Ingegneria della Resilienza e le direttive NIS 2 e CER

COME RENDERE L’ORGANIZZAZIONE RESILIENTE 

Siamo da anni impegnati in studi e ricerche di nuone pratiche per aiutare le organizzazioni ad essere più resilienti. La recente pandemia ha dimostrato tutte le lacune che il mondo produttivo e l’intera società covavano da decenni. L’aumento degli attacchi cyber da una parte e l’usura delle varie infrastrutture che consentono al nostro paese di fornire servizi alla popolazione, hanno spinto l’Europa a degli interventi legislativi importanti per aumentare il grado di “resistenza” agli eventi negativi del nostro continente. Il tentativo è quello di creare una società più resiliente, capace non solo di reagire senza perdere la propria capacità produttiva ma soprattutto essere proattiva. Hollnagel e Rasmussen su questo sono stati a nostro avviso molto chiari. La vera resilienza è quella di spingersi fino al confine della propria capacità produttiva (passatemi il concetto di produttività associato anche alla società e non solo alle organizzazioni “produttive”), rimanendo  però sempre in una condizione di controllo e di equilibrio. Capace di percepire tutti quei segnali (anche i più deboli), che rischiano di progredire in una situazione di crisi, e quindi rilevandoli per tempo, la società possa intervenire mantenendo il controllo e una condizione di equilibrio.

Hollnagel, insieme a Leveson e Woods definiscono la resilienza come:

l’abilità intrinseca di un sistema di adattare il suo funzionamento prima, durante o dopo il verificarsi di cambiamenti, disturbi, in modo da portare avanti le operazioni richieste sia in condizioni attese che impreviste”.

Sono queste abilità intrinseche del prima-durante-dopo che rendono la società, come qualsiasi organizzazione, resiliente.

Rasmussen invece, con la sua “deriva verso il modello del pericolo“, ci fa comprendere la necessità di prevenire la perdita di controllo rispetto ai rischi, attraverso un’attenta analisi dei fattori e delle aree chiave che governano la capacità produttiva dell’organizzazione.

Ingegneria della resilienza, la deriva di Rasmussen - Luca Murgianu

La deriva di Rasmussen verso il modello del pericolo – Resilience Engineering Concepts and Precepts, Hollnagel, Woods, Leveson

Di questi argomenti ne parliamo nei nostri articoli, tramite questo portale e i libri che consigliamo ai più interessati.

Ma come può una società intera affrontare questa sfida? Ecco la proposta che viene dall’Europa, tramite Direttive e Regolamenti.

L’ultimo quadrimestre del 2024 e il 2025 sono importanti a causa dei termini di attuazione di numerose direttive e regolamenti europei. Facciamo riferimento alle direttive:

  • 2022/2555 – NIS 2 (Network and Information Security):
    Misure per un livello elevato di cibersicurezza ex 2016/1148 – NIS
  • 2022/2557 – CER (Critical Entities and Resilience):
    Resilienza dei soggetti critici;

e al Regolamento UE 2024/1689 – AI Act: Regole armonizzate sull’IA (di cui parleremo più avanti).

NIS 2 – Network and Information Security

Questa direttiva non è una novità, già con la NIS 1 si erano individuati quei settori considerati critici e che dunque dovevano soddisfare determinati requisiti di sicurezza in una logica di resilienza a livello nazionale. La NIS 2 richiede alle aziende di valutare la propria postura in termini di sicurezza informatica e di implementare un piano di azioni correttive per migliorare la security.
Rispetto alla NIS 1, la nuova direttiva impone alle aziende di essere proattive nella gestione dei rischi e di adottare misure di sicurezza idonee al proprio contesto e alle capacità di spesa.

Con l’aumento degli incidenti informatici che colpiscono sia i grandi che le medie e piccole imprese, è essenziale costruire un sistema di gestione robusto, monitorare la catena di fornitura e dimostrare adeguatezza nella gestione dei rischi, degli incidenti e nella continuità operativa.
L’adeguatezza delle misure di sicurezza si basa su alcuni pilastri essenziali, tra cui l’individuazione e la valutazione dei rischi, le procedure proattive per la gestione degli incidenti, il monitoraggio e il miglioramento continuo della sicurezza e la continuità operativa, garantita dalla qualità dell’erogazione dei servizi.

La normativa riguarda diversi settori: energia, trasporti, banche, infrastrutture dei mercati finanziari, sanità, acqua potabile e reflue, infrastrutture digitali, gestione uffici TIC, pubblica amministrazione e spazio.
Inoltre, i servizi essenziali includono servizi postali e di corriere, gestione rifiuti, produzione e distribuzione di sostanze chimiche, alimenti, dispositivi medici, prodotti elettronici e ottici, apparecchiature elettriche, veicoli, servizi digitali e ricerca.

Ingegneria della resilienza, linearità complessa

CER (Critical Entities and Resilience)

Come musica per le nostre orecchie ha suonato in modo particolare la direttiva 2022/2557 – CER (Critical Entities and Resilience) sulla Resilienza dei soggetti critici. Una direttiva che lavora in maniera complementare con la NIS 2 che in una logica di resilienza nazionale, punta all’integrazione tra le misure di protezione fisica e digitale.

Ancora una volta l’analisi dei rischi assume un ruolo centrale, tanto da dover essere sempre presente nelle decisioni dei soggetti coinvolti e spingere ad una valutazione del rischio statale, fondata su un’analisi dettagliata dei rischi rilevanti, compresi quelli di natura intersettoriale o transfrontaliera, emergenze sanitarie e minacce ibride.

Tutti i soggetti coinvolti sono tenuti ad effettuare una valutazione del rischio, entro nove mesi dalla notifica della loro designazione come tali, e successivamente almeno ogni quattro anni.

Sono inoltre tenuti a adottare misure di resilienza che includono la protezione fisica delle infrastrutture, la gestione della sicurezza del personale, e l’elaborazione di piani di continuità operativa per garantire la fornitura dei servizi essenziali anche in caso di incidenti (Art. 13-14).

Le notifiche di incidenti rilevanti devono essere trasmesse senza ritardi alle autorità competenti, per permettere una risposta tempestiva (Art. 16).

L’ingegneria della resilienza e i sistemi socio tecnici complessi

L’ingegneria della resilienza nasce proprio con lo scopo di studiare, spiegare e gestire i sistemi socio-tecnici complessi, che per dirla in maniera estesa sono quei

“sistemi all’interno dei quali troviamo fattori umani, organizzativi e tecnologici, intrecciati tra loro su più livelli in cui gli elementi costituenti sono difficili da identificare e le relazioni che intercorrono sono di difficile comprensione, quindi non totalmente conoscibili, ossia complessi (teoria dei sistemi)”.

Sistemi che non possono essere studiati e spiegati con i metodi tradizionali quali quelli che si basano sulla linearità semplice (modello domino o anche conosciuto come il five domino model di Heinrich) o la linearità complessa (o modello del formaggio svizzero – Swiss cheese model di Reason), questo perchè sono modelli che non tengono conto della non-linearità di sistemi sì fatti.

Essere consapevoli dunque che la complessa struttura della nostra società rienta in questa tipologia di sistema, è il primo passo per una corretta analisi generale e in particolare nella valutazione dei rischi su cui anche le direttive europee puntano particolarmente per il raggiungimento del controllo ed equilibrio tanto cari a Rasmussen.

Il metodo che può aiutare in questa analisi è il FRAM (Functional Resonance Analysis Method), nato proprio con lo scopo di aiutare nell’individuazione di quei fattori emergenti che possono trasmettere al sistema, tramite le funzioni che lo governano, una variabilità delle prestazioni tali che possano degenerare in incidenti ed eventi improvvisi apparentemente non prevedibili.

Il metodo FRAM si presta in particolar modo per comprendere come un sistema è fatto con lo scopo di fare un’analisi sia per una investigazione successiva ad un incidente, come per la valutazione di qualcosa che può accadere, leggasi risk assessment o uno studio in fase di progettazione per un nuovo prodotto/servizio.

Come già abbiamo avuto modo di approfondire, a nostro avviso, l’approccio dell’ingegneria della resilienza insieme allo strumento di analisi del FRAM e dei sistemi di gestione, sono il miglior modo per costruire organizzazioni resilienti, a patto che tutta la struttura di governo, ad iniziare dall’alta direzione, siano consapevoli della sfida e fortemente motivati.

Essere preparati …a non essere preparati (*)

Come si può prevedere l’imprevedibile?

Le condizioni per essere resilienti non possono essere ridotte ad anticipare gli eventi.

Mentre le cose che accadono sono controllabili solo se sono state anticipate in una certa misura, non saranno mai state anticipate in ogni dettaglio. Quindi, la resilienza implica una combinazione di prontezza e creatività, e di anticipazione e serendipity.

In altri termini, un sistema resiliente deve essere sia preparato che impreparato. C’è un esplicito doppio legame in quest’ultima frase che va oltre il gioco di parole. Nel caso di studio dell’amaraggio sul fiume Hudson, l’autore mostra che anticipare le strategie a livello di sistema nell’aviazione può portare a un risultato paradossale di generare operatori impreparati. Basandosi sull’idea di “errore di predeterminazione” di Mintzberg (1996), suggerisce che potrebbe esserci una “ironia della resilienza” nel fatto che le competenze in tempo reale necessarie per far fronte a eventi imprevisti o estremi sono esattamente quelle che si perdono nel continuo tentare di anticipare tutti gli eventi e di predeterminare le risposte corrispondenti. (…continua)

(*) Erik Hollnagel – Resilience Engineering in practice 

Spunti di lettura per professionisti e utenti interessati

Su queste pagine proponiamo alcuni libri che ci hanno segnato e colpito in tanti anni di attività. Alcuni famosi e spesso citati in tanti convegni, altri forse un po’ meno ma comunque densi di contenuti interessanti dettati dall’esperienza dell’autore.