La resilienza organizzativa rappresenta oggi un elemento cruciale per le aziende che devono conformarsi alle normative europee sulla sicurezza informatica e la continuità operativa. Il recepimento in Italia delle Direttive UE 2022/2557 e 2022/2555, insieme al Regolamento DORA, impone a soggetti critici ed essenziali l’adozione di strategie immediate per garantire la capacità di risposta a eventi avversi, proteggendo infrastrutture e servizi fondamentali per l’economia e la società europea.
Diversi standard internazionali già consolidati possono guidare la definizione e l’attuazione degli adempimenti, vediamo come.
Indice degli argomenti
La resilienza come fattore comune per la salvaguardia della società europea
Le recenti tensioni fra USA ed Europa per la questione dei dazi, le notizie di emergenti preoccupazioni per gli evidenti sbilanciamenti relativi ai sistemi di pagamento internazionali, e la delicatissima situazione geopolitica sono elementi che fanno forse comprendere meglio le strategie di resilienza portante con decisione avanti negli ultimi anni dall’Unione.
Gli strumenti regolatori approdati ormai anche nelle legislazioni nazionali, da molti giudicati ipertrofici, forse più nelle modalità e nell’eccesso di formalità burocratica che nella correttezza delle iniziative, sono in piena fase di attuazione.
Per le moltissime Organizzazioni coinvolte, quindi, l’enforcement va oltre la compliance, richiedendo obiettivi sostanziali di resilienza, intesa come la capacità non solo di resistere alle sfide e di farvi fronte, ma anche di attraversare le transizioni in modo sostenibile, equo e democratico.
Ed ecco dunque che questa capacità di risposta alle avversità, al fine di garantire una prestazione senza impedimenti di servizi essenziali per l’economia e la società nel suo complesso, presuppone necessarie misure generali e specifiche la cui definizione ed applicazione è sotto i riflettori da diverso tempo.
Sul DORA e sulle Direttive Resilienza e NIS2, nonché sulle loro differenze e potenziali integrazioni, si è già scritto e detto tanto.
In questa sede, dunque ci limitiamo a ricordare e consolidare alcune indicazioni per le Organizzazioni circa il supporto che le norme standard di riferimento possono fornire alle Organizzazione per la definizione di strategie immediate e dei necessari piani di azione, la cui attuazione, si sa, è tutt’altro che semplice.
Infatti, gli obiettivi primari di continuità operativa, approccio multirischio, gestione delle interdipendenze per le catene di fornitura, e di sicurezza di infrastrutture e sistemi informativi trovano in tali standard requisiti per l’implementazione di sistemi di gestione e linee guida idonee non solo a dimostrare la conformità regolatoria richiesta, ma anche ad attuare in modo efficace e sostanziale molti passaggi operativi essenziali.
Le norme standard utili per la resilienza
Lo standard specifico per la resilienza organizzativa è la norma ISO 22316:2017 – Security and resilience – Organizational resilience – Principles and attributes. Si tratta di una norma di carattere generale, che stabilisce i principi di resilienza organizzativa e identifica gli attributi e le attività che possono supportare un’Organizzazione nell’innalzamento del proprio livello di capacità di risposta al mutare degli eventi.
Molto più conosciuto, però, è lo standard internazionale sulla gestione della continuità operativa ISO 22301:2019 Security and resilience – Business continuity management systems – Requirements. Standard certificabile, attesta la rispondenza del sistema di gestione aziendale a requisiti specifici per l’attuazione di misure di continuità operativa – intesa come “Capacità dell’organizzazione di continuare a fornire prodotti ed erogare servizi a livelli accettabili predefiniti a seguito di un evento destabilizzante” (definizione tratta dalla norma vocabolario ISO22300:2021).
Ovviamente la continuità operativa è un tema presente anche nello Standard ISO/IEC 27001:2022 – Information security, cybersecurity and privacy protection – Information security management systems – Requirements, globalmente utilizzato in ambito infrastrutture ICT, e quindi importantissimo per i requisiti della NIS2, ad esempio. Tuttavia, vista l’importanza delle norme ISO 223XX (più specifiche e di maggiore portata per le esigenze di resilienza generale in ogni settore di attività), è il tandem questi due sistemi di gestione, possibilmente certificati, da considerarsi l’optimum, nelle circostanze dei servizi ICT. Tornando alle prerogative generali di capacità di rispondere alle situazioni di crisi, soprattutto i soggetti critici, dunque, possono trovare nell’implementazione di un sistema di gestione conforme alla ISO 22301, con le previsioni di Business Impact Analysis, Valutazione dei rischi e strategie di contituità, dei Piani di continuità operativa, e delle Simulazioni degli scenari di disastro , un’efficace soluzione di applicabilità delle misure previste (non senza impegni onerosi, tuttavia).
A corredo dello Standard per i requisiti del sistema di gestione, anche la norma ISO 22313:2020 Security and resilience – Business continuity management systems – Guidance on the use of ISO 22301 può fornire un valido supporto per l’implementazione, così come la Linea guida ISO/TS 22318:2021 Security and resilience – Business continuity management systems – Guidelines for supply chain continuity management è un riferimento di vitale importanza per il governo dell’interdipendenza e della continuità operativa per tutta la filiera della catena di fornitura.
Nel caso in cui, per le previsioni del D.Lgs. 134/2024 sulla resilienza dei soggetti critici, ci si debba attestare ad un più alto livello di definizione e indirizzo, vedi ad esempio le funzioni del Comitato Interministeriale per la Resilienza (CIR) e delle autorità settoriali competenti (ASC), come il Ministero dell’Ambiente e della Sicurezza Energetica, il Ministero delle Infrastrutture e dei Trasporti, e il Ministero della Salute, che avranno il compito di vigilare sull’attuazione delle misure di resilienza nei settori di loro competenza, c’è una recente norma che merita di essere segnalata, ed è la ISO 22336:2024 – Security and resilience – Organizational resilience – Guidelines for resilience policy and strategy.
La ISO 22336:2024 fornisce infatti linee guida sulla progettazione e lo sviluppo di una politica e strategia di resilienza organizzativa.
Può risultare dunque utile, comunque per tutte le Organizzazioni, soprattutto a un livello più alto, concettuale e strategico, per definire le linee di indirizzo, in quanto si focalizza su come progettare e formulare una politica di resilienza, come progettare una strategia per raggiungere gli obiettivi di tale politica, come determinare le priorità per l’attuazione delle iniziative di resilienza dell’organizzazione; infine, aspetto fondamentale, aiuta a stabilire una capacità cooperativa e coordinata per migliorare la resilienza.
La struttura della logica proposta, come illustrato nell’immagine sotto (tratta dalla ISO 22336:2024, rielaborata e tradotta dall’autore), mira a individuare il contesto di resilienza dai fattori di contesto, con ragionamenti e considerazioni sui rischi per la determinazione degli obiettivi, con il fine di definire ed attuare politiche e strategie di resilienza, e riesaminare i processi in ottica di miglioramento continuo.
La sicurezza delle infrastrutture digitali
Per quanto riguarda gli obiettivi di cybersicurezza, e più in generale di sicurezza delle infrastrutture ICT, sia le norme ISO che molti altri Framework, fra tutti la NIST Cybersecurity Framework 2.0, prevedono preziosi riferimenti per le Organizzazioni. Purtroppo in questo campo non è affatto scontato muoversi con disinvoltura e non “perdersi” nel mare di norme, regolatorie e standard, da conoscere.
Fortunatamente in Italia possiamo ora contare sul ruolo strategico e centrale dell’Agenzia per la Cybersicurezza Nazionale (ACN) – che in linea con il programma della prima fase attuativa ha già iniziato l’invio tramite PEC delle notifiche, ai soggetti NIS che hanno effettuato la registrazione nei termini, con l’indicazione dell’effettiva riconducibilità all’ambito di applicazione del decreto NIS.
L’ACN sta da tempo pubblicando diverse Linee guida e Documenti tecnici utilissimi, e anche il principale strumento operativo, il Framework Nazionale per la Cybersecurity e la Data Protection (FNCDP) è stato di recente aggiornato alla Edizione 2025 (v. 2.1.0 disponibile qui ) per l’allineamento del suo core alla più recente framework del NIST.
Particolarmente attenzionato, come ben si sa, è il tema della segnalazione, notifica e risposta agli incidenti (elemento essenziale sia per il DORA che per la NIS2, ed ora ampliato nella nuova edizione 2025 della FNCDP), oltre all’attenzione sempre maggiore alla supply chain.
Per la maggior parte degli operatori, come abbiamo visto lo standard ISO di riferimento è la ISO/IEC 27001:2022; è infatti naturale considerare valida ed efficace l’implementazione di un sistema di gestione per la sicurezza delle informazioni, quale modello organizzativo che garantisca all’Organizzazione il raggiungimento dei propri obiettivi di sicurezza e compliance, in particolar modo nel contesto attuale.
Ma sono tante le norme della famiglia 27000 che possono aiutare. Vale la pena segnalare ad esempio, i 4 standard ISO/IEC 27036 per la gestione della sicurezza delle informazioni nelle relazioni con i fornitori: la norma ISO/IEC 27036-1:2021 , la ISO/IEC 27036-2:2022, la ISO/IEC 27036-3:2023 e la ISO/IEC 27036-4:2016.
Da non perdere (anche perchè gratuita) è anche la pubblicazione alternativa NIST SP 800-161 Rev. 1 – Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations.
Inoltre, allargando lo spettro della sicurezza anche nel settore della produzione, dei servizi, dello stoccaggio e dei trasporti, quale componente essenziale della resilienza delle infrastrutture, non si dovrebbe sottovalutare lo standard certificabile per la gestione della sicurezza nella catena di approvvigionamento, la ISO 28001:2007 Security management systems for the supply chain – Best practices for implementing supply chain security, assessments and plans – Requirements and guidance.
La gestione e la notifica degli incidenti
Molti soggetti essenziali e soggetti importanti, in ambito NIS2, hanno già implementato sistemi di gestione per la sicurezza delle informazioni, e magari anche per la continuità operativa, attivando sicuramente processi di gestione e segnalazione degli incidenti.
Tuttavia, in certi contesti particolarmente critici, vista l’evoluzione costante degli scenari di rischio e la crescita delle minacce alla sicurezza dei dati e delle infrastrutture ICT, si deve ricorrere, sempre in ottica resiliente, a piani e attività davvero sostanziali. Quindi la gestione e il monitoraggio degli incidenti, e le relative capacità di risposta, sono in questo periodo sotto la lente d’ingrandimento; in taluni circostanze, i controlli specifici previsti dalla 27001, ad esempio, potrebbero non essere sufficienti.
Va dunque ricordata, perci, fra le norme ISO/IEC della famiglia 27000, la presenza di ben 4 standard specifici, ossia:
- la ISO/IEC 27035-1:2023 Information technology – Information security incident management Part 1: Principles and process;
- la ISO/IEC 27035-2:2023 Information technology – Information security incident management Part 2: Guidelines to plan and prepare for incident response;
- la ISO/IEC 27035-3:2020 Information technology – Information security incident management Part 3: Guidelines for ICT incident response operations;
- la recente ISO/IEC 27035-4:2024 Information technology – Information security incident management Part 4: Coordination
Perché sono importanti queste Linee guida (che, attenzione, non sono certificabili)? La risposta è molto semplice: perché presuppongono una serie di indicazioni per pianificare ed attuare i processi e gli step di gestione, controllo e risposta agli incidenti che siano attuati, documentati e predisposti, virtuosamente, per il miglioramento continuo. Se il fine è consentire una gestione degli eventi critici in modo coordinato e coerente, allore queste Linee guida ISO/IEC 27035 possono risultare davvero preziose, anche per le previsioni della Guida dell’ACN alla notifica degli incidenti al CSIRT ITALIA (disponibile qui )
Non va comunque dienticata, allo stesso modo, la pubblicazione alternativa del NIST SP 800-61r3 Incident Response Recommendations and Considerations for Cybersecurity Risk Management di inizio aprile 2025.
Il ruolo del supporto informativo per la resilienza organizzativa
Un aspetto da non sottovalutare nell’attuale contesto, in ci si trova a dover ricorrere a riferimenti per la definizione di strategie importanti e scelte anche complesse, e talvolta anche particolarmente onerose, è che oggi in Italia un valido supporto informativo viene fornito anche dall’editoria specializzata.
Infatti, in molte testate giornalistiche (soprattutto online) di settore, come questa, la presenza di numerosissimi articoli (scritti, tra l’altro, da esperti e divulgatori sempre più competenti e preparati), la disponibilità di papers, pubblicazioni, quaderni operativi, etc. consente di ridurre i tempi di documentazione e studio necessari a coloro che hanno potere decisionale, o comunque consultivo di rilievo, in modo impressionante.
La qualità, la puntualità e l’affidabilità delle sintesi e degli argomenti trattati in tali supporti editoriali è tra l’altro, attualmente, di gran lunga superiore rispetto alle spiegazioni è risposte che possono essere fornite dall’Intelligenza Artificiale – altro aspetto di non poca importanza.
Conclusioni
Le norme tecniche che determinano le best practices sono in continua evoluzione e aggiornamento, e spesso riescono ad anticipare dettagli di processi, rispetto alle norme regolatorie, che ne rappresentano il presupposto o comunque il riferimento principale, soprattutto per discipline o questioni di rilevanza globale e internazionale, quali la sicurezza, la resilienza, la gestione di crisi, etc. – che comportano strategie ed attività anche molto complesse, in funzione degli scenari di rischio.
È semplice comprendere che nell’attuale contesto geopolitico, sicuramente complicato, dove non si fa altro che ricordare quanto la resilienza e la continuità operativa dei servizi essenziali, la sicurezza delle informazioni, la cybersicurezza siano di vitale importanza per la società digitale e per la tutela dei cittadini e della democrazia, la definizione delle strategie richiede ora più che mai una piena conoscenza dei temi trattati.
Ecco perché segnalare, o comunque ricapitolare in modo strutturato gli strumenti operativi ed i riferimenti che possono aiutare le Organizzazioni per la necessaria governance e compliance è sempre utile.
