La Direttiva NIS 2, recepita in Italia con il decreto legislativo n. 138 del 2024, ha introdotto una trasformazione sostanziale nel modo di intendere la sicurezza digitale, spostando l’attenzione dall’adempimento formale alla misurabilità delle prestazioni e alla capacità di dimostrare la resilienza operativa. Questo approccio segna il passaggio da una visione reattiva della sicurezza, centrata sulla gestione delle emergenze, a una prospettiva proattiva, basata sulla prevenzione, sulla definizione di parametri oggettivi e sul monitoraggio continuo dei servizi critici. In tale contesto, la misura DE.CM-01 del Framework Nazionale per la Cybersecurity e la Data Protection versione 2.1, richiamata nelle linee guida sulle specifiche di base pubblicate dall’Agenzia per la Cybersicurezza Nazionale nel 2025, assume un ruolo centrale. Questa misura, inserita nella funzione Detect, rappresenta un punto di svolta nel lessico della sicurezza informatica. Essa introduce una logica nuova: per poter riconoscere un incidente significativo, è necessario innanzitutto definire ciò che costituisce la normalità operativa. Il concetto di “rilevamento” non coincide più con la semplice individuazione di anomalie tecniche o intrusioni, ma con la capacità di misurare le deviazioni rispetto ai livelli di servizio attesi, preventivamente definiti e documentati. Ciò comporta che i livelli di servizio (Service Level, SL), tradizionalmente considerati clausole contrattuali, diventino veri e propri indicatori di sicurezza operativa. Questa evoluzione pone le basi per un legame diretto con la Business Impact Analysis (“BIA”), poiché i livelli di servizio attesi e i relativi accordi (Service Level Agreements, o anche “SLA”) devono essere coerenti con i risultati dell’analisi d’impatto.

Dal gennaio 2026, tutti i soggetti essenziali e importanti compresi nel perimetro della NIS 2 saranno tenuti a notificare al Csirt Italia ogni incidente significativo, ma, è complicato comprendere quando un incidente possa essere qualificato o meno. Le Linee guida dell’ACN chiariscono che non basta rilevare un’anomalia tecnica: è necessario dimostrare di aver preventivamente definito la soglia di tolleranza entro cui un evento può essere considerato fisiologico. La misura DE.CM-01, infatti, impone agli operatori NIS di documentare i livelli di servizio attesi delle proprie attività, così da consentire una rilevazione tempestiva e oggettiva delle deviazioni che possono compromettere la sicurezza o la continuità operativa.

In questa prospettiva, la tecnologia non è più l’unico sensore del rischio. L’elemento determinante diventa la capacità organizzativa di rilevare e misurare scostamenti rispetto agli standard di normalità stabiliti. La subcategoria DE.CM-01, dunque, non introduce un nuovo strumento tecnico, ma un nuovo linguaggio gestionale fondato sulla misurazione e sulla verifica continua. “Rilevare” non significa soltanto accorgersi che qualcosa è accaduto, ma comprendere che qualcosa non sta accadendo come previsto: questa, dunque, appare come notevole distinzione tra un approccio reattivo e uno proattivo alla sicurezza. Per tradurre questa visione in pratica, le organizzazioni devono compiere due passi fondamentali: definire il livello atteso di performance per ciascun servizio critico e monitorare in tempo reale le eventuali deviazioni. Solo attraverso la presenza di parametri di riferimento misurabili un evento può essere interpretato correttamente come segnale d’allarme e non come un semplice disservizio. In assenza di tali riferimenti, qualsiasi dato perde di significato oggettivo e la valutazione dell’incidente resta arbitraria.

La misurabilità diventa, in questo contesto, la condizione necessaria della fiducia. Tradurre la sicurezza in parametri numerici significa rendere trasparente e verificabile la resilienza di un’organizzazione. Definire i livelli di servizio implica decidere tempi accettabili di ripristino, soglie di disponibilità sostenibili e margini di impatto tollerabili. Si tratta di un atto di responsabilità che consente di trasformare la sicurezza da promessa tecnica a funzione di governo. Attraverso tali parametri, le autorità competenti possono valutare la coerenza tra le scelte di rischio e la capacità gestionale dei soggetti NIS.

Al fine di poter attribuire valore concreto alla misurazione, è necessario individuare la fonte dei parametri di riferimento. È qui che interviene la Business Impact Analysis, strumento indispensabile per quantificare gli obiettivi di continuità operativa. La BIA consente di identificare i processi critici, stimare gli impatti potenziali di un’interruzione e tradurre tali risultati in valori operativi, come il Maximum Tolerable Downtime, il Recovery Time Objective e il Recovery Point Objective. Solo integrando questi indicatori nei livelli di servizio e negli SLA si ottiene una sicurezza realmente misurabile, capace di rendere la resilienza dimostrabile e verificabile.

In definitiva, la misura DE.CM-01 rappresenta la maturità del sistema NIS 2, poiché introduce la cultura della misurabilità come fondamento della sicurezza. Essa non si limita a prescrivere nuovi obblighi, ma promuove un cambiamento di paradigma: la sicurezza informatica non è più una condizione astratta, bensì un equilibrio dinamico tra prestazioni, controllo e trasparenza. In questo nuovo scenario, la fiducia si costruisce sui dati e la prevenzione diventa una funzione misurabile, rendendo la protezione dei sistemi digitali non solo più efficace, ma anche più responsabile e verificabile.

Visualizzazioni: 0