Cyber Risk Assessment, VA e Pen Test per la gestione del rischio e la compliance NIS 2

L’Art. 24, §2.f del D.Lgs. 138/2024 richiede alle organizzazioni di adottare procedure strutturate e verifiche periodiche per valutare l’efficacia delle misure di gestione del rischio informatico. In questo contesto, Cyber Risk Assessment, Vulnerability Assessment (VA) e Penetration Test (PT) rappresentano un insieme integrato di strumenti che consente di soddisfare pienamente tale requisito, trasformando le disposizioni normative in attività tecniche misurabili e ripetibili.

Il Cyber Risk Assessment offre una visione strategica del rischio: analizza asset, minacce, impatti e controlli, definendo priorità e livelli di esposizione.
VA e PT completano questa analisi con evidenze tecniche puntuali, permettendo di:

• verificare l’efficacia reale dei controlli di sicurezza esistenti;
• identificare vulnerabilità, configurazioni errate e superfici di attacco prima che possano essere sfruttate;
• valutare l’impatto potenziale di un attacco simulato e la resilienza dei sistemi;
• raccogliere evidenze tecniche utili alle attività di remediation;
• integrare i risultati nei Piani di gestione del rischio, Incident Response e continuità operativa.

Mentre il Cyber Risk Assessment fornisce la cornice strategica della gestione del rischio, VA e PT introducono una verifica pratica e basata su evidenze, perfettamente in linea con lo spirito della NIS2: un modello di sicurezza fondato su prevenzione, consapevolezza e miglioramento continuo, non più su sole valutazioni documentali.

Cyber Risk Assessment e Vulnerability Assessment (VA) sono due attività complementari che operano su livelli differenti della sicurezza aziendale. Il Cyber Risk Assessment offre una visione strategica del rischio, mentre il VA restituisce un’evidenza tecnica puntuale delle vulnerabilità presenti su sistemi, applicazioni e infrastrutture. Insieme rappresentano il fondamento di una gestione continua, misurabile e strutturata del rischio informatico.

Il Cyber Risk Assessment analizza il rischio a livello organizzativo. Non si concentra sulle vulnerabilità tecniche, ma sulla combinazione di asset critici, minacce, probabilità, impatti operativi ed economici, tenendo conto dei controlli esistenti. Il suo output definisce:

• priorità di rischio basate sul valore del business e sulla criticità dei processi;
• esposizione dell’organizzazione in relazione a minacce e scenari pertinenti;
• gap tra misure di sicurezza richieste (es. NIS2, ISO/IEC 27001) e misure effettivamente implementate;
• roadmap strategica di riduzione del rischio e allocazione delle risorse.

È quindi uno strumento di governance, utile al management per orientare budget, investimenti e decisioni operative.

Il Vulnerability Assessment, invece, fornisce una fotografia tecnica dello stato di sicurezza dei sistemi.
Identifica e misura le vulnerabilità presenti su infrastrutture IT, componenti OT, applicazioni, sistemi cloud e servizi esposti, attraverso motori di scansione aggiornati e metodologie standardizzate.

I suoi contributi principali sono:

• Inventario tecnico delle vulnerabilità rilevate, con dettaglio di configurazioni non sicure, patch mancanti, software obsoleti, porte/servizi esposti e asset non documentati.

• Classificazione della severità delle vulnerabilità, tramite punteggi standardizzati (es. CVSS) e descrizione della relativa esposizione tecnica.

Il contributo di entrambi è quindi complementare: il Cyber Risk Assessment definisce dove concentrare gli sforzi di protezione; il VA mostra quali vulnerabilità richiedono intervento immediato.

Combinati in un ciclo periodico, permettono di adottare un modello di sicurezza realmente proattivo, misurabile e allineato alle aspettative del quadro normativo NIS2.

Se il VA risponde alla domanda “dove siamo vulnerabili?”, il Penetration Test risponde a “cosa può succedere se qualcuno ci attacca?”.

Il PT simula attacchi reali per valutare come le vulnerabilità possano essere sfruttate e per misurare l’effettiva efficacia delle difese. Permette inoltre di identificare gap tecnici, organizzativi e procedurali che gli strumenti automatici non rileverebbero.

I benefici principali includono:

• valutazione realistica del rischio e delle contromisure;
• individuazione di lacune critiche e percorsi di attacco complessi;
• rafforzamento delle difese grazie a indicazioni operative mirate.

In questo modo, il Penetration Test permette non solo verifica la presenza di misure di sicurezza adeguate al rischio, ma il loro funzionamento effettivo.

Anche in ambito OT il PT è possibile, ma richiede una pianificazione rigorosa e strumenti non intrusivi per salvaguardare la continuità delle operations.

Il Vulnerability Assessment identifica e misura le vulnerabilità presenti nei sistemi; il Penetration Test (PenTest e/o PT) , invece, verifica se e in che misura tali vulnerabilità possano essere effettivamente sfruttate e quali impatti potrebbero produrre.

Attraverso tecniche e metodologie di attacco controllato, il PT consente di valutare il comportamento reale delle difese, la capacità dei controlli di rilevare e contenere un tentativo di intrusione e l’esistenza di percorsi di compromissione non immediatamente evidenti.

Nello specifico, il PT permette di:

• ricostruire possibili catene di attacco e movimenti laterali che un VA non può simulare;
• individuare debolezze tecniche e configurazioni errate non rilevabili tramite scansioni automatiche;
• validare l’efficacia dei controlli di sicurezza, inclusi monitoraggio, segmentazione, autenticazione e gestione delle identità;
• produrre evidenze tecniche utili per la Remediation e per la verifica sostanziale delle misure richieste dalla NIS2.

In ambito OT il Penetration Test è eseguibile, ma richiede metodologie non intrusive e una pianificazione rigorosa per garantire la continuità operativa dei sistemi industriali.

La gestione efficace di attività come Cyber Risk Assessment, Vulnerability Assessment e Penetration Test richiede competenze specialistiche, strumenti avanzati e metodologie consolidate, soprattutto quando l’analisi coinvolge ambienti ibridi IT/OT o sistemi critici di produzione. Queste capacità non sempre sono disponibili internamente, in particolare nelle PMI.

Affidarsi a un Managed Security Service Provider (MSSP) consente di:

• accedere a competenze aggiornate in ambito risk management, analisi delle vulnerabilità e tecniche di attacco controllato;
• utilizzare strumenti professionali di discovery, analisi e testing, spesso non presenti nei team interni;
• ottenere valutazioni oggettive e indipendenti, basate su metriche e standard riconosciuti;
• ridurre il carico operativo sui team aziendali, che possono concentrarsi sulle attività core.

In AESSE Soluzioni Informatiche operiamo come MSSP guidando le aziende in un percorso continuo di resilienza: supportiamo la gestione del rischio, la verifica delle difese e il miglioramento costante della postura di sicurezza, assicurando continuità tra analisi preventiva, test pratici e conformità ai requisiti del D. Lgs. 138/2024.

Abbiamo supportato un’importante azienda alimentare specializzata nella produzione di chips e snack salati, caratterizzata da un processo altamente automatizzato che copre tutte le fasi: dalla selezione e preparazione della materia prima, fino alla frittura, al controllo qualità ottico e al confezionamento ad alta velocità.

L’azienda, rientrante tra gli operatori importanti NIS2, necessitava di una valutazione strutturata della postura di sicurezza del proprio ambiente IT/OT e di un percorso di adeguamento ai requisiti del D. Lgs. 138/2024.

Il percorso ha previsto un Cyber Risk Assessment completo che ha permesso di:

• ricostruire in modo accurato la mappatura degli asset, evidenziando una visibilità limitata su dispositivi OT e sottoreti di reparto;
• mappare le sottoreti dei macchinari raggiungibili dalle reti principali;
• rilevare una segmentazione insufficiente rispetto al Purdue Model, con assenza di una DMZ industriale strutturata;
• evidenziare la mancanza di strumenti di controllo e filtraggio del traffico OT;
• evidenziare la presenza dispositivi legacy non isolati e non aggiornabili;
• rilevare configurazioni di sicurezza non adeguate su alcuni dispositivi industriali;
• analizzare gli scenari di rischio più rilevanti, tra cui interruzione dei cicli di lavorazione, alterazione dei parametri di frittura, compromissione dei sistemi di supervisione e potenziali impatti sulla sicurezza alimentare.

Il lavoro è stato successivamente approfondito con attività di Vulnerability Assessment che ha confermato la presenza di vulnerabilità sfruttabili e criticità tecniche da gestire in via prioritaria.

Le evidenze raccolte hanno consentito di definire un piano di mitigazione strutturato, che ha previsto:

• il ridisegno della rete industriale con separazione tra IT, OT e DMZ e l’introduzione di firewall industriali dedicati;
• l’attivazione di servizi di monitoraggio continuo e di Anomaly Detection in ambito OT per identificare variazioni anomale nei flussi e nei comportamenti dei dispositivi;
• il rafforzamento delle protezioni su endpoint e posta elettronica per ridurre i rischi di compromissione iniziale;
• interventi di hardening e standardizzazione delle configurazioni su PLC, HMI e apparati di rete..

L’integrazione di Cyber Risk Assessment e Vulnerability Assessment e verifiche tecniche mirate ha consentito all’azienda di ottenere una visione completa del proprio livello di esposizione, trasformare criticità e vulnerabilità non documentate in rischi misurabili e avviare un percorso di mitigazione allineato ai requisiti NIS2 e alle esigenze operative di un ambiente produttivo ad alta automazione.