
La Direttiva NIS2 e il Regolamento DORA rappresentano gli elementi portanti della normativa europea sui dati per la definizione di un sistema armonizzato di regole finalizzate ad aumentare il livello di resilienza informatica dei soggetti interessati, pubblici e privati, nel prevenire e contrastare gli attacchi cyber all’interno dell’Unione Europea. Per rispondere all’esigenza di classificare correttamente gli incidenti informatici al fine della loro corretta segnalazione alle autorità e gestione, lo scorso luglio l’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato la nuova Tassonomia Cyber (TC-ACN) per coadiuvare gli operatori coinvolti a classificare correttamente, nei tempi e nei modi stabiliti dalla normativa, gli incidenti informatici.
Sarà necessario notificare tempestivamente gli eventi di sicurezza all’ACN (Agenzia per la Cybersicurezza Nazionale) e al CSIRT (Computer Security Incident Response Team) Italia. Per agevolare questo processo, l’ACN ha introdotto, un sistema che fornisce un linguaggio unificato per descrivere e classificare gli incidenti di sicurezza informatica.
1. Il piano di regole comuni europee per la prevenzione e la gestione degli attacchi cyber
L’evoluzione e l’incessante aumento degli attacchi informatici registrati negli ultimi anni hanno spinto il legislatore europeo a prevedere un nuovo piano di regole comuni finalizzate al respingimento e, soprattutto, alla prevenzione degli attacchi cyber nel territorio europeo, in particolare verso quei soggetti strategici per il funzionamento dell’Unione e degli Stati europei.
In tale contesto sono state emanate la Direttiva NIS2 - recepita in Italia con il D.Lgs. n. 138/2024- e il Regolamento Digital Operational Resilience Act (DORA), che prevedono, in capo ai soggetti interessati, specifici obblighi di segnalazione degli incidenti cyber.
Gli operatori sono pertanto tenuti a classificare gli incidenti informatici al fine di effettuare le segnalazioni alle rispettive autorità nazionali - in Italia l’Agenzia Nazionale per la Cybersicurezza Nazionale (ACN) e il Computer Security Incident Response Team (CSIRT).
In tale contesto, l’ACN, per fornire maggiore supporto agli operatori nazionali tenuti agli obblighi di segnalazione, ha pubblicato lo scorso luglio la nuova tassonomia per la corretta classificazione degli attacchi cyber (TC-ACN) - che offre una classificazione più dettagliata degli attacchi rispetto alla tassonomia pubblicata da ENISA nel 2018 - al fine di definire un linguaggio comune di dettaglio per la comunicazione degli incidenti. In aggiunta alla tassonomia, l’ACN ha pubblicato delle linee guida per la corretta notificazione degli incidenti al CSIRT Italia.
2. La TC-ACN: Struttura e Funzionamento
La TC-ACN, pubblicata a luglio 2024, si propone come strumento nazionale condiviso per consentire agli operatori interessati di classificare correttamente gli incidenti di sicurezza informatica, con l’obiettivo di superare l’attuale frammentazione terminologica, e facilitare lo scambio di informazioni. La TC-ACN costituisce la base metodologica per gli operatori per la corretta condivisione delle informazioni riguardanti gli attacchi cyber dati e la conseguente notifica al CSIRT Italia e all’ACN. Rispetto ai modelli precedenti, come quello sviluppato da ENISA, la TC-ACN offre una visione più approfondita degli incidenti, consentendo una descrizione più dettagliata delle dinamiche e degli impatti legati agli attacchi informatici.
Gli operatori dovranno pertanto adottare il linguaggio comune previsto dalla TC-ACN per descrivere e classificare gli incidenti, superando eventuali lacune interne nel processo di gestione degli eventi di sicurezza.
La TC-ACN si struttura in quattro categorie principali: la Baseline Characterization (BC), il Threat Type (TT), il Threat Actor (TA) e l’Additional Context (AC).
Ogni categoria svolge un ruolo cruciale nel fornire una visione completa e articolata dell’incidente. La Baseline Characterization consente di definire i confini geografici dell’incidente, la sua portata e gli eventuali danni subiti. Il Threat Type consente di individuare, dal punto di vista tecnico, la natura dell’incidente, le tecniche dell’attacco e le vulnerabilità sfruttate. Il Threat Actor consente di identificare l’autore dell’attacco e le eventuali responsabilità (esterne e/o interne all’organizzazione attaccata). Da ultimo, l’Additional Context permette di esaminare elementi ulteriori utili a valutare l’incidente nel suo complesso e definire remediation plan efficaci. Questo approccio dettagliato consente di comunicare non solo gli aspetti tecnici degli incidenti, ma anche gli elementi contestuali che potrebbero influire sulle strategie di difesa e di risposta agli attacchi. La TC-ACN utilizza un approccio basato su vettori che descrivono in dettaglio le tipologie di minacce, le origini, le tecniche e le motivazioni degli attacchi, nonché i relativi impatti.
Rispetto alla tassonomia elaborata dall’ENISA, che offriva una classificazione degli incidenti in 11 categorie con 32 esempi di incidenti, la TC-ACN offre un livello di granularità maggiore, consentendo agli operatori di descrivere gli attacchi cyber in modo più dettagliato.
3. L’Impatto della TC-ACN sulla NIS2 e sul Regolamento DORA
La TC-ACN avrà un impatto significativamente positivo sugli operatori tenuti ad adeguarsi alla Direttiva NIS2 e al Regolamento DORA agevolandoli nell’attività di segnalazione tempestiva degli incidenti.
Si ricorda che la Direttiva NIS2, recepita in Italia con il D.Lgs. n. 138/2024, ha esteso l’ambito di applicazione della precedente Direttiva NIS1, rivolgendosi anche ai soggetti operanti nei settori ICT e delle infrastrutture digitali, dei servizi TIC. Il Regolamento DORA, invece, impone gli stessi obblighi di segnalazione agli istituti finanziari, alle imprese di assicurazione e riassicurazione e ai loro fornitori di servizi ICT.
In questo contesto, la TC-ACN faciliterà la comunicazione degli incidenti informatici. consentendo agli operatori di classificare e descrivere gli incidenti con maggiore dettaglio, inclusi elementi di contesto, impatto e obiettivi dell’attacco. Inoltre, l’uso dei vettori e dei predicati consentirà di comunicare in modo più preciso le caratteristiche e la gravità degli incidenti, semplificando le notifiche agli enti competenti come l’ACN e il CSIRT Italia.
La TC-ACN rappresenta, pertanto, un “architrave metodologico” per la corretta classificazione e gestione degli incidenti, nonché per l’implementazione di politiche e strategie di prevenzione e risposta agli attacchi informatici più performanti.
Avv. Simona Lanna e Dott.ssa Lucrezia Uva