Maturità cyber: dalla teoria alla pratica con il Framework nazionale italiano

Per Acn valutare il livello di maturità cyber è un passo fondamentale

In un contesto digitale sempre più complesso e minacciato, le organizzazioni italiane devono adottare strategie di cybersicurezza robuste per proteggere asset critici e garantire la continuità operativa.

L’Agenzia per la Cybersicurezza Nazionale (Acn), autorità italiana competente per la sicurezza informatica, enfatizza l’importanza di valutare il livello di maturità cyber come passo fondamentale per delineare un profilo corrente e identificare aree di miglioramento.

L’Acn sottolinea l’importanza di una valutazione strutturata del livello di maturità cyber per le organizzazioni. Secondo l’Acn, questa fase è essenziale nel processo di definizione, attivazione e monitoraggio di una strategia di cybersicurezza, permettendo di tracciare il profilo corrente e identificare lacune nei sistemi di difesa.

Questo approccio, supportato da modelli riconosciuti, coinvolge la raccolta dati, l’analisi per livelli di maturità e l’interpretazione dei risultati, fornendo una base autorevole per decisioni informate e compliance normativa.

Ecco i principi generali di questa valutazione, basati sulle linee guida ACN, e come applicare la metodologia del Framework Nazionale per la Cybersecurity e la Data Protection (FNCDP), un modello misto suggerito dall’ACN per la sua flessibilità e completezza.

Questo approccio può supportare imprese di grandi dimensioni, allineandosi alle normative NIS e alla versione aggiornata del Framework (2.1, 2025).

L’obiettivo consiste nel fornire uno strumento divulgativo e operativo per professionisti e decisori, favorendo una governance cyber efficace e proattiva.

I modelli per valutare la maturità cyber

La valutazione della maturità cyber misura l’efficacia delle misure di sicurezza adottate dall’organizzazione.

Essa fornisce una rappresentazione del suo stato attuale rispetto a varie
aree di cybersicurezza, come governance, identificazione, protezione, rilevamento, risposta e recupero.

Per ciascuna area, si assegna un livello di maturità, espresso in termini numerici o descrittivi, per evidenziare punti forti e deboli. Questo approccio aiuta a prioritizzare interventi su lacune specifiche.

I modelli di maturità variano in base a fattori come la dimensione dell’organizzazione, il settore e gli obiettivi.

Si distinguono in:

• modelli qualitativi: semplici e adatti a piccole-medie imprese, richiedono poche risorse e considerano aspetti soggettivi come la cultura cyber. Un esempio è il tool gratuito di Enisa per Pmi;
• modelli quantitativi: più complessi, basati su metriche oggettive, ideali per grandi organizzazioni. Per esempio, il Data Management Maturity Model;
• modelli misti: combinano elementi qualitativi e quantitativi per un’analisi completa, anche se richiedono più sforzi. Tra questi, il Framework Nazionale per la Cybersecurity e la Data Protection sviluppato da CIS-Sapienza e CINI, e il NIST CSF 2.0.

Indipendentemente dal modello, le fasi comuni sono la raccolta informazioni, l’analisi per assegnare livelli di maturità e l’interpretazione dei risultati.

Fase 1: raccolta delle informazioni

Questa fase iniziale è cruciale e coinvolge stakeholder interni ed esterni per comprendere ruoli e processi.

Gli strumenti variano, ma spesso si combinano per una vista completa:

• questionari: domande chiuse su aree cyber, sviluppate e somministrate per raccogliere dati rapidi e attendibili;
• analisi documentale: revisione di report, policy e contratti per verificare pratiche reali;
• interviste e focus group: discussioni dirette con domande aperte per approfondire prospettive;
• osservazione diretta: valutazione in loco per catturare dinamiche operative.

Fase 2: analisi e assegnazione livelli di maturità

I dati raccolti vengono organizzati e mappati su una scala predefinita, come quella del NIST CSF 2.0 con quattro livelli (da parziale ad adattivo).

Un altro esempio può essere fornito dalla scala ISO/IEC 33001:2015 “Information technology – process assessment – concept and terminology” o il Capability Maturity Model Integration (CMMI), che prevedono cinque livelli di maturità.

Fase 3: interpretazione e presentazione

I risultati sono interpretati contestualizzando con il profilo organizzativo e presentati tramite report, grafici o viste aggregate.

Includono scopo, metodologia, panoramica organizzativa, punteggi per area, sintesi e confronti con benchmark settoriali.

Questa valutazione definisce il profilo corrente, essenziale per un profilo obiettivo realistico.

Vediamo come utilizzare la metodologia del Framework Nazionale per la Cybersecurity e la Data Protection, tra quelle suggerite dall’Acn per una valutazione mista e completa.

La “copertura desiderata” (e il relativo “grado di copertura” nella fase di misura) rappresenta tutti i livelli intermedi in step di 0.2: da 0 (nullo, non implementata) a 1 (completo, pienamente implementata), passando per 0.2 (molto limitato), 0.4 (limitato), 0.6 (parziale) e 0.8 (ampio).

Questa scala è definita nel documento originale (v1.0, settembre 2021) per esprimere in modo quantitativo e coerente lo stato di implementazione dei controlli.

Dal sito ufficiale è disponibile una nuova edizione 2025 (v2.1), allineata con NIST CSF 2.0, ma non sono menzionati cambiamenti espliciti a questa scala. La scala può essere utilizzata in modo flessibile, ma sempre in multipli di 0.2 per mantenere la coerenza qualitativa.

Esempio pratico ipotetico: il caso Alfa

Supponianmo che un’azienda di grandi dimensioni (denominata “Alfa S.p.A.”), che opera in Italia, intende valutare la propria postura di sicurezza informatica. L’azienda gestisce dati sensibili: si concentra pertanto su rischi come attacchi phishing, data breach e compliance GDPR.

Alfa è stata qualificata come soggetto “importante” con comunicazione ACN. Quindi, deve adottare tutte le misure e specifiche di base previste dagli allegati alla Determinazione ACN 164179 del 14 aprile 2025, allineate con la versione 2.1 del Framework Nazionale.

Per comodità, nell’esempio è riportata una subcategory per funzione.

L’esempio si basa sui principi del documento (versione 1.0, settembre 2021), adattati in modo semplificato e aggiornati alla versione 2.1 del 2025. Sono impiegate tabelle per illustrare i concetti chiave, come profili, questionari e metriche.

In un assessment reale è opportuno coinvolgere un assessor qualificato e tool come fogli Excel per i calcoli.

Fase 1: contestualizzazione

Questa fase adatta il Framework al contesto specifico dell’azienda: si selezionano subcategory rilevanti dal Framework (che include funzioni come Govern, Identify, Protect, Detect, Respond, Recover), combinando prototipi (per esempio, uno generico per organizzazioni complesse e uno per GDPR).

Per ciascuna subcategory selezionata si assegnano:

• priorità: alta (critica), media (importante), bassa (opzionale).
• maturità target: basata su scala CMMI (1: iniziale, 2: ripetibile, 3: definito, 4: gestito, 5: ottimizzato);
• copertura desiderata: da 0 (non implementata) a 1 (pienamente implementata), in step di 0.2.

Nel nostro esempio, l’azienda Alfa seleziona subcategory chiave, una per funzione, da Govern, Identify, Protect, Detect, Respond e Recover: combina un prototipo generico (focus su protezione dati) e uno per Gdpr (focus su privacy). Il profilo target è creato come in Figura 1.

Dettagli Aggiuntivi

La priorità può essere assegnata considerando rischi specifici (per esempio, “alta” per “gestione del rischio”, poiché Alfa S.p.A., nell’esempio, è qualificata come soggetto “importante” da Acn ai fini della Direttiva NIS 2).

Se una subcategory che è “obbligatoria” nei prototipi deve essere inclusa: qui il profilo target definisce l’obiettivo ideale, l’azienda mira a una copertura del 100% per i controlli critici entro 12 mesi.

Fase 2: misura

Si crea un questionario basato sul Profilo Target e lo si somministra tramite interviste (per esempio, al team IT di Alfa S.p.A.): per ogni controllo associato a una subcategory si valutano:

• grado di copertura: scala da 0 (nullo) a 1 (completo), in step di 0.2;
• livello di maturità: scala CMMI 1-5;
• evidenze: note, documenti o prove.

Nel nostro esempio di Alfa S.p.A., l’assessor intervista il responsabile IT: ecco un estratto del questionario per controlli associati alle subcategory selezionate. Dopo le interviste si consolida il profilo attuale.

Fase 3: valutazione

Si confronta il profilo attuale con quello target, calcolando metriche per ambiti (per esempio, “Framework” per vista generale, “Risk Management” per rischi specifici).

Metriche principali:

• score (copertura): somma pesata (formula: score(e) = Σ (copertura_attuale * peso) / Σ pesi, dove e è un elemento/subcategory);
• maturità media: media dei livelli CMMI;
• gap: differenza tra target e attuale.

Nel nostro esempio di Alfa S.p.A., valutiamo nell’ambito “Framework”: usiamo pesi (da matrice W: 1 per controlli diretti, 0.5 per indiretti). Calcoliamo score per subcategory.

Calcolo esempio per score di GV.RM-03: si suppone che vi siano 2 controlli con pesi 1 e 0.5: coperture attuali 0.6 e 0.7. Score = (0.61 + 0.70.5) / (1+0.5) = 0.95 / 1.5 ≈ 0.63 (arrotondato a 0.6 nella tabella per semplicità).

Dettagli aggiuntivi

Analisi Gap: Alfa S.p.A. presenta gap elevati in “Govern” e “Detect” (bassa maturità nel rischio e monitoraggio): si suggerisce priorità per piani aggiornati.

Proiezione: proietta su ambito “Risk Management”: score basso per rischi data breach (0.5), alto per compliance (0.8).

Output: report con roadmap (es. si suggerisce di definire un plano di gestione rischi entro 3 mesi per ridurre il gap in GV.RM-03).

Un pilastro per una governance efficace della sicurezza

La valutazione della maturità cyber, come delineata dall’ACN e applicata tramite metodologie come il FNCDP, rappresenta un pilastro per una governance efficace della sicurezza informatica.

Attraverso fasi strutturate di contestualizzazione, misura e valutazione, le organizzazioni possono non solo identificare il profilo corrente, ma anche tracciare percorsi di miglioramento concreti e misurabili.

Nel contesto normativo italiano, con obblighi crescenti per soggetti “essenziali” e “importanti” in perimetro NIS 2, questo approccio favorisce resilienza e compliance, trasformando la cybersicurezza da sfida reattiva a strategia proattiva.

Per le imprese, adottare tali strumenti significa investire in un futuro digitale sicuro, allineato alle best practice nazionali e internazionali.