La valutazione del rischio posto alla sicurezza dei sistemi informativi e di rete è un documento obbligatorio dell’Appendice C e richiede approvazione degli organi ai sensi di ID.RA-05 punto 3. Questo documento deve dimostrare come il soggetto identifica scenari di rischio cyber, valuta impatto/probabilità e giustifica le scelte di controllo risk-based.
Punti chiave
- La valutazione del rischio non è un allegato opzionale: è un documento baseline soggetto ad approvazione.
- La guida ACN collega in modo ricorrente molte clausole attuative agli esiti di ID.RA-05.
- Una valutazione difendibile deve collegare metodologia, perimetro, assunzioni e scelte di controllo.
- Un template/workbook riusabile riduce incoerenze tra funzioni aziendali e fornitori.
Cosa deve mostrare una valutazione ID.RA-05 approvabile
| Obiettivo | Output minimo | Evidenze |
|---|---|---|
| Chiarezza perimetro | Sistemi/servizi in perimetro e dipendenze | Registro perimetro e riferimento inventari |
| Trasparenza modello rischio | Criteri definiti per probabilità/impatto | Sezione metodologia e regole di scoring |
| Copertura scenari | Scenari minaccia/failure rilevanti | Voci del risk register |
| Tracciabilità decisionale | Collegamento rischio-priorità controlli | Mapping rischio-controllo e approvazioni |
Struttura template consigliata
1. Finalità, base normativa e perimetro
Dichiarare riferimento ID.RA-05, soggetti/servizi coperti e confini dell’analisi.
2. Metodologia e modello di scoring
Definire scale, soglie di rischio e assunzioni per garantire coerenza valutativa.
3. Contesto asset e dipendenze
Mappare sistemi critici, flussi dati, fornitori e infrastrutture di supporto.
4. Analisi scenari e rischio inerente
Valutare scenari cyber realistici prima dei controlli in essere.
5. Controlli esistenti e rischio residuo
Stimare efficacia dei controlli e esposizione residua.
6. Output di prioritizzazione
Classificare i rischi prioritari e definire priorità di trattamento.
7. Ciclo approvazione e riesame
Inserire blocco approvativo formale e cadenza di rivalutazione.
Gestione clausole risk-based: errori ricorrenti
- Clausole risk-based giustificate con frasi generiche.
- Riduzioni di perimetro senza criteri oggettivi documentati.
- Rischio fornitori trattato separatamente e non integrato.
- Accettazione rischio residuo senza approvatore accountable.
- Esiti valutazione non collegati a piano trattamento/miglioramento.
Checklist hardening in 20 giorni
- Confermare inventario sistemi/servizi critici e ownership.
- Standardizzare modello di scoring rischio tra le funzioni.
- Riesaminare scenari top-risk con assunzioni ed evidenze esplicite.
- Collegare ogni rischio alto a controlli pianificati e owner.
- Documentare rischi residui accettati con tracciamento approvativo.
- Trasmettere la valutazione finale agli organi per approvazione.
FAQ
La valutazione ID.RA-05 è un documento da approvare dagli organi?
Sì. L’Appendice C elenca esplicitamente la valutazione del rischio con riferimento ID.RA-05 punto 3.
Possiamo usare solo rating qualitativi?
Sì, se la metodologia è coerente e i criteri decisionali sono espliciti. In pratica, modelli misti (qualitativo + indicatori quantitativi) aumentano la tracciabilità.
Con quale frequenza va aggiornata la valutazione?
Almeno secondo la cadenza di riesame definita e prima, quando cambiano in modo significativo esposizione, architettura o contesto operativo.
Conclusione e prossimi passi
Un documento ID.RA-05 solido è il motore decisionale dell’intero stack documentale NIS. La priorità è garantire coerenza metodologica, tracciabilità rischio-controllo e prontezza approvativa per rendere difendibili i piani downstream.
Letture correlate
- Guida master ai documenti obbligatori NIS2: cosa va approvato dagli organi e cosa preparare subito
- Piano NIS2 di trattamento del rischio: guida pratica per approvazione ID.RA-06
- Controlli NIS2 di Identificazione (ID): Inventari, Valutazione del Rischio e Ciclo di Miglioramento
- Servizio Aegister NIS2 Compliance
- Assessment NIS2 Gratuito