Governance dei pagamenti di riscatti ransomware per NIS2 e DORA
Sono le 3:17 di un giorno feriale del 2026. Maria, Responsabile della sicurezza delle informazioni di una piattaforma fintech in forte crescita, viene coinvolta in una riunione di crisi da un messaggio del coordinatore degli analisti SOC: cifratura diffusa confermata, servizi core indisponibili e un gruppo ransomware dichiara di aver esfiltrato 2 TB di dati dei clienti.
Il CEO entra per primo nella chiamata. Seguono la funzione legale. Poi privacy, finanza, comunicazione, l’assicuratore cyber, un fornitore forense e il team delle operazioni cloud. Un portale nel dark web mostra un conto alla rovescia di 48 ore e una richiesta a sette cifre in criptovaluta.
Il CEO pone la domanda che ogni Responsabile della sicurezza delle informazioni teme.
“Possiamo pagare, e chi è autorizzato a decidere?”
La risposta sbagliata è trattarla come un problema di negoziazione. La risposta corretta è trattarla come un problema di governance.
Nel 2026, la governance delle decisioni di pagamento dei riscatti ransomware non è più una scelta tecnica e privata di gestione della crisi. Può essere esaminata da autorità di regolamentazione, auditor, assicuratori, clienti, forze dell’ordine, azionisti e consiglio di amministrazione. Una decisione di pagamento incrocia esposizione a sanzioni, valutazione di una violazione dei dati personali, condizioni dell’assicurazione cyber, obblighi contrattuali, comunicazioni di crisi, conservazione delle evidenze, notifica per fasi NIS2, classificazione degli incidenti DORA, notifica GDPR e miglioramento post-incidente.
Per questo Clarysec consiglia ai clienti di costruire la governance delle decisioni di pagamento dei riscatti ransomware all’interno del SGSI prima dell’incidente. ISO/IEC 27001:2022 fornisce la struttura del sistema di gestione. I controlli ISO/IEC 27002:2022 forniscono il modello operativo. Zenith Blueprint: roadmap in 30 passi per auditor e Zenith Controls: guida alla conformità trasversale aiutano a trasformare tale struttura in evidenze pratiche e verificabili in sede di audit.
Un playbook ransomware che si limita a dire “notificare la funzione legale” non è sufficiente. L’organizzazione deve sapere chi può autorizzare la negoziazione, come viene eseguita la verifica sanzionatoria, quando l’assicuratore deve approvare, come viene documentata la classificazione GDPR, NIS2 e DORA e come vengono protette le evidenze mentre i team di ripristino operano sotto pressione.
Perché le decisioni ad hoc sui pagamenti dei riscatti ransomware falliscono
Una decisione di pagamento di un riscatto ransomware viene spesso descritta come binaria: pagare o non pagare. In realtà, la decisione ha almeno sei livelli:
- L’evento è confermato, contenuto e classificato correttamente?
- Sono coinvolti dati personali, dati regolamentati o l’erogazione di servizi critici?
- L’organizzazione è legalmente autorizzata a comunicare o effettuare transazioni con l’attore della minaccia?
- L’assicurazione cyber richiede preavviso, fornitori approvati, consenso o evidenze specifiche?
- Il pagamento ridurrebbe l’impatto aziendale oppure aumenterebbe il rischio legale, finanziario e reputazionale?
- Chi ha l’autorità di decidere e come viene registrata tale decisione?
Durante un incidente in corso, team non coordinati tendono spesso a muoversi in direzioni diverse. Il CFO può considerare il riscatto come un costo aziendale rispetto a un downtime crescente. La funzione legale vede sanzioni, reati finanziari ed esposizione normativa. Il DPO sta valutando se dati cifrati o esfiltrati generino una violazione dei dati personali soggetta a notifica. La conformità monitora le scadenze di notifica NIS2 e DORA. Il Responsabile della sicurezza delle informazioni cerca di conservare le evidenze mentre ripristina i servizi. Il CEO vuole una raccomandazione prima che scada il timer dell’attaccante.
Senza un processo decisionale formale, la voce più forte nella stanza può diventare il modello di governance. È esattamente la situazione che la regolamentazione moderna sulla cybersicurezza mira a prevenire.
NIS2 rende la cybersicurezza una responsabilità gestionale. Article 20 riguarda governance e responsabilità degli organi di gestione, mentre Article 21 richiede misure di gestione del rischio che coprano gestione degli incidenti, continuità operativa, gestione dei backup, gestione delle crisi, sicurezza della catena di fornitura, controllo degli accessi, gestione degli asset, MFA e valutazione dell’efficacia. Article 23 introduce la notifica per fasi degli incidenti significativi, inclusi l’allarme precoce entro 24 ore, la notifica entro 72 ore e la relazione finale entro un mese, ove applicabile.
Per gli enti finanziari, DORA è il quadro normativo settoriale sulla resilienza operativa digitale. Article 5 attribuisce all’organo di gestione la responsabilità della gestione del rischio ICT. Articles 17, 18 e 19 riguardano la gestione, la classificazione e la segnalazione degli incidenti gravi connessi alle ICT. DORA richiede inoltre capacità di risposta e ripristino, backup e ripristino, apprendimento post-incidente, test e gestione del rischio ICT di terze parti.
GDPR aggiunge una valutazione separata ma sovrapposta. Se il ransomware causa distruzione, perdita, alterazione, divulgazione non autorizzata o accesso accidentale o illecito a dati personali, il titolare del trattamento deve valutare se si è verificata una violazione dei dati personali. Se la notifica è richiesta, il termine per l’autorità di controllo è generalmente di 72 ore dal momento in cui se ne viene a conoscenza. In presenza di un rischio elevato per le persone fisiche, può essere richiesta anche la comunicazione agli interessati.
La conclusione è semplice: la domanda sul riscatto non deve essere posta per la prima volta nella sala di crisi.
Controlli ISO 27001:2022 che sostengono la governance dei pagamenti
Un SGSI ISO/IEC 27001:2022 non è una checklist per auditor. È un sistema di gestione per assumere decisioni basate sul rischio. La governance dei pagamenti di riscatti ransomware appartiene a tale sistema perché combina valutazione del rischio, trattamento del rischio, ruoli, obblighi legali, risposta agli incidenti, continuità, gestione dei fornitori e miglioramento continuo.
I controlli più rilevanti dell’Allegato A di ISO 27001:2022 formano una catena di controllo integrata.
| Area di controllo ISO 27001:2022 | Perché è rilevante durante la governance dei pagamenti di riscatti ransomware |
|---|---|
| A.5.24 Pianificazione e preparazione della gestione degli incidenti di sicurezza delle informazioni | Definisce il quadro di riferimento per la risposta agli incidenti, il modello di escalation, le comunicazioni e la preparazione prima dell’inizio dell’estorsione. |
| A.5.25 Valutazione e decisione sugli eventi di sicurezza delle informazioni | Stabilisce come gli eventi diventano incidenti, come viene determinata la gravità e quando viene attivata l’escalation verso la direzione esecutiva. |
| A.5.26 Risposta agli incidenti di sicurezza delle informazioni | Regola contenimento, eradicazione, coordinamento del ripristino ed esecuzione delle decisioni operative. |
| A.5.27 Apprendimento dagli incidenti di sicurezza delle informazioni | Assicura che gli esiti delle decisioni sul riscatto, i mancati incidenti, i feedback dell’assicuratore e le risultanze delle autorità di regolamentazione migliorino i controlli futuri. |
| A.5.28 Raccolta delle evidenze | Conserva log, immagini, corrispondenza, campioni di malware e registrazioni delle decisioni in modo giuridicamente affidabile. |
| A.5.29 Sicurezza delle informazioni durante le interruzioni | Mantiene operativi i controlli di sicurezza mentre l’attività opera in modalità degradata. |
| A.5.30 Prontezza ICT per la continuità operativa | Collega backup, priorità di ripristino, commutazione e piani di continuità al processo decisionale dell’incidente. |
| A.5.31 Requisiti legali, statutari, normativi e contrattuali | Raccoglie verifica sanzionatoria, notifiche regolamentari, obblighi verso i clienti, doveri assicurativi e approvazione legale. |
| A.5.34 Privacy e protezione delle PII | Guida la valutazione della violazione GDPR e la valutazione dell’impatto privacy durante l’estorsione. |
| A.6.3 Contatto con le autorità | Supporta la comunicazione pianificata con autorità di regolamentazione, CSIRT, forze dell’ordine e autorità competenti. |
| A.8.13 Backup delle informazioni | Determina se il pagamento è operativamente rilevante dimostrando le opzioni di ripristino. |
| A.8.15 Registrazione e A.8.16 Attività di monitoraggio | Forniscono la base probatoria per ambito, cronologia, impatto e attività dell’attaccante. |
In Zenith Controls, la sezione relativa ad A.5.24, pianificazione e preparazione della gestione degli incidenti di sicurezza delle informazioni, classifica il controllo come correttivo, collegato a riservatezza, integrità e disponibilità e allineato ai concetti di risposta e ripristino. Collega inoltre A.5.24 ad A.5.25 valutazione degli eventi, A.5.27 apprendimento dagli incidenti, A.8.15 registrazione, A.8.16 monitoraggio, A.5.29 sicurezza durante le interruzioni, continuità e contatto con le autorità.
Questo è rilevante perché la governance dei pagamenti di riscatti ransomware è una catena. Se non puoi rilevare e classificare l’evento, non puoi decidere. Se non puoi conservare le evidenze, non puoi difendere la decisione. Se gli obblighi legali non sono mappati, la negoziazione o il pagamento possono essere illeciti. Se le opzioni di ripristino non sono testate, i dirigenti possono essere spinti a decidere sulla base della paura anziché dei fatti.
Zenith Controls descrive in modo diretto il rapporto tra preparazione e processo decisionale:
“5.25 è il punto decisionale che determina quando un evento supera la soglia e diventa un incidente di sicurezza, attivando le azioni descritte in 5.26. Una valutazione tempestiva e accurata degli eventi assicura che la risposta agli incidenti non sia né ritardata né indirizzata in modo errato.”
La stessa guida collega A.5.31, requisiti legali, statutari, normativi e contrattuali, a privacy, conservazione delle registrazioni, riesame indipendente e conformità alle politiche interne. Per il ransomware, A.5.31 è il punto in cui verifica sanzionatoria, obblighi assicurativi, coinvolgimento delle forze dell’ordine, contratti con i clienti, doveri di protezione dei dati e notifiche regolamentari di settore sono raccolti in un unico Registro di conformità.
Il modello Clarysec a cinque gate per la governance dei pagamenti di riscatti ransomware
Il modello Clarysec separa la governance delle decisioni di pagamento dei riscatti ransomware in cinque gate. L’obiettivo non è rendere più facile il pagamento. È fare in modo che qualsiasi decisione, incluso il rifiuto di pagare, sia basata su evidenze, sottoposta a riesame legale, autorizzata e verificabile in sede di audit.
| Gate | Domanda chiave | Evidenze richieste | Titolare tipico |
|---|---|---|---|
| Gate 1: Dichiarazione dell’incidente | È stato dichiarato un incidente ransomware o di estorsione secondo criteri definiti? | Alert SIEM, telemetria endpoint, nota di riscatto, asset interessati, registrazione iniziale della gravità | Responsabile della gestione dell’incidente o Responsabile della sicurezza delle informazioni |
| Gate 2: Triage legale e regolamentare | L’incidente coinvolge dati personali, servizi regolamentati, rischio sanzionatorio, obblighi contrattuali di notifica o segnalazioni di settore? | Mappatura del registro normativo, valutazione della violazione GDPR, classificazione NIS2 o DORA, note del consulente legale | Funzione legale, conformità, DPO |
| Gate 3: Fattibilità del ripristino | L’organizzazione può ripristinare in sicurezza senza pagamento entro limiti di impatto tollerabili? | Controlli di integrità dei backup, stato RTO/RPO, Business Impact Analysis, risultati dei test di ripristino | IT, responsabile BC/DR |
| Gate 4: Riesame del rischio di pagamento | Qualsiasi negoziazione o pagamento è legalmente consentito, approvato dall’assicuratore, verificato rispetto alle sanzioni e autorizzato dal consiglio di amministrazione? | Registrazione della verifica sanzionatoria, consenso dell’assicuratore, registrazione della consultazione con le forze dell’ordine, approvazione finanziaria, accettazione del rischio | Direzione esecutiva o Consiglio di amministrazione |
| Gate 5: Chiusura e miglioramento | Decisioni, comunicazioni, causa radice e lezioni apprese sono state registrate? | Rapporto sull’incidente, catena di custodia, registro delle comunicazioni, piano di miglioramento dei controlli | Responsabile della sicurezza delle informazioni, Responsabile del SGSI, Audit interno |
Questo modello utilizza la logica di trattamento del rischio di ISO 27001. Un pagamento ransomware non è un controllo di sicurezza. È, al massimo, un’opzione di crisi considerata in un contesto di trattamento del rischio e ripristino. Prima di un incidente, l’organizzazione dovrebbe avere già deciso come trattare i rischi ransomware: mitigarli mediante controlli, trasferire parte dell’esposizione finanziaria tramite assicurazione, evitare dipendenze legacy inaccettabili oppure accettare esplicitamente il rischio residuo ove giustificato.
Nella fase di Gestione del rischio, Step 13, Pianificazione del trattamento del rischio e Dichiarazione di Applicabilità, Zenith Blueprint indica alle organizzazioni di determinare le opzioni di trattamento per ciascun rischio e documentarle nel Registro dei rischi. Avverte che il trasferimento, ad esempio tramite assicurazione cyber, non elimina la necessità di controlli, perché spesso il trasferimento riguarda l’impatto finanziario e non la probabilità. Afferma inoltre:
“L’accettazione deve essere esplicita e approvata dalla direzione, in particolare per qualsiasi rischio Medio. I rischi Alti sono raramente accettati, salvo quando siano realmente inevitabili e concordati al massimo livello.”
Questa indicazione è direttamente rilevante per la governance dei pagamenti di riscatti ransomware. Se al consiglio di amministrazione viene chiesto di accettare il rischio residuo del rifiuto del pagamento, oppure il rischio legale e reputazionale dell’approvazione di una negoziazione, l’accettazione deve essere esplicita, registrata e approvata dall’autorità corretta.
La Politica di gestione del rischio di Clarysec rafforza lo stesso principio:
“Le decisioni di trattamento del rischio devono essere allineate alle opzioni predefinite”
Dalla clausola 5.5.
Una decisione sul riscatto non è quindi una scorciatoia rispetto alla gestione del rischio. Deve essere trattata come una decisione formale e documentata di trattamento del rischio, nell’ambito di un’autorità definita.
Autorità di policy: chi può decidere sotto pressione?
Molti fallimenti legati al ransomware sono fallimenti di governance mascherati da fallimenti tecnici. Qualcuno contatta l’attaccante fuori dal canale approvato. Qualcuno promette il pagamento prima dell’approvazione dell’assicuratore. Qualcuno ripristina i sistemi e sovrascrive evidenze forensi. Qualcuno informa i clienti troppo presto, troppo tardi o con fatti inesatti.
Le politiche Clarysec sono progettate per eliminare questa ambiguità.
Per le PMI, la Politica sui ruoli e sulle responsabilità di governance - PMI fornisce una regola semplice:
“Tutte le decisioni, eccezioni ed escalation di sicurezza significative devono essere registrate e tracciabili.”
Dalla sezione “Requisiti di governance”, clausola della politica 5.5.
La Politica di risposta agli incidenti - PMI assegna l’autorità di escalation:
“Il Direttore generale (GM) è responsabile dell’autorizzazione di tutte le decisioni di escalation degli incidenti, delle notifiche regolamentari e delle comunicazioni esterne.”
Dalla sezione “Requisiti di governance”, clausola della politica 5.1.1.
Collega inoltre gli incidenti sui dati dei clienti agli obblighi normativi:
“Quando sono coinvolti dati dei clienti, il Direttore generale deve valutare gli obblighi legali di notifica in base all’applicabilità di GDPR, NIS2 o DORA.”
Dalla sezione “Trattamento del rischio ed eccezioni”, clausola della politica 7.4.1.
Per le organizzazioni più grandi, la Politica sui ruoli e sulle responsabilità di governance enterprise richiede l’escalation immediata in presenza di esposizione legale o violazioni dei dati soggette a notifica:
“Escalation legale/regolatoria: gli incidenti che comportano potenziale esposizione legale o violazioni dei dati soggette a notifica devono essere immediatamente escalati al Responsabile Affari Legali e Conformità e alla Direzione esecutiva.”
Dalla sezione “Requisiti di applicazione della politica”, clausola della politica 6.4.3.
La Politica di risposta agli incidenti enterprise definisce l’autorità esecutiva durante gli incidenti gravi. La clausola 4.6.1 stabilisce che il ruolo del Team di Direzione esecutiva è:
“Assumere decisioni strategiche durante incidenti ad alta gravità, inclusa l’approvazione delle notifiche e delle comunicazioni pubbliche.”
In un contesto ransomware, Clarysec considera discussione sul pagamento, autorizzazione alla negoziazione, avviso ai clienti, dichiarazione regolamentare e comunicazione pubblica come decisioni strategiche, non come azioni tecniche.
Ne deriva una regola pratica di governance: il Responsabile della sicurezza delle informazioni può raccomandare, il team di gestione dell’incidente può valutare, la funzione legale può fornire pareri, la finanza può validare le modalità di pagamento, l’assicuratore può concedere o negare la copertura, ma la Direzione esecutiva o il Consiglio di amministrazione devono assumere la titolarità della decisione secondo un’autorità predefinita.
Escalation presidiata rispetto alle sanzioni prima di qualsiasi negoziazione
Un processo ransomware presidiato rispetto alle sanzioni parte da un divieto: nessun dipendente, contraente, fornitore, broker, negoziatore o addetto alla risposta agli incidenti può negoziare, promettere, agevolare o trasferire valore a un attore della minaccia senza un riesame legale approvato.
Il controllo legale deve avvenire prima di qualsiasi ingaggio attivo con l’attaccante, non dopo la comparsa di un indirizzo wallet. Il processo dovrebbe includere:
- Coinvolgimento del consulente legale prima di qualsiasi comunicazione oltre alla raccolta passiva delle evidenze.
- Identificazione dell’attore della minaccia utilizzando, ove disponibili, input forensi, intelligence sulle minacce e forze dell’ordine.
- Verifica di sanzioni e parti soggette a restrizioni per nomi di gruppi, alias, indirizzi wallet, infrastrutture, intermediari e canali di pagamento.
- Consultazione con le forze dell’ordine valutata e registrata.
- Notifica all’assicuratore cyber secondo i termini della polizza prima di nominare fornitori o avviare negoziazioni.
- Coinvolgimento del DPO o del responsabile privacy se possono essere coinvolti dati personali.
- Conferma da parte del CFO o del responsabile finanza dei controlli di pagamento, della segregazione dei compiti, dei controlli antifrode e dei requisiti di approvazione del consiglio di amministrazione.
- Registrazione della decisione esecutiva con le alternative considerate, inclusi ripristino, contenimento, sospensione del servizio, comunicazione ai clienti e rifiuto di pagare.
- Conservazione delle evidenze relative a comunicazioni dell’attaccante, indicatori, dettagli del wallet, riunioni decisionali, approvazioni e consulenza esterna.
Per il ransomware, il registro normativo dovrebbe includere almeno le seguenti fonti di obblighi.
| Fonte dell’obbligo | Impatto sulla governance del pagamento |
|---|---|
| Requisiti in materia di sanzioni e reati finanziari | Nessuna negoziazione o pagamento senza verifica legale e approvazione documentata. |
| Contratto di assicurazione cyber | Notifica all’assicuratore, fornitori approvati, consenso preventivo, requisiti di evidenza e condizioni di copertura. |
| GDPR | Valutazione della violazione dei dati personali, notifica all’autorità di controllo, comunicazione agli interessati e registrazioni di accountability. |
| NIS2 | Classificazione degli incidenti significativi, allarme precoce entro 24 ore, notifica entro 72 ore e relazione finale entro un mese ove applicabile. |
| DORA | Classificazione degli incidenti gravi connessi alle ICT, segnalazione all’autorità competente, comunicazione ai clienti e analisi della causa radice post-incidente. |
| Contratti con i clienti | Avviso di incidente di sicurezza, impegni di livello di servizio, diritto di audit e obblighi di comunicazione ai clienti. |
| Aspettative delle forze dell’ordine | Conservazione delle evidenze, gestione delle comunicazioni con l’attaccante e registrazioni di coordinamento. |
Le organizzazioni dovrebbero inoltre definire chi può bloccare la decisione di pagamento. Funzione legale, conformità, DPO, consulente in materia di sanzioni o consiglio di amministrazione dovrebbero avere autorità esplicita per sospendere negoziazione o pagamento se la verifica è incompleta, le evidenze non sono affidabili, le condizioni dell’assicuratore non sono soddisfatte o l’azione può violare legge o contratto.
Conservazione delle evidenze: non distruggere le prove mentre ripristini il servizio
I team ransomware si affrettano naturalmente a ripristinare le operazioni. Ma se il ripristino distrugge log, snapshot, note di riscatto, campioni di malware, immagini di memoria o messaggi dell’attaccante, l’organizzazione può perdere la capacità di dimostrare cosa è accaduto.
Nella fase Controls in Action, Step 23, Controlli organizzativi, Zenith Blueprint indica alle organizzazioni di convalidare e testare le capacità di gestione degli incidenti definendo eventi di sicurezza soggetti a segnalazione, documentando il processo decisionale e preservando le evidenze forensi. Istruisce i team a:
“Acquisire e registrare tutte le decisioni, i ruoli e le comunicazioni (5.26) e aggiornare il piano con le lezioni apprese (5.27). Confermare che siano in essere procedure per preservare le evidenze forensi (5.28), inclusi snapshot dei log, backup e isolamento sicuro dei sistemi interessati.”
Lo stesso passo spiega A.5.28 con un linguaggio comprensibile a qualsiasi consiglio di amministrazione:
“ciò che puoi provare conta tanto quanto ciò che è realmente accaduto”
La Politica per la raccolta delle evidenze e l’analisi forense enterprise di Clarysec rafforza il principio secondo cui le evidenze devono rimanere tracciabili:
“Un registro della catena di custodia deve accompagnare tutte le evidenze fisiche o digitali dal momento dell’acquisizione fino all’archiviazione o al trasferimento e deve documentare:”
Dalla sezione “Requisiti di governance”, clausola della politica 5.6.
Per le PMI, la Politica per la raccolta delle evidenze e l’analisi forense - PMI è volutamente pratica:
“Deve sempre essere creata una copia forense o un’esportazione; l’evidenza originale non deve mai essere modificata direttamente.”
Dalla sezione “Requisiti di applicazione della politica”, clausola della politica 6.1.1.
Richiede inoltre la consultazione legale quando possono esistere impatti su HR, aspetti legali o clienti:
“Se l’incidente comporta un potenziale impatto sulle Risorse Umane (HR), legale o sui clienti, il GM deve consultare il consulente legale prima di procedere con l’applicazione o l’escalation.”
Dalla sezione “Requisiti di governance”, clausola della politica 5.4.2.
Durante il Gate 2 dovrebbe essere aperto un pacchetto evidenze pratico. Creare una cartella riservata per le evidenze dell’incidente. Esportare cronologie SIEM, rilevazioni EDR, log di audit cloud, log di accesso del provider di identità, stato dei job di backup, note di riscatto, screenshot, messaggi dell’attaccante, indirizzi wallet, campioni di file, riferimenti ai pareri legali, corrispondenza con l’assicuratore e decisioni delle riunioni. Assegnare un custode. Registrare i valori hash ove appropriato. Non consentire agli amministratori di ripulire i sistemi interessati prima dell’acquisizione forense, salvo che lo richiedano la sicurezza delle persone, la protezione di servizi critici o un contenimento approvato dalla direzione esecutiva.
Un unico foglio di classificazione per NIS2, DORA e GDPR
Un incidente ransomware può attivare più scadenze. La difficoltà non è solo conoscere i termini. È sapere quando l’organizzazione ne è venuta a conoscenza, cosa sapeva in quel momento e come sono state assunte le decisioni di classificazione.
NIS2 Article 23 richiede agli enti essenziali e importanti di notificare senza indebito ritardo al CSIRT o all’autorità competente gli incidenti significativi. La significatività è collegata a grave interruzione operativa, perdita finanziaria o danno materiale o immateriale considerevole a terzi. Il modello per fasi include allarme precoce entro 24 ore, notifica entro 72 ore, aggiornamenti intermedi se richiesti e relazione finale entro un mese dalla notifica dell’incidente ove applicabile.
DORA richiede agli enti finanziari di definire e attuare la gestione degli incidenti connessi alle ICT, registrare incidenti e minacce informatiche significative, classificare gli incidenti utilizzando criteri quali clienti interessati, durata, diffusione geografica, perdita di dati, criticità e impatto economico, e segnalare gli incidenti gravi connessi alle ICT alle autorità competenti tramite relazioni iniziali, intermedie e finali.
GDPR pone una domanda diversa ma sovrapposta: l’incidente ha causato una violazione dei dati personali? In tal caso, è probabile che comporti un rischio per le persone fisiche? Se la soglia di notifica è raggiunta, la notifica all’autorità di controllo deve essere valutata rispetto al termine di 72 ore. In presenza di un rischio elevato, può essere necessaria anche la comunicazione agli interessati.
Clarysec raccomanda di utilizzare un unico foglio di classificazione ransomware con sezioni separate per ciascun regime.
| Area di classificazione | Esempio di domanda ransomware | Output |
|---|---|---|
| Impatto operativo | I servizi critici sono interrotti o è probabile che lo siano? | Input per significatività NIS2 e criticità DORA |
| Impatto finanziario | L’incidente ha causato o potrebbe causare una perdita finanziaria significativa? | Input per gravità NIS2 e DORA |
| Impatto sui clienti | Sono interessati destinatari del servizio, clienti, controparti o transazioni? | Input per NIS2, DORA e obblighi contrattuali di notifica |
| Dati personali | I dati personali sono stati consultati, esfiltrati, alterati, distrutti o resi indisponibili? | Input per la valutazione della violazione GDPR |
| Sensibilità dei dati | I dati interessati includono categorie particolari di dati, credenziali, dati finanziari, documenti di identità o dati di minori? | Input per rischio GDPR e comunicazione |
| Impatto transfrontaliero | Sono interessati più Stati membri, giurisdizioni, clienti o sedi di servizio? | Input per notifiche NIS2 e DORA |
| Attendibilità delle evidenze | Quali fatti sono confermati, sospetti o ignoti? | Base per notifiche per fasi e aggiornamenti |
Questo approccio si adatta alle clausole ISO 27001 su valutazione del rischio, trattamento del rischio e informazioni documentate. È inoltre allineato a NIST CSF 2.0. La funzione GOVERN di NIST CSF 2.0 si aspetta che le organizzazioni comprendano parti interessate, obblighi legali e normativi, propensione al rischio, ruoli, politiche, supervisione e rischio di terze parti. I suoi esiti di rilevazione, risposta e ripristino supportano dichiarazione dell’incidente, analisi, coordinamento della risposta, notifica alle parti interessate, esecuzione del ripristino e validazione del ripristino.
Per gli enti finanziari, DORA può operare come regime settoriale di cybersicurezza per gli obblighi NIS2 sovrapposti, ma ciò non elimina la necessità di comprendere l’applicabilità di NIS2 per entità del gruppo, fornitori ICT, servizi gestiti o dipendenze cloud. La risposta pratica non è mantenere playbook separati. È eseguire un unico modello di evidenze SGSI mappato a tutti gli obblighi pertinenti.
Assicurazione cyber e coordinamento dei fornitori sono controlli di governance
L’assicurazione cyber può essere utile, ma non è una strategia ransomware. È un meccanismo di trasferimento del rischio con condizioni. Durante un evento ransomware, l’assicuratore può richiedere notifica immediata, uso di società del panel, approvazione preventiva della negoziazione, conservazione delle evidenze, prova del fallimento dei backup, prova di controlli ragionevoli e riesame legale prima di qualsiasi considerazione sul pagamento.
DORA rende il rischio ICT di terze parti un dominio di conformità di primo livello. NIS2 Article 21 richiede inoltre sicurezza della catena di fornitura e considerazione delle vulnerabilità e delle pratiche di cybersicurezza dei fornitori. ISO 27001 supporta la stessa logica attraverso controlli su fornitori e cloud come A.5.19-A.5.23, oltre ai controlli su incidenti, continuità e aspetti legali.
Zenith Controls collega la preparazione agli incidenti ai partner esterni, incluse società forensi, funzione legale, PR e contatto con le autorità. Dal punto di vista dell’audit, l’assenza di partner esterni pre-identificati può essere considerata una lacuna di preparazione perché può ritardare la risposta durante un incidente reale.
Per la governance dei pagamenti di riscatti ransomware, Clarysec raccomanda di pre-negoziare:
- Retainer forense o condizioni di risposta rapida.
- Disponibilità di consulenti legali esterni per violazioni, sanzioni e strategia del privilegio legale.
- Percorso di notifica all’assicuratore cyber ed elenco dei fornitori approvati.
- Percorso di escalation del provider cloud per snapshot, log, isolamento e ripristino.
- Procedure di collaborazione sugli incidenti con MSSP o MDR.
- Processo di riesame PR e comunicazioni di crisi.
- Controlli di approvazione bancaria o finanziaria per qualsiasi pagamento straordinario.
- Protocollo di contatto con le forze dell’ordine.
Questo si mappa bene sugli esiti NIST CSF 2.0 relativi alla catena di fornitura, inclusi ruoli e responsabilità dei fornitori, due diligence, requisiti contrattuali di cybersicurezza, coordinamento degli incidenti dei fornitori e attività successive alla cessazione.
Un playbook pratico di escalation per i pagamenti di riscatti ransomware
I cinque gate possono essere tradotti in un playbook operativo. Ogni passo deve essere documentato, assegnato a un titolare e testato.
| Fase | Azione chiave | Ruolo responsabile | Controlli ISO 27001:2022 chiave | Evidenza o output |
|---|---|---|---|---|
| 1. Triage e dichiarazione | Valutare l’evento rispetto ai criteri, dichiarare un incidente significativo o grave, attivare il team di risposta | Responsabile SOC, Responsabile della gestione dell’incidente | A.5.24, A.5.25 | Ticket dell’incidente, registro di dichiarazione, rapporto iniziale di situazione |
| 2. Valutazione dell’impatto aziendale | Quantificare l’impatto operativo, stimare la posizione RTO/RPO, determinare la criticità di dati e servizi | Titolari di business, Responsabile della sicurezza delle informazioni, responsabile BC/DR | A.5.29, A.5.30, A.8.13 | Business Impact Analysis, risultanze sull’integrità dei backup |
| 3. Conservazione delle evidenze | Esportare log, preservare i sistemi, proteggere le evidenze e mantenere la catena di custodia | Responsabile forense, Team di risposta agli incidenti | A.5.28, A.8.15, A.8.16 | Immagini forensi, esportazioni dei log, registrazione della catena di custodia |
| 4. Verifica legale e sanzionatoria | Coinvolgere il consulente legale, identificare l’attore della minaccia, verificare le sanzioni, valutare gli obblighi di notifica | Responsabile legale, DPO, conformità, consulente legale esterno | A.5.31, A.5.34, A.6.3 | Parere legale, registrazione della verifica sanzionatoria, foglio di lavoro per la notifica |
| 5. Coordinamento con assicurazione e fornitori | Notificare l’assicuratore, confermare i fornitori approvati, coordinare supporto cloud, MSSP e forense | Responsabile della sicurezza delle informazioni, funzione legale, Vendor Manager | A.5.19, A.5.20, A.5.21, A.5.22, A.5.23 | Consenso dell’assicuratore, ticket dei fornitori, log delle azioni dei fornitori |
| 6. Nota decisionale esecutiva | Presentare opzioni, rischi, parere legale, fattibilità del ripristino, impatto comunicativo e posizione dell’assicuratore | Responsabile della gestione dell’incidente, Responsabile della sicurezza delle informazioni, funzione legale, CFO | A.5.1, A.5.2, A.5.26, A.5.31 | Documento di briefing decisionale sul ransomware |
| 7. Autorizzare e documentare | L’autorità esecutiva decide se negoziare, rifiutare, pagare o intraprendere azioni alternative | CEO, Direzione esecutiva, Consiglio di amministrazione | A.5.2, A.5.3, A.5.26, A.5.31 | Registrazione decisionale firmata, accettazione del rischio, log delle azioni |
| 8. Chiusura e miglioramento | Condurre analisi della causa radice, lezioni apprese e aggiornamenti dei controlli | Responsabile del SGSI, Responsabile della sicurezza delle informazioni, Audit interno | A.5.27, clausola ISO 27001 10.2 | Report sulle lezioni apprese, piano di azione correttiva, registrazioni SGSI aggiornate |
L’obiettivo non è garantire una decisione comoda. Potrebbe non esistere alcuna decisione comoda. L’obiettivo è assicurare che la decisione sia autorizzata, basata su evidenze, informata sul piano legale e difendibile.
Il tabletop di 90 minuti che dimostra la preparazione
Il modo più semplice per testare la governance dei pagamenti di riscatti ransomware non è un red team tecnico. È un tabletop decisionale.
Usa Zenith Blueprint, fase Controls in Action, Step 23, per validare la capacità di gestione degli incidenti. Seleziona uno scenario ransomware ed esegui un’esercitazione a tempo. L’obiettivo non è decidere in anticipo che l’organizzazione pagherebbe o non pagherebbe mai. L’obiettivo è dimostrare che l’organizzazione può arrivare a una decisione governata.
Scenario: una banca dati clienti ospitata in cloud è cifrata, l’attaccante dichiara l’esfiltrazione, esistono backup ma non sono ancora stati sottoposti a test di integrità, l’assicuratore non è stato notificato e l’attaccante fornisce un indirizzo wallet con scadenza a 48 ore.
Checklist dell’esercitazione:
- Dichiarare l’incidente e assegnare il Responsabile della gestione dell’incidente.
- Aprire il log decisionale ransomware.
- Classificare l’evento utilizzando i criteri A.5.25.
- Identificare asset e servizi aziendali interessati.
- Determinare se sono coinvolti dati personali.
- Attivare i workflow di valutazione GDPR, NIS2, DORA e contrattuale.
- Notificare funzione legale, DPO, direzione esecutiva, assicuratore e fornitore forense.
- Conservare le evidenze prima di azioni distruttive di ripristino.
- Verificare integrità dei backup e opzioni di ripristino.
- Eseguire la verifica sanzionatoria prima di qualsiasi negoziazione.
- Registrare se è richiesta la consultazione con le forze dell’ordine.
- Redigere dichiarazioni preliminari per clienti e autorità di regolamentazione.
- Presentare le opzioni decisionali all’autorità esecutiva.
- Registrare decisione, motivazione, dissensi, approvazioni e azioni successive.
- Pianificare il riesame post-incidente e le azioni di miglioramento dei controlli.
L’output dovrebbe essere un pacchetto evidenze completo: elenco dei partecipanti, cronologia, foglio di classificazione, log decisionale, bozze di comunicazione, azioni legali, azioni per l’assicuratore, risultanze sui backup e lezioni apprese. Quel pacchetto è oro per l’audit perché dimostra la governance in funzione prima di una crisi reale.
Come auditor e autorità di regolamentazione testeranno il processo
Auditor con background diversi esamineranno lo stesso processo ransomware da prospettive differenti.
| Prospettiva dell’auditor | Cosa richiederanno | Come appaiono buone evidenze |
|---|---|---|
| Auditor ISO 27001:2022 | Pianificazione degli incidenti, valutazione degli eventi, risposta, evidenze, requisiti legali e lezioni apprese sono sotto controllo? | Piano di risposta agli incidenti, mappatura SoA, Registro dei rischi, registrazioni tabletop, procedura evidenze, log decisionali, output del riesame della direzione |
| Auditor SGSI in stile ISO/IEC 27007 | Le persone comprendono i propri ruoli e le registrazioni possono dimostrare l’operatività? | Interviste con Responsabile della sicurezza delle informazioni, funzione legale, DPO, SOC, dirigenti, oltre a campioni di ticket di incidente e registrazioni di escalation |
| Valutatore allineato a NIST | Governance, rilevazione, risposta, comunicazioni ed esiti di ripristino sono integrati? | Profilo CSF, Registro dei rischi, regole di monitoraggio, criteri di dichiarazione degli incidenti, comunicazioni alle parti interessate, validazione del ripristino |
| Auditor COBIT 2019 o ISACA | Esistono titolarità della direzione, controllo del processo, sufficienza delle evidenze e miglioramento continuo? | RACI, metriche di processo, reportistica di conformità, riesame post-incidente, tracciamento delle azioni correttive |
| Auditor focalizzato su DORA | Gli incidenti ICT sono classificati, escalati, segnalati, risolti e migliorati nell’ambito del quadro di rischio ICT? | Criteri di classificazione degli incidenti, reportistica all’organo di gestione, evidenze della comunicazione ai clienti, analisi della causa radice, test di resilienza |
| Auditor GDPR/privacy | La valutazione della violazione dei dati personali è stata tempestiva, basata sul rischio e documentata? | Modulo di valutazione della violazione, coinvolgimento del DPO, decisione sull’autorità di controllo, razionale della comunicazione agli interessati, contesto delle registrazioni delle attività di trattamento |
Zenith Controls fornisce una metodologia di audit dettagliata per A.5.24, A.5.25 e A.5.31. Per A.5.24, gli auditor esaminano il Piano di risposta agli incidenti, le classificazioni di gravità, i ruoli, le liste di contatto, le istruzioni di notifica regolamentare, le esercitazioni e gli accordi con partner esterni. Per A.5.25, riesaminano se esistono criteri di classificazione degli eventi, se le registrazioni di gestione degli alert mostrano decisioni di indagine ed escalation, se vengono utilizzati SIEM e threat intelligence e se i team DPO o legale sono coinvolti quando possono essere interessati dati personali. Per A.5.31, gli auditor cercano registri normativi, mappatura della conformità, evidenze di riesame, copertura dell’audit interno e reportistica all’alta direzione.
Il rischio di audit non è soltanto che un’organizzazione abbia pagato o rifiutato di pagare. Il rischio di audit è che nessuno possa dimostrare come sia stata presa la decisione.
Dall’estorsione al miglioramento dei controlli
La governance ransomware non termina quando i sistemi sono ripristinati. ISO 27001 richiede miglioramento continuo. A.5.27 apprendimento dagli incidenti di sicurezza delle informazioni è centrale per tale aspettativa. DORA richiede analisi della causa radice e controlli aggiuntivi. La relazione finale NIS2 richiede misure di mitigazione e probabile causa radice ove applicabile. L’accountability GDPR richiede documentazione delle decisioni e delle misure di sicurezza.
Ogni riesame post-incidente ransomware dovrebbe rispondere a queste domande:
- Le scadenze di notifica sono state identificate correttamente?
- L’autorità decisionale ha funzionato come previsto?
- Il riesame legale e sanzionatorio è avvenuto sufficientemente presto?
- Il coordinamento con l’assicuratore ha aiutato o ritardato la risposta?
- I backup erano completi, segregati, ripristinabili e testati?
- I log erano sufficienti per valutare accesso ed esfiltrazione?
- I fornitori hanno risposto secondo contratto?
- Le comunicazioni ai clienti sono state accurate e tempestive?
- I dirigenti hanno ricevuto le informazioni corrette al momento corretto?
- Quali controlli, politiche, contratti o attività formative devono cambiare?
Queste risposte dovrebbero aggiornare il Registro dei rischi, la Dichiarazione di Applicabilità, il Piano di risposta agli incidenti, la strategia di backup, i contratti con i fornitori, il piano di comunicazione e il programma di formazione.
Nella fase ISMS Foundation and Leadership, Step 5, Zenith Blueprint sottolinea la pianificazione delle comunicazioni esterne, inclusa l’identificazione di clienti, autorità di regolamentazione, partner e pubblico, la determinazione di cosa e quando comunicare e la definizione di chi comunica. Per il ransomware, quel passo diventa il ponte tra risposta tecnica e tutela della fiducia.
Costruire la registrazione decisionale prima della nota di riscatto
Il momento migliore per governare una decisione sul riscatto è prima che l’attaccante fissi la scadenza.
Se il tuo playbook ransomware non definisce autorità decisionale, riesame legale, verifica sanzionatoria, approvazione dell’assicuratore, conservazione delle evidenze, classificazione NIS2 e DORA, valutazione della violazione GDPR e documentazione a livello di consiglio di amministrazione, l’organizzazione ha una lacuna di governance in attesa di una crisi.
Clarysec aiuta le organizzazioni a costruire questa capacità nel SGSI utilizzando:
- Zenith Blueprint: roadmap in 30 passi per auditor per attuazione ISO 27001 per fasi, trattamento del rischio, pianificazione delle comunicazioni e validazione della capacità di gestione degli incidenti.
- Zenith Controls: guida alla conformità trasversale per mappare i controlli ISO 27001 su NIS2, DORA, GDPR, NIST CSF, COBIT 2019, ISO/IEC 27035, ISO/IEC 27701, ISO/IEC 27005 ed evidenze di audit.
- Politiche Clarysec enterprise e per PMI, incluse Politica di risposta agli incidenti, Politica di risposta agli incidenti - PMI, Politica per la raccolta delle evidenze e l’analisi forense, Politica per la raccolta delle evidenze e l’analisi forense - PMI, Politica sui ruoli e sulle responsabilità di governance, Politica sui ruoli e sulle responsabilità di governance - PMI e Politica di gestione del rischio.
- Template pratici per tabletop ransomware, log decisionali, matrici di escalation legale, pacchetti evidenze e fogli di lavoro per la reportistica di conformità trasversale.
Non aspettare la chiamata delle 3 del mattino per scoprire chi può decidere. Riesamina il tuo Piano di risposta agli incidenti rispetto ai cinque gate di Clarysec, esegui un tabletop di 90 minuti sul pagamento di un riscatto ransomware e costruisci una registrazione decisionale presidiata rispetto alle sanzioni e pronta per l’audit, in grado di reggere l’esame di autorità di regolamentazione, assicuratori e del tuo stesso consiglio di amministrazione.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council