legami di sovrapposizione normativa su settori specifici. Sul primo considerando, la direttiva cita subito l’esigenza di stabilire delle norme minime armonizzate.

Quindi, l’armonizzazione dovrà essere sia per la condotta da seguire nei singoli Stati membri, che tra le direttive ed i regolamenti richiamati per una coerenza di sistema complessiva.

Scorrendo il documento alla ricerca di metodi da adottare per la conformità di legge, nella versione italiana al considerando (20) si nota un’enfasi particolare sull’approccio «multirischio». Interessante come termine perché è un metodo specifico di analisi, ma la frase sembra parlare di concetti generali sulle minacce informatiche.

La versione originale in inglese è utile per cercare sfumature di significato e comprendere le apparenti incoerenze. È sorprendente che in inglese non c’è alcuna enfasi sui termini ma richiama, in piena coerenza con il resto della frase, la necessità di considerare tutti i rischi (“all-hazards”) della sicurezza informatica e non solo i rischi concomitanti.

Inoltre, in questa direttiva, per ottenere una descrizione più diffusa sull’approccio da tenere verso il rischio, viene indicata la Direttiva (UE) 2022/2555 NIS 2 specifica della cyber security.

Approccio all-hazards e multirischio: differenze

Prima di passare a quest’ultimo documento è utile rivedere il significato dei concetti legati ai termini “all-hazards” e “multirischio” nelle metodologie di gestione del rischio.

Approccio all-hazards

Nella gestione del rischio, con l’approccio all-hazards si intende il principio generale della fase di identificazione del rischio che esprime la necessità di determinare in modo sistematico tutti i rischi che possono influenzare il raggiungimento degli obiettivi dell’impresa.

Per affrontare in modo efficace un rischio, è abbastanza evidente che deve essere nota la sua esistenza come prerequisito fondamentale per valutarlo. Dopo aver stabilito il contesto dove opera la gestione del rischio, in modo ciclico, si devono identificare tutti gli eventi che possono portare incertezza sugli obiettivi aziendali.

L’identificazione dei rischi utilizza varie categorie di tecniche di riconoscimento del rischio, quindi metodi storici, sistematici, induttivi o tassonomici, che possono essere applicati singolarmente o vari assieme.

L’obiettivo è far emergere qualsiasi rischio esista, per poterlo valutare nella sua gravità ed eventualmente trattarlo. La fase di identificazione del rischio produce come output lo scenario di rischio, ossia la rappresentazione dell’evento di rischio su cui sviluppare l’analisi per determinare probabilità ed impatto dell’evento.

Approccio multirischio

Nella gestione del rischio, con approccio multi-risk si intende un caso specifico della fase finale dell’identificazione del rischio, ossia quando si deve creare lo scenario di rischio per rappresentare l’evento risultante dalla concomitanza di più rischi assieme che hanno una qualche relazione tra loro.

È tutt’altro che un approccio per arrivare a considerare tutti i rischi da contrastare, riguarda i soli casi specifici di rischi da analizzare in aggregato, per cause di condizionamento o concatenamento di eventi.

La valutazione di queste situazioni multirischio genera un livello di rischio che sarà come gravità uguale o superiore al peggiore dei rischi singoli in analisi, ma non sarà mai rappresentativo dell’insieme di tutti i rischi.

Anzi, in questo approccio manca proprio il requisito del raggiungimento della completezza nell’identificazione del rischio. Ad esempio, manca la ricerca dei rischi emergenti a seguito di cambiamenti, organizzativi o tecnologici che siano.

L’efficacia del processo di miglioramento della gestione del rischio richiede che siano sempre noti tutti i nuovi rischi.

La corretta gestione del rischio nella Direttiva NIS 2

Ritornando agli indirizzi di legge su come affrontare il tema della continuità in ambito di cyber security, la Direttiva (UE) 2022/2555 NIS 2 in lingua italiana cita ben due volte l’approccio multirischio in contrapposizione al più ampio e completo approccio “all-hazards” della versione inglese.

Nel considerando (79) sembra che l’approccio multirischio sia un metodo per proteggere gli asset informatici ed il loro ambiente circostante, ma in realtà, come già menzionato, non copre tutte le situazioni come invece è insito nell’approccio “all-hazards”.

Nell’articolo 21 al paragrafo 2 vengono nuovamente ribaditi gli stessi concetti presenti nel considerando già citato, solamente variando il lessico ma non il significato.

La fase di identificazione del rischio è necessaria a rappresentare tutte le minacce, pur con origini differenti, per costruire idonei scenari necessari a comprendere il livello di rischio reale.

La completezza delle informazioni raccolte per l’analisi condiziona il processo di scelta di una adeguata risposta al rischio; tutto questo non è garantito dal solo concetto di multirischio.

Regolamento DORA: identificare tutti i rischi informatici

Anche nel Regolamento europeo 2022/2554 DORA (“Digital Operational Resilience Act”), relativo alla resilienza operativa digitale per il settore finanziario, viene richiamata la necessità di istituire un processo per identificare tutti i rischi informatici (in inglese “ICT Risk”) in modo corretto e coerente tra le due traduzioni.

In particolare, l’articolo 6 al paragrafo 1 ben descrive il concetto di avere una vista completa del rischio.

L’unica nota riguarda l’opportunità di usare il termine ICT Risk (tantomeno l’italianizzato TIC) anziché il più diffuso IT Risk. Le metodologie del rischio stanno dando enfasi al differente peso tra la protezione del valore rappresentato dall’informazione, rispetto ai mezzi tecnologici utilizzati per il trattamento.

Per enfatizzare questo concetto viene usato l’acronimo I&T mentre è mantenuto IT per esprimere la pura tecnologia.

Nella descrizione della gestione del rischio, va evidenziato un merito del Regolamento rispetto alle Direttive, quello di aver distinto nettamente tra il cosiddetto rischio IT ed il rischio d’insieme dell’impresa, di cui IT è solo una parte.

Anche la Direttiva NIS cita un rischio organizzativo complessivo dell’entità nel considerando (44) ma non va oltre. Nell’articolo 6, al paragrafo 1, viene definita con chiarezza la distinzione dell’ERM rispetto all’IT Risk.

Su questo Regolamento, anche se talvolta con ridondanza, i concetti di gestione del rischio sono espressi in modo organico e completo.

Diviene evidente che l’IT Risk non è ristretto al puro ambito IT ma è inserito nell’ambito più ampio del business seguendo una visione olistica, quindi complessiva di tutte le prospettive di interesse.

Conclusioni

Gli approcci all-hazard e multirischio non sono scambiabili poiché esprimono concetti differenti nell’ambito dell’identificazione del rischio.

Con un approccio all-hazard ritroviamo un principio di completezza dell’insieme dei rischi che dobbiamo trattare.

Con approccio multirischio intendiamo un modello di rappresentazione del rischio che permette di studiare l’accadimento contemporaneo dei vari rischi inclusi nello scenario.

Quindi, per rimuovere le incoerenze delle Direttive, sarebbe utile allineare la versione italiana all’originale in lingua inglese.