Il Decreto Legislativo 18 maggio 2018, n. 65 definisce come Operatori di Servizi Essenziali (OSE) i soggetti pubblici o privati che soddisfano i seguenti criteri:
- un soggetto fornisce un servizio che è essenziale per il mantenimento di un’attività sociali e/o economiche fondamentali;
- la fornitura di tale servizio dipendente dalla rete e dai sistemi informativi;
- un incidente avrebbe effetti negativi rilevanti sulla fornitura di tale servizio.
In questa categoria rientrano i Fornitori di Servizi Digitali (FSD) intese come persone giuridiche che forniscono servizi di e-commerce, cloud computing o motori di ricerca, con stabilimento principale, sede sociale o rappresentante designato sul territorio nazionale.
È opportuno precisare che gli obblighi che vedremo in seguito non si applicano alle imprese che la normativa europea definisce piccole e micro, aventi meno di 50 dipendenti e un fatturato/bilancio annuo non superiore ai 10 milioni di Euro.
Tali operatori devono ottemperare alla cosiddetta Direttiva NIS del 6 luglio 2016. Tale direttiva non è una norma precettiva, ma si configura come una norma di condotta o di indirizzo, per la quale è necessaria una autovalutazione e la autodefinizione delle misure da applicarsi.
La Commissione EU ha emanato uno specifico regolamento di esecuzione sul raggiungimento della conformità alla Direttiva NIS.
In quest’ottica, dette misure devono rientrare in quanto previsto dal Framework Nazionale di Cybersecurity, la cui parte Core è strutturata, gerarchicamente, in Function, Category e Subcategory.
Le Function costituiscono le principali tematiche da affrontare per operare una adeguata gestione strategica del rischio declinate in Category e Subcategory, le quali forniscono indicazioni in termini di specifiche risorse, processi e tecnologie da introdurre.
Questo impone ai soggetti coinvolti un’attività di Governance & Control delle proprie misure di cybersecurity, tecniche e organizzative, che passano necessariamente tramite un assessment iniziale la cui metodologia è sviluppata dallo stesso Framework Nazionale di Cybersecurity.
Le linee guida per l’implementazione, invece, sono demandate alle misure minime di sicurezza per la Pubblica amministrazione emanate da AgID. Tali misure consistono in controlli di natura tecnologica, organizzativa e procedurale per le Amministrazioni, ma anche per gli OSE e gli FSD.
Specificatamente per i servizi applicativi AgID ha emanato delle Linee guida per lo sviluppo del Software sicuro.
A seconda della complessità e della realtà organizzativa, le misure possono essere implementate seguendo i livelli previsti: Minimo, Standard e Avanzato. Per gli OSE/FSD è, tipicamente, raccomandato il livello Avanzato.
Come espresso nell’art. 19 della stessa Direttiva, la conformità a quest’ultima potrà essere raggiunta adottando un sistema di gestione integrato, che utilizzi gli standard ISO 27001 e ISO 22301 basati su best practice di gestione del rischio.
L'ecosistema dei componenti della suite di CAST effettuano la rilevazione dei livelli di rischio del codice applicativo in funzione di vari fattori, tecnici e di business, sia a livello di portafoglio applicativo, sia a livello di singola applicazione.
La suite CAST implementa i controlli necessari al raggiungimento della conformità alla direttiva, oltre che alla conformità agli standard ISO sopraindicati. Sono forniti, altresì, ulteriori indicatori, come identificato nella figura che segue:
Le componenti CAST MRI e CAST HIGHLIGHT non solo implementano tutti i controlli previsti da AgID in materia di sicurezza delle applicazioni, ma sono in grado di verificare il rispetto delle linee guida per lo sviluppo sicuro proposte da AgID.
Il carattere di ripetibilità automatica delle misure sul codice sorgente delle applicazioni consente di avere un quadro confrontabile nel tempo, sia del rischio legato ai fattori di tecnici e di business necessari alla singola organizzazione, sia dell’enforcement continuo degli aspetti di sicurezza applicativa.
Questo approccio può essere utilizzato dall’organizzazione quale misura preventiva. Qualora, ad esempio, tutto il software acquisito da terzi venga fatto misurare dalla piattaforma CAST, è possibile ridurre il rischio ai livelli ritenuti accettabili dall’organizzazione e far diventare detta misura talmente strutturale da poter essere introdotta a livello contrattuale.
Ancora, CAST HIGHLIGHT, in particolare, fornisce una specifica visione del rischio applicativo, legata all’utilizzo di librerie di terze parti evidenziando sia il rischio intrinseco dell’utilizzo della componente (si pensi alla recente vulnerabilità della diffusissima libreria Log4j), sia al rischio introdotto dal licensing delle componenti stesse, spesso sottovalutato o peggio, non considerato, dagli sviluppatori.
[Grazie a queste capacità uniche, la suite di Software Intelligence CAST è sicuramente un tassello fondamentale per la conformità a quanto previsto dalle normative per gli OSE e i FSD, garantendo anche un costo della misura molto basso.
Comments: