Il NIST USA (National Institute of Standards and Technology) si è attivato di recente (lo scorso 18 febbraio) con una Request for Information (RFI) per una revisione del suo noto Cybersecurity Framework (CSF) e anche per raccogliere informazioni e commenti sull’impostazione finora seguita con riferimento alle prescrizioni NIST per la Supply Chain Security. Queste ultime fanno riferimento all’iniziativa lanciata lo scorso agosto, la National Initiative for Improving Cybersecurity in Supply Chains (NIICS). I commenti dovranno pervenire entro il 25 aprile 2022.
Il metodo della collaborazione pubblico privata (con riferimento ai requisiti di cybersecurity) si sposa bene con un indirizzo che è stato finora in gran parte volontario. Il CSF, infatti, è stato ampiamente utilizzato nel settore privato USA, soprattutto dalle organizzazioni più grandi e strutturate, fin dalla sua prima introduzione nel 2014, pur vigendo un regime di non obbligatorietà. Già nel suo aggiornamento del 2018, il framework (CSF V.1.1) includeva un approccio più ampio, comprensivo sia di aspetti nuovi di identity management, sia anche del tema della supply chain cybersecurity.
Tutto lo sviluppo del CSF del NIST ha visto una stretta collaborazione con gli stakeholder (tramite workshop pubblici e richieste di commenti sulle versioni draft del documento), tanto da essere citato come un modello ideale di collaborazione pubblico privato. Nello sviluppo delle varie parti, compresa quella sulla supply chain (qui il programma NIST Cybersecurity Supply Chain Risk Management, C-SCRM), l’istituto ha collaborato con altre agenzie coinvolte sui temi della cybersecurity, ad esempio, quelle federali USA impegnate nella protezione degli enti pubblici (spesso presi di mira dagli attaccanti). Sono così stati incorporati la maggior parte degli standard della cybersecurity e molti Paesi hanno utilizzato questo framework per lo sviluppo delle proprie norme riguardanti la sicurezza delle infrastrutture critiche nazionali.
L’iniziativa NIST per la sicurezza della supply chain
La NIICS (National Initiative for Improving Cybersecurity in Supply Chains) è stata lanciata nel 2021 per aiutare le aziende a ridurre i rischi legati alla supply chain, che nel corso dello scorso anno hanno portato a una serie di eventi infausti. Le indicazioni contenute sono linee guida per individuare metodi, tecniche, tecnologie e fornitori in grado di aiutare a questo scopo.
La NIICS era stata anticipata, nel febbraio 2021, da un precedente Report (“Key Practices in Cyber Supply Chain Risk Management: Observations from Industry” NISTIR 8276) che forniva una serie di indicazioni pratiche su come implementare il programma NIST C-SCRM. Come riporta l’articolo dello studio legale Steptoe (“NIST Gives Eight Keys to Better Lock (Back)Doors in Supply Chain Management”, di marzo 2021), può essere utile rileggere questi 8 principi chiave, oggi di grande attualità per chiunque si occupi del tema della riduzione dei rischi legati alla supply chain:
#1. Integrare un programma C-SCRM in tutta l’organizzazione.
#2. Stabilire un programma C-SCRM in modo formale.
#3. Conoscere e gestire componenti e fornitori critici.
#4. Avere visibilità in real time sul funzionamento delle catene di fornitura dell’azienda.
#5. Collaborare attivamente con i fornitori critici (ad esempio, condividendo standard e misure di cybersecurity).
#6. Includere i fornitori chiave nelle attività predisposte per testare e migliorare la resilienza cyber dell’azienda (es. esercitazioni comuni, sviluppo in comune di piani di incident response, business continuity, disaster recovery).
#7. Controllare, monitorare la situazione con riferimento anche alle terze parti. I fornitori vanno monitorati continuativamente da una serie di punti di vista (security, privacy, situazione finanziaria, rischio geopolitico). Per farlo, un’azienda può decider di utilizzare una serie di meccanismi (e.g., self-assessment, attestazione del fornitore, richiesta di certificazioni, visite e audit in loco, soluzioni di cybersecurity rating fornite da terze parti, ecc.).
#8. Sviluppare un piano che copra l’intero “ciclo di vita” dei servizi. Come in generale per tutto quello che è la gestione del rischio collegato alla supply chain, anche per il rischio cyber delle terze parti, le aziende devono valutare tutte le opzioni per ridurre qualsiasi impatto.
Cosa cambia per le infrastrutture critiche europee?
A differenza dell’approccio volontario vigente (per ora) negli USA, in Europa l’agenzia ENISA ha adottato, per il rischio di cybersecurity collegato alle supply chain, una serie di raccomandazioni che sono molto simili a quelle del NIST, con la differenza però che almeno per le infrastrutture critiche (soggette alla Direttiva NIS) valgono principi di obbligatorietà.
Come noto, gli operatori dei settori critici devono oggi attrezzarsi su più fronti nel contrasto alle minacce cyber (gestione di incidenti, notifiche, risposta, ..). Con la prevista Direttiva NIS 2 (che dovrebbe essere approvata a livello UE entro quest’anno, e quindi diventare legge in Italia entro il 2024) è stato detto che molti requisiti di cybersecurity saranno estesi alle supply chain. Arriveranno specifiche più stringenti per aspetti come la preparazione a un eventuale incidente, la notifica e la risposta, regole che andranno necessariamente estese all’ecosistema della supply chain, per poter garantire l’efficacia delle misure messe in campo.
A cura di:
Elena Vaciago, @evaciago