PA Training – NIS2
Livello 1

LEZIONE 1 – IL CONTESTO NORMATIVO
Il contesto normativo della cybersicurezza si è evoluto in tre fasi: una prima fase frammentata (pre-2012), il coordinamento nazionale avviato con la Legge 133/2012 e, infine, la creazione dell’Agenzia per la Cybersicurezza Nazionale nel 2021. La Direttiva NIS2, in vigore dal 2024, amplia il perimetro di applicazione e rafforza gli obblighi per le Pubbliche Amministrazioni, imponendo misure più stringenti di gestione del rischio, responsabilità più definite per dirigenti e amministratori e requisiti di conformità più severi.

LEZIONE 2 – LA DIRETTIVA NIS2 (I PARTE)
La Direttiva NIS2 dell’Unione Europea aggiorna il quadro normativo sulla cybersicurezza per superare le criticità della normativa del 2016. Punta a uniformare le misure tra gli Stati membri, riducendo la frammentazione e rafforzando la resilienza informatica. Introduce nuove categorie di soggetti regolamentati, distinti in essenziali e importanti, e impone obblighi più stringenti in materia di gestione del rischio, notifica degli incidenti e attività di supervisione.

LEZIONE 4 – LA DIRETTIVA NIS2 (III PARTE)
La Direttiva NIS2 dell’Unione Europea promuove un approccio multi-rischio, includendo rischi fisici, umani e tecnologici. Introduce obblighi di notifica per gli incidenti significativi entro 24 e 72 ore e un quadro sanzionatorio dettagliato: fino a 10 milioni di euro o il 2% del fatturato per i soggetti essenziali, e fino a 7 milioni o l’1,4% per quelli importanti. L’obiettivo è rafforzare consapevolezza, preparazione e resilienza. Il regime sanzionatorio per le Pubbliche Amministrazioni è approfondito in una lezione dedicata agli allegati 3 e 4 del decreto di recepimento italiano.

LEZIONE 5 – IL D.LGS. 138 DEL 4-9-2024
Il Decreto Legislativo 138/2024 recepisce la Direttiva NIS2 introducendo criteri aggiuntivi per l’inclusione nel perimetro e specifiche nazionali per la gestione dei rischi e la divulgazione delle vulnerabilità. Gli organi direttivi e amministrativi sono responsabilizzati nella gestione della cybersecurity e tenuti a percorsi di formazione specifici. In caso di mancato adempimento sono previste sanzioni e, in alcuni casi, sospensioni. Entro il 28 febbraio 2025, i soggetti potenzialmente inclusi nel perimetro devono registrarsi presso l’ACN e adeguarsi agli obblighi entro il 2026.

LEZIONE 7 –IL MODELLO ORGANIZZATIVO
La Direttiva NIS2 introduce un approccio multirischio alla cybersecurity, attribuendo responsabilità dirette agli organi amministrativi e direttivi e definendo ruoli chiave per garantire conformità e sicurezza. Le organizzazioni pubbliche devono quindi: istituire la funzione di NIS2 Compliance Manager; creare un Comitato NIS2 con i dirigenti delle articolazioni operative e il Compliance Manager; assegnare ai Direttori la responsabilità della gestione del rischio cyber; individuare un Business Risk Owner per ciascuna articolazione operativa.

LEZIONE 1 – IL RISCHIO CYBER
La gestione del rischio cyber richiede di valutare e mitigare i rischi derivanti da vulnerabilità digitali sfruttate intenzionalmente da malintenzionati. La riduzione del rischio si basa su due dimensioni: abbassare la probabilità di un attacco attraverso prevenzione e consapevolezza, e limitare l’impatto tramite asset resilienti e best practice tecnologiche. Le strategie di mitigazione includono mitigare, eliminare, accettare o trasferire il rischio, mentre per influenzare i comportamenti umani è essenziale formare e allenare il personale. 

LEZIONE 3 – LA MISURA DEL RISCHIO
La valutazione del rischio consiste nell’analizzare probabilità e impatto di un evento avverso per prendere decisioni consapevoli. Le analisi possono essere qualitative, più semplici ma soggettive, o quantitative, più complesse ma precise e utili per giustificare investimenti in mitigazione. Misurare il rischio aiuta a scegliere le migliori strategie di trattamento, riducendo l’incertezza e superando le distorsioni legate alla percezione personale.

LEZIONE 4 – I CONTROLLI DI SICUREZZA
La gestione degli incidenti di sicurezza si basa sull’analisi dei log generati dalle infrastrutture digitali per identificare e prevenire situazioni critiche. Il Security Operations Center (SOC) elabora gli allarmi attraverso un flusso operativo strutturato. L’uso dell’Intelligenza Artificiale (AI) aiuta a ridurre i falsi positivi, migliorando l’efficienza operativa. Gli incidenti vengono valutati in base a gravità e impatto, utilizzando una matrice di criticità per pianificare le risposte e, nei casi più gravi, attivare un’escalation ai vertici dell’organizzazione. L’analisi forense finale consente di trarre lesson learned per prevenire il ripetersi di eventi simili in futuro.

LEZIONE 1 – LA DINAMICA DI UN ATTACCO
La dinamica del rischio cyber segue un modello in cui una minaccia sfrutta un vettore e una tecnica per colpire una vulnerabilità, generando un danno. Comprendere minacce, vettori e tecniche è cruciale: le minacce spaziano da singoli a organizzazioni complesse; i vettori includono email, app malevole o botnet; le tecniche variano dal phishing al malware. La mail è il vettore più comune, mentre le botnet, composte da dispositivi compromessi, sono usate per attacchi massivi come il DDoS. La consapevolezza umana è essenziale per mitigare i rischi, soprattutto in un contesto in cui l’AI rende gli attacchi più sofisticati. 

LEZIONE 2 – LE PRINCIPALI TECNICHE DI ATTACCO
Le tecniche di attacco cyber includono malware, sfruttamento di vulnerabilità e attacchi Distributed Denial of Service (DDoS). I malware, compresi gli zero-day, sfruttano vulnerabilità sconosciute, mentre le vulnerabilità esposte su Internet consentono di sottrarre dati e ottenere accessi privilegiati, spesso attraverso il social engineering. I DDoS sovraccaricano infrastrutture o applicazioni, rendendole inservibili. L’uso dell’AI generativa rende questi attacchi sempre più sofisticati, richiedendo contromisure avanzate.

LEZIONE 4 – GLI INCIDENTI DI SICUREZZA
La gestione degli incidenti di sicurezza si basa sull’analisi dei log prodotti dalle infrastrutture digitali, utilizzati per identificare e prevenire situazioni critiche. Il Security Operation Center (SOC) processa allarmi attraverso un flusso operativo articolato. L’uso dell’Intelligenza Artificiale riduce i falsi positivi, migliorando l’efficienza. Gli incidenti sono valutati in base a gravità e impatto, utilizzando una matrice di criticità per pianificare le risposte e, in casi gravi, attivare il coinvolgimento dei vertici dell’organizzazione. L’analisi forense finale fornisce “lessons learned” per prevenire future occorrenze. 

LEZIONE 1 – TRUFFA DEL CAPO
Un cyber criminale compromette o falsifica la mail di un dirigente apicale o di un altro membro di un organo direttivo e invia un’email urgente a un dirigente finanziario, ordinando un bonifico di milioni di euro verso un conto estero.

LEZIONE 3 – ATTACCO ALLA SUPPLY CHAIN
Un fornitore di servizi cloud utilizzato dall’amministrazione pubblica subisce un attacco. Gli hacker usano le sue credenziali per accedere ai dati riservati dei dirigenti apicali dell’organizzazione e dei cittadini.

LEZIONE 4 – DATA BREACH
Un attacco mirato sottrae dati finanziari e personali dei membri degli organi di amministrazione e direttivi. La stampa ne viene a conoscenza e l’amministrazione subisce un danno reputazionale, oltre ai rischi per mancata conformità alle direttive NIS2 e al GDPR.