La pubblicazione dei recenti documenti da parte di ACN (Agenzia per la Cybersicurezza nazionale)  relativamente all’applicazione della Direttiva NIS 2 per i soggetti Importanti ed essenziali (si veda https://www.acn.gov.it/portale/nis/modalita-specifiche-base) ha definito in modo piùchiaro le azioni da intraprendere per le imprese che sono state ritenute soggetti NIS 2.

In questo primo articolo vedremo quali sono gli adempimenti per i soggetti Importanti (la categoria con minori requisiti da applicare, ma sicuramente più vasta).

La DETERMINA ACN DEL 15/04/2025 (“Determinazione del Direttore Generale dell’Agenzia per la cybersicurezza nazionale di cui all’articolo 31, commi 1 e 2, del decreto legislativo 4 settembre 2024, n. 138, adottata secondo le modalità di cui all’articolo 40, comma 5, lettera l), che, ai sensi dell’articolo 42, comma 1, lettera c), in fase di prima applicazione, stabilisce le modalità e le specifiche di base per l’adempimento agli obblighi di cui agli articoli 23, 24, 25, 29 e 32 del decreto medesimo.”), con i suoi allegati, definisce in modo abbastanza completo le misure di sicurezza da adottare.

Ma vediamo in dettaglio le misure di sicurezza per i soggetti importanti.

1. Governance

Contesto Organizzativo: L’impresa (soggetto NIS) deve assicurarsi di comprendere a pieno il proprio contesto operativo, includendo la sua missione, le aspettative delle parti interessate, le dipendenze e tutti i requisiti legali, normativi e contrattuali che possono influenzare la gestione del rischio di cybersecurity.

L’impresa deve comprendere e comunicare chiaramente gli obiettivi, le capacità e i servizi critici da cui dipendono le parti interessate o che si aspettano dall’organizzazione.

L’impresa deve mantenere aggiornato un inventario di tutti i sistemi informativi e di rete rilevanti.

Strategia di Gestione del Rischio: L’impresa deve definire, comunicare e utilizzare le proprie priorità, i vincoli, la tolleranza e la propensione al rischio, nonché le assunzioni, per guidare le decisioni relative alla gestione del rischio operativo.

Le attività e i risultati della gestione del rischio di cybersecurity devono essere integrati nei processi di gestione del rischio complessivi dell’impresa.

L’impresa deve definire, attuare, aggiornare e documentare un piano di gestione dei rischi per la sicurezza informatica che includa l’identificazione, l’analisi, la valutazione, il trattamento e il monitoraggio dei rischi, nel rispetto delle politiche di sicurezza.

Ruoli, Responsabilità e Poteri: L’impresa deve stabilire e comunicare chiaramente i ruoli, le responsabilità e i poteri relativi alla cybersecurity, al fine di promuovere la responsabilizzazione, la valutazione delle prestazioni e il miglioramento continuo.

I ruoli, le responsabilità e i poteri relativi alla gestione del rischio di cybersecurity devono essere definiti, comunicati, compresi e applicati.

L’impresa deve definire e approvare una struttura organizzativa interna dedicata alla sicurezza informatica, specificando chiaramente ruoli e responsabilità, e renderla nota alle parti interessate.

L’impresa deve mantenere un elenco aggiornato del personale con ruoli e responsabilità specifiche in materia di sicurezza informatica e renderlo noto alle parti interessate.

L’organizzazione per la sicurezza informatica deve includere un punto di contatto e almeno un suo sostituto, come richiesto dalle normative vigenti.

L’impresa deve riesaminare e, se necessario, aggiornare periodicamente (almeno ogni due anni, o in caso di incidenti significativi, variazioni organizzative o cambiamenti nell’esposizione ai rischi) i ruoli e le responsabilità.

La cybersecurity deve essere integrata nelle pratiche di gestione delle risorse umane.

L’impresa deve assicurarsi che il personale autorizzato ad accedere ai sistemi informativi e di rete rilevanti sia selezionato previa valutazione di esperienza, capacità e affidabilità, e che fornisca garanzie di rispetto delle normative sulla sicurezza informatica.

Gli amministratori di sistema devono essere selezionati con gli stessi criteri di cui sopra.

L’impresa deve adottare e documentare le procedure relative a quanto sopra.

Politica di Cybersecurity: L’impresa deve stabilire, comunicare e applicare una politica di cybersecurity.

La politica per la gestione del rischio di cybersecurity deve essere definita in base al contesto organizzativo, alla strategia di cybersecurity e alle priorità, e deve essere comunicata e applicata.

L’impresa deve adottare e documentare politiche di sicurezza informatica per almeno i seguenti ambiti:

• Gestione del rischio
• Ruoli e responsabilità
• Affidabilità delle risorse umane
• Conformità e audit di sicurezza
• Gestione dei rischi per la sicurezza informatica della catena di approvvigionamento
• Gestione degli asset
• Gestione delle vulnerabilità
• Continuità operativa, ripristino in caso di disastro e gestione delle crisi
• Gestione dell’autenticazione, delle identità digitali e del controllo degli accessi
• Sicurezza fisica
• Formazione del personale e consapevolezza
• Sicurezza dei dati
• Sviluppo, configurazione, manutenzione e dismissione dei sistemi informativi e di rete
• Protezione delle reti e delle comunicazioni
• Monitoraggio degli eventi di sicurezza
• Risposta agli incidenti e ripristino

Le politiche devono includere almeno i requisiti specificati nella tabella 1 riportata in appendice dell’allegato 1 della Determina ACN del 15/04/2025..

Le politiche devono essere approvate dagli organi di amministrazione e direttivi.

La politica per la gestione del rischio di cybersecurity deve essere rivista, aggiornata, comunicata e applicata per riflettere eventuali cambiamenti nei requisiti, nelle minacce, nella tecnologia e nella missione dell’organizzazione.

Le politiche devono essere riesaminate e, se necessario, aggiornate periodicamente (almeno annualmente, o in caso di evoluzioni normative, incidenti significativi, variazioni organizzative o cambiamenti nell’esposizione ai rischi).

Durante il riesame, deve essere verificata la conformità delle politiche alla normativa vigente in materia di sicurezza informatica.

Gestione del Rischio di Cybersecurity della Catena di Approvvigionamento: L’impresa deve identificare, stabilire, gestire, monitorare e migliorare i processi di gestione del rischio di cybersecurity relativi alla catena di approvvigionamento, coinvolgendo le parti interessate.

L’impresa deve definire e ottenere l’approvazione delle parti interessate per il programma, la strategia, gli obiettivi, le politiche e i processi di gestione del rischio di cybersecurity della catena di approvvigionamento.

In caso di affidamento di forniture con potenziali impatti sulla sicurezza dei sistemi informativi e di rete, l’impresa deve:

• Coinvolgere l’organizzazione per la sicurezza informatica nella definizione ed esecuzione dei processi di approvvigionamento, a partire dalla fase di identificazione e progettazione della fornitura.
• Definire requisiti di sicurezza sulla fornitura coerenti con le proprie misure di sicurezza, in accordo con la valutazione del rischio associato alla fornitura.

L’impresa deve definire, comunicare e coordinare internamente ed esternamente i ruoli e le responsabilità in materia di cybersecurity per fornitori, clienti e partner.

L’impresa deve definire e comunicare alle parti interessate i ruoli e le responsabilità del personale delle terze parti in materia di sicurezza informatica.

Il personale delle terze parti con ruoli e responsabilità specifiche deve essere incluso nell’elenco del personale dell’organizzazione per la sicurezza informatica.

L’impresa deve identificare e classificare i fornitori in base alla loro criticità.

L’impresa deve mantenere un inventario aggiornato dei fornitori che possono avere un impatto sulla sicurezza dei sistemi informativi e di rete, includendo almeno:

• Gli estremi di contatto del referente della fornitura;
• La tipologia di fornitura.

L’impresa deve definire, classificare e integrare i requisiti per la gestione dei rischi di cybersecurity nella catena di approvvigionamento nei contratti e negli accordi con fornitori e altre terze parti.

Salvo ragioni normative o tecniche motivate e documentate, i requisiti di sicurezza devono essere inclusi nelle richieste di offerta, nei bandi di gara, nei contratti e negli accordi relativi alle forniture con potenziali impatti sulla sicurezza dei sistemi informativi e di rete.

L’impresa deve comprendere, registrare, classificare, valutare, trattare e monitorare i rischi posti da fornitori, prodotti, servizi e altre terze parti durante tutto il corso della relazione.

La valutazione del rischio deve includere la valutazione e la documentazione dei rischi associati alle forniture, considerando almeno:

• Il livello di accesso del fornitore ai sistemi informativi e di rete.
• L’accesso del fornitore alla proprietà intellettuale e ai dati, in base alla loro criticità.
• L’impatto di una grave interruzione della fornitura.
• I tempi e i costi di ripristino in caso di indisponibilità dei servizi.
• I ruoli e le responsabilità del fornitore nel governo dei sistemi informativi e di rete.

L’impresa deve verificare periodicamente e documentare la conformità delle forniture ai requisiti di sicurezza stabiliti.

2. Identificazione

Gestione degli Asset: L’impresa deve identificare e gestire tutti gli asset (dati, hardware, software, sistemi, infrastrutture, servizi, persone) che consentono all’organizzazione di raggiungere i propri obiettivi di business, in coerenza con la loro importanza rispetto agli obiettivi organizzativi e alla strategia sul rischio dell’organizzazione.

L’impresa deve mantenere inventari aggiornati di:

• Hardware (inclusi dispositivi IT, IoT, OT e mobili) approvato internamente.
• Software, servizi e sistemi (incluse applicazioni commerciali, open-source e custom, anche accessibili tramite API) approvati internamente.
• Servizi erogati da fornitori (inclusi servizi cloud).

Valutazione del Rischio: L’impresa deve comprendere i rischi di cybersecurity a cui sono esposti l’organizzazione, gli asset e le persone.

Le vulnerabilità degli asset devono essere identificate, confermate e registrate.

Le informazioni sulle vulnerabilità devono essere utilizzate per identificare eventuali vulnerabilità nei sistemi informativi e di rete.

L’impresa deve utilizzare minacce, vulnerabilità, probabilità e impatti per comprendere il rischio e definire le priorità nella risposta al rischio.

In accordo con il piano di gestione dei rischi per la sicurezza informatica, l’impresa deve eseguire e documentare una valutazione del rischio per la sicurezza dei sistemi informativi e di rete, considerando anche le dipendenze da fornitori e partner terzi.

La valutazione del rischio deve includere almeno:

• L’identificazione del rischio.
• L’analisi del rischio.
• La ponderazione del rischio.

La valutazione del rischio deve essere eseguita a intervalli pianificati (almeno ogni due anni) e in caso di incidenti significativi, variazioni organizzative o cambiamenti nell’esposizione ai rischi.

La valutazione del rischio deve essere approvata dagli organi di amministrazione e direttivi.

Le risposte al rischio devono essere selezionate, classificate per priorità, pianificate, monitorate e comunicate.

L’impresa deve definire, documentare, eseguire e monitorare un piano di trattamento del rischio che includa almeno:

• Le opzioni di trattamento e le misure da attuare in merito al trattamento di ciascun rischio individuato e le relative priorità;
• Le articolazioni competenti per l’attuazione delle misure di trattamento dei rischi e le tempistiche per tale attuazione;
• La descrizione e le ragioni che giustificano l’accettazione di eventuali rischi residui al trattamento.

Se non è possibile attuare i requisiti specificati nell’allegato 1 per ragioni normative o tecniche, l’impresa deve adottare misure di mitigazione compensative e includerle nel piano di trattamento del rischio, insieme alla descrizione dell’eventuale rischio residuo.

Il piano di trattamento del rischio, inclusa l’accettazione di eventuali rischi residui, deve essere approvato dagli organi di amministrazione e direttivi.

L’impresa deve stabilire processi per la ricezione, l’analisi e la risposta alle segnalazioni di vulnerabilità.

Devono essere monitorati almeno i canali di comunicazione del CSIRT Italia, nonché di eventuali CERT e Information Sharing & Analysis Centre (ISAC) settoriali, al fine di acquisire, analizzare e rispondere alle informazioni sulle vulnerabilità.

Le vulnerabilità, incluse quelle identificate, devono essere prontamente risolte attraverso aggiornamenti di sicurezza o misure di mitigazione, ove disponibili, ovvero accettando e documentando il rischio in accordo al piano di trattamento del rischio informatico.

L’impresa deve definire, attuare, aggiornare e documentare un piano di gestione delle vulnerabilità che comprende almeno:

• Le modalità per l’identificazione delle vulnerabilità e la relativa pianificazione delle attività;
• Le modalità per monitorare, ricevere, analizzare e rispondere alle informazioni sulle vulnerabilità;
• Le procedure, i ruoli, le responsabilità per lo svolgimento delle attività.

Il piano deve essere approvato dagli organi di amministrazione e direttivi.

Miglioramento: L’impresa deve identificare i miglioramenti necessari ai processi, alle procedure e alle attività di gestione del rischio di cybersecurity.

Devono essere identificati miglioramenti in esito alle valutazioni.

In accordo con gli esiti del riesame, l’impresa deve definire, attuare, documentare e approvare un piano di adeguamento che identifichi gli interventi necessari ad assicurare l’attuazione delle politiche di sicurezza.

Gli organi di amministrazione e direttivi devono essere informati mediante apposite relazioni periodiche sugli esiti dei piani.

I piani di risposta agli incidenti e gli altri piani di cybersecurity che impattano le operazioni devono essere stabiliti, comunicati, mantenuti e migliorati.

Per almeno i sistemi informativi e di rete rilevanti deve essere definito, attuato, aggiornato e documentato un piano di continuità operativa, che comprende almeno: le finalità e l’ambito di applicazione; i ruoli e le responsabilità; i contatti principali e i canali di comunicazione (interni ed esterni); le condizioni per l’attivazione e la disattivazione del piano; le risorse necessarie, inclusi i backup e le ridondanze.

Per almeno i sistemi informativi e di rete rilevanti deve essere definito, attuato, aggiornato e documentato un piano di ripristino (disaster recovery) in caso di disastro, che comprende almeno: le finalità e l’ambito di applicazione; i ruoli e le responsabilità; i contatti principali e i canali di comunicazione (interni ed esterni); le condizioni per l’attivazione e la disattivazione del piano; le risorse necessarie, inclusi i backup e le ridondanze; l’ordine di ripristino delle operazioni; le procedure di ripristino per operazioni specifiche, compresi gli obiettivi di ripristino.

Per almeno i sistemi informativi e di rete rilevanti deve essere definito, attuato, aggiornato e documentato un piano per la gestione delle crisi che comprende almeno: i ruoli e responsabilità del personale e, se opportuno, dei fornitori, specificando l’assegnazione dei ruoli in situazioni di crisi, comprese le procedure specifiche da seguire; le modalità di comunicazione tra i soggetti e le autorità competenti.

I piani devono essere approvati dagli organi di amministrazione e direttivi.

I piani devono essere riesaminati e, se opportuno, aggiornati periodicamente e comunque almeno ogni due anni, nonché qualora si verifichino incidenti significativi o cambiamenti dell’esposizione alle minacce e ai relativi rischi.

3. Protezione

Gestione delle identità, autenticazione e controllo degli accessi: L’accesso agli asset fisici e logici è limitato agli utenti, ai servizi e all’hardware autorizzati, e gestito in modo appropriato alla valutazione del rischio di accesso non autorizzato.

L’impresa deve gestire le identità e le credenziali degli utenti, dei servizi e dell’hardware autorizzati.

Tutte le utenze, incluse quelle con privilegi amministrativi e quelle per l’accesso remoto, devono essere censite, approvate e, salvo eccezioni tecniche motivate, individuali per gli utenti.

Le credenziali devono essere robuste e aggiornate in base alla valutazione del rischio.

Le utenze e le relative autorizzazioni devono essere verificate periodicamente, con aggiornamenti/revoche in caso di variazioni (es. trasferimento/cessazione del personale).

L’impresa deve adottare e documentare le procedure relative a quanto sopra.

L’impresa deve autenticare utenti, servizi e hardware.

Le modalità di autenticazione devono essere adeguate al rischio, considerando almeno i rischi connessi ai privilegi delle utenze, alla criticità dei sistemi e alla tipologia di operazioni consentite.

Per i sistemi rilevanti, e in accordo alla valutazione del rischio, devono essere impiegate modalità di autenticazione multi fattore (MFA).

L’impresa deve adottare e documentare le procedure relative a quanto sopra.

L’impresa deve definire, gestire, applicare e rivedere i permessi, i diritti e le autorizzazioni di accesso, incorporando i principi del minimo privilegio e della separazione dei compiti.

I permessi devono essere assegnati in base al principio del minimo privilegio e della separazione delle funzioni.

Deve essere assicurata la completa distinzione tra utenze con e senza privilegi amministrativi, con credenziali diverse.

L’impresa deve adottare e documentare le procedure relative a quanto sopra.

L’impresa deve gestire, monitorare e proteggere l’accesso fisico agli asset in misura appropriata al rischio.

Per i sistemi rilevanti, l’accesso fisico deve essere protetto.

L’impresa deve adottare e documentare le procedure relative a quanto sopra.

Consapevolezza e formazione: L’impresa deve assicurare che il personale sia sensibilizzato e formato sulla cybersecurity per svolgere i propri compiti.

L’impresa deve definire, attuare, aggiornare e documentare un piano di formazione in materia di sicurezza informatica per il personale, inclusi gli organi di amministrazione e direttivi. Il piano deve includere:

• La pianificazione delle attività di formazione con i contenuti della formazione;
• Le modalità di verifica dell’apprendimento.

Il piano di formazione deve essere approvato dagli organi di amministrazione e direttivi.

L’impresa deve mantenere un registro aggiornato del personale che ha ricevuto la formazione, i contenuti e le verifiche svolte.

Sicurezza dei dati: L’impresa deve gestire i dati in modo coerente con la strategia sul rischio per proteggerne riservatezza, integrità e disponibilità.

L’impresa deve proteggere la riservatezza, l’integrità e la disponibilità dei dati a riposo.

Per i sistemi rilevanti, e in accordo alla valutazione del rischio, i dati su dispositivi portatili e supporti rimovibili devono essere cifrati, salvo motivate eccezioni tecniche o normative.

Salvo eccezioni normative o tecniche documentate, deve essere disabilitata l’esecuzione automatica dei supporti rimovibili e deve essere effettuata la scansione per rilevare codice malevolo prima dell’utilizzo.

L’impresa deve adottare e documentare le procedure relative a quanto sopra.

L’impresa deve proteggere la riservatezza, l’integrità e la disponibilità dei dati in transito.

Per i sistemi rilevanti, incluse le comunicazioni vocali, video e testuali, devono essere utilizzati protocolli e algoritmi di cifratura sicuri per la trasmissione dei dati da e verso l’esterno, salvo motivate eccezioni tecniche o normative.

L’impresa deve adottare e documentare le procedure relative a quanto sopra.

L’impresa deve creare, proteggere, mantenere e verificare i backup dei dati.

In accordo con le esigenze di continuità operativa e ripristino in caso di disastro, devono essere effettuati periodicamente i backup dei dati e delle configurazioni e, per i sistemi rilevanti, devono essere conservate copie di backup offline.

L’impresa deve adottare e documentare le procedure relative a quanto sopra.

Sicurezza delle piattaforme e delle applicazioni: L’impresa deve gestire hardware, software (es. firmware, sistemi operativi, applicazioni) e servizi delle piattaforme fisiche e virtuali per proteggerne riservatezza, integrità e disponibilità.

L’impresa deve mantenere, sostituire e rimuovere il software in base al rischio.

Salvo eccezioni tecniche o normative, deve essere installato solo software per il quale è garantita la disponibilità di aggiornamenti di sicurezza.

Salvo eccezioni tecniche o normative, devono essere installati senza ritardo gli ultimi aggiornamenti di sicurezza rilasciati dal produttore, in coerenza con il piano di gestione delle vulnerabilità.

L’impresa deve adottare e documentare le procedure relative a quanto sopra.

L’impresa deve generare e rendere disponibili i registri di log per il monitoraggio continuo.

Tutti gli accessi da remoto e quelli con utenze con privilegi amministrativi devono essere registrati.

Per i sistemi rilevanti, devono essere conservati in modo sicuro, e possibilmente centralizzato, i log necessari per il monitoraggio degli eventi di sicurezza, inclusi quelli relativi agli accessi.

Le tempistiche di conservazione dei log devono essere definite e documentate in base alla valutazione del rischio.

L’impresa deve adottare e documentare le procedure relative a quanto sopra.

L’impresa deve integrare pratiche di sviluppo sicuro del software e monitorarne le prestazioni durante l’intero ciclo di vita del software.

Devono essere adottate e documentate procedure di sviluppo sicuro del codice nello sviluppo del software.

Resilienza dell’infrastruttura tecnologica: L’impresa deve gestire le architetture di sicurezza in accordo con la strategia sul rischio per proteggere la riservatezza, l’integrità e la disponibilità degli asset e la resilienza organizzativa.

L’impresa deve proteggere reti e ambienti dall’accesso logico e dall’uso non autorizzati.

Per i sistemi rilevanti, devono essere definite e documentate le attività consentite da remoto e implementate adeguate misure di sicurezza per l’accesso.

Deve essere mantenuto un elenco aggiornato dei sistemi accessibili da remoto con le relative modalità di accesso.

Devono essere presenti, aggiornati, mantenuti e configurati i sistemi perimetrali, come i firewall.

L’impresa deve adottare e documentare le procedure relative a quanto sopra.

4. Rilevamento

Monitoraggio continuo: L’impresa deve monitorare gli asset per individuare anomalie, indicatori di compromissione e altri eventi potenzialmente avversi.

L’impresa deve monitorare reti e servizi di rete per individuare eventi potenzialmente avversi.

Per i sistemi rilevanti, devono essere presenti, aggiornati, mantenuti e configurati strumenti tecnici adeguati per rilevare tempestivamente gli incidenti significativi.

Devono essere definiti e documentati i livelli di servizio attesi (SL) dei servizi e delle attività, anche al fine di rilevare tempestivamente gli incidenti significativi.

L’impresa deve adottare e documentare le procedure relative a quanto sopra.

L’impresa deve monitorare hardware e software di elaborazione, ambienti di runtime e i loro dati per individuare eventi potenzialmente avversi.

Salvo eccezioni normative o tecniche, devono essere presenti, aggiornati, mantenuti e configurati sistemi di protezione delle postazioni terminali e dei dispositivi in uso agli utenti (endpoint) per il rilevamento del codice malevolo (anti-malware).

L’impresa deve adottare e documentare le procedure relative a quanto sopra.

5. Risposta

Gestione degli incidenti: L’impresa deve gestire le risposte agli incidenti di cybersecurity rilevati.

L’impresa deve eseguire il piano di risposta agli incidenti in coordinamento con le terze parti interessate una volta dichiarato un incidente.

Deve essere definito, attuato, aggiornato e documentato un piano per la gestione degli incidenti di sicurezza informatica e la notifica al CSIRT Italia, che includa almeno:

• Le fasi e le procedure di gestione e notifica degli incidenti con i relativi ruoli e responsabilità;
• Le procedure per la predisposizione e la trasmissione delle relazioni previste dal decreto NIS;
• Le informazioni di contatto per la segnalazione degli incidenti;
• Le modalità di comunicazione interna ed esterna, incluso il coinvolgimento degli organi di amministrazione e direttivi;
• La reportistica per la documentazione dell’incidente.

Il piano deve essere approvato dagli organi di amministrazione e direttivi.

Il piano deve essere riesaminato e, se necessario, aggiornato periodicamente e in caso di incidenti significativi o mutamenti dell’esposizione ai rischi.

Segnalazione e comunicazione della risposta agli incidenti: L’impresa deve coordinare le attività di risposta con gli stakeholder interni ed esterni come richiesto da leggi, regolamenti o politiche.

L’impresa deve informare gli stakeholder interni ed esterni degli incidenti.

In accordo con il piano per la gestione degli incidenti, devono essere documentate e adottate procedure per comunicare senza ingiustificato ritardo, se opportuno e qualora possibile, sentito il CSIRT Italia, ovvero qualora intimato dall’Agenzia per la cybersicurezza nazionale:

• Ai destinatari dei servizi, gli incidenti significativi che possono ripercuotersi negativamente sulla fornitura di tali servizi;
• Ai destinatari dei servizi potenzialmente interessati da una minaccia informatica significativa, le misure o azioni correttive o di mitigazione che possono adottare e la natura della minaccia.

Devono essere documentate e adottate procedure per informare il pubblico sugli incidenti, qualora intimato dall’Agenzia per la cybersicurezza nazionale.

6. Ripristino

Esecuzione del piano di ripristino dagli incidenti: L’impresa deve eseguire le attività di ripristino per garantire la disponibilità operativa dei sistemi e dei servizi interessati da incidenti di cybersecurity.

L’impresa deve eseguire la parte del piano di risposta agli incidenti relativa al ripristino una volta avviata dal processo di risposta agli incidenti.

Nell’ambito del piano per la gestione degli incidenti, devono essere adottate e documentate procedure per il ripristino del normale funzionamento dei sistemi informativi e di rete coinvolti da incidenti di sicurezza informatica.

Documenti richiesti ai soggetti NIS 2 classificati come Importanti

IL documento nell’Allegato 1 della determina appena esaminato specifica numerose misure di sicurezza per le quali è richiesta l’adozione di procedure documentate. Oltre alle policy espressamente richieste al punto 1 Governo (Pllitiche di Cybersecurity), ecco un elenco strutturato delle principali aree in cui è espressamente richiesta documentazione formale:

1. Gestione del rischio

• Piano documentato di gestione del rischio.
• Documentazione della valutazione del rischio.
• Piano di trattamento del rischio documentato.

2. Affidabilità delle risorse umane

• Procedure documentate per la formazione del personale autorizzato ad accedere ai sistemi informativi rilevanti e per la selezione e gestione degli amministratori di sistema.

3. Conformità e audit

• Politiche formalizzate per ambiti specifici (gestione rischio, asset, accessi, ecc.).
• Piano di adeguamento documentato e approvato.

4. Catena di approvvigionamento

• Valutazione dei fornitori, inserimento nei contratti di requisiti di sicurezza e monitoraggio documentato.

5. Gestione asset e vulnerabilità

• Inventari documentati di hardware, software e servizi.
• Piano di gestione delle vulnerabilità documentato e procedure documentate per l’individuazione e la gestione delle vulnerabilità con relative responsabilità.

6. Continuità operativa e gestione crisi

• Piani documentati per continuità operativa, ripristino disastri e gestione crisi, con ruoli, risorse, canali e condizioni di attivazione.

7. Controllo accessi e autenticazione

• Procedure documentate per gestione utenze, autorizzazioni, autenticazione e principio del minimo privilegio.
• Procedure documentate per accesso remoto.

8. Sicurezza fisica

• Procedure documentate per protezione accessi fisici ai sistemi critici.

9. Formazione e consapevolezza

• Piano formativo documentato e approvato, registro aggiornato della formazione.

10. Sicurezza dei dati

• Procedure per cifratura dei dati a riposo e in transito.
• Procedure per backup e protezione dati di backup.

11. Sicurezza delle piattaforme

• Documentazione sulla gestione degli applicativi software e aggiornamenti.
• Gestione e conservazione dei log, con tempistiche documentate.
• Procedure di sviluppo sicuro documentate.

12. Monitoraggio

• Procedure documentate per rilevamento incidenti e protezione endpoint.

13. Risposta agli incidenti

• Piano documentato per gestione e notifica incidenti.
• Procedure per comunicazione interna ed esterna degli incidenti.

14. Ripristino

• Procedure documentate per ripristino post-incidente.