ENISA ha pubblicato una guida sui cyber stress test, a supporto delle autorità nazionali, o settoriali, che supervisionano la sicurezza informatica e la resilienza dei settori critici, a livello nazionale, regionale o UE, ai sensi della Direttiva NIS 2, ma altresì del Regolamento DORA o della Direttiva sulla resilienza delle entità critiche (CER).
Gli stress test sono diventati noti in seguito alla crisi finanziaria globale del 2007-2009, quando le autorità di regolamentazione bancaria, nell’ambito del Comitato di Basilea per la vigilanza bancaria, hanno voluto vigilare più attentamente sui portafogli di attività delle banche e analizzarne la solidità sufficiente a resistere a scenari di shock finanziari.
Gli stress test sono stati recentemente utilizzati per testare la sicurezza informatica, offrendo un nuovo metodo snello e mirato per valutare la sicurezza informatica e la resilienza: ad esempio, nel 2022 la Banca d’Inghilterra ha condotto uno stress test informatico sui servizi di pagamento al dettaglio nel Regno Unito e, nel 2024, la Banca Centrale Europea (BCE) ha condotto un ampio stress test sulla resilienza informatica delle banche dell’UE.
Lo scorso anno la Commissione Europea ha inoltre supportato gli Stati membri dell’UE nella conduzione di uno stress test coordinato a livello UE sulla resilienza del settore energetico dell’UE, incentrato sulle minacce fisiche nell’ambito della Direttiva sulla resilienza delle entità critiche (CER).
In questo manuale, uno stress test informatico viene definito come una valutazione mirata della resilienza delle singole organizzazioni e della loro capacità di resistere e riprendersi da incidenti di sicurezza informatica significativi, garantendo la fornitura di servizi critici in diversi scenari di rischio.
I cyber stress test si concentrano sulla resilienza, utilizzano metriche di resilienza e possono essere utilizzati per testare sia le misure di preparazione, che quelle di reazione e ripristino.
Il manuale contiene in sintesi una guida in cinque fasi allo stress test informatico:
- definizione dell’ambito e degli obiettivi del test, coinvolgimento degli stakeholder
- progettazione del test, scelta della metodologia, perfezionamento degli scenari
- esecuzione dello stress test informatico
- analisi dei risultati e identificazione delle lacune
- follow-up delle lacune e delle problematiche identificate nello stress test.
Vengono utilizzati inoltre passo passo esempi pratici, spiegando al contempo come eseguire uno stress test informatico nel settore sanitario.
Per le autorità, gli stress test informatici possono rappresentare un buon modo per avviare un dialogo con il settore, sia sui rischi strategici che sistemici, nonché su questioni più tecniche: le lacune evidenziate dagli stress test possono essere discusse apertamente in contesti collaborativi e volontari, ma possono anche essere analizzate in un contesto di supervisione più rigoroso.
