Linee Guida ENISA sull’applicazione della NIS 2

L’ENISA (Agenzia dell’Unione Europea per la Cibersicurezza) ha pubblicato (quasi contemporaneamente alla CYBERSECURITY ROLES AND SKILLS FOR NIS2 ESSENTIAL AND IMPORTANT ENTITIES) una guida tecnica per l’implementazione delle misure di gestione del rischio di cibersicurezza (https://www.enisa.europa.eu/publications/nis2-technical-implementation-guidance)  in riferimento al Regolamento di Esecuzione (UE) 2024/2690 della Commissione del 17 ottobre 2024, che stabilisce i requisiti tecnici e metodologici previsti dall’Articolo 21(2) della Direttiva NIS2 (Direttiva (UE) 2022/2555).



L’obiettivo principale di questa guida è fornire consigli non vincolanti ai soggetti interessati su come implementare i requisiti tecnici e metodologici per la gestione del rischio di cibersicurezza. Sebbene sia destinato principalmente ai soggetti contemplati dal REGOLAMENTO DI ESECUZIONE (UE) 2024/2690 DELLA COMMISSIONE del 17 ottobre 2024, può essere utile anche per altre organizzazioni pubbliche o privati che desiderano migliorare la propria cibersicurezza.

La guida copre 13 requisiti tecnici e metodologici chiave per la gestione del rischio di cibersicurezza, tra cui:

  1. Politica sulla sicurezza dei sistemi di rete e informativi.
  2. Politica di gestione del rischio.
  3. Gestione degli incidenti.
  4. Continuità operativa e gestione delle crisi.
  5. Sicurezza della catena di approvvigionamento.
  6. Sicurezza nell’acquisizione, sviluppo e manutenzione dei sistemi di rete e informativi.
  7. Politiche e procedure per valutare l’efficacia delle misure di gestione del rischio di cibersicurezza.
  8. Pratiche di base di igiene informatica e formazione sulla sicurezza.
  9. Crittografia.
  10. Sicurezza delle risorse umane.
  11. Controllo degli accessi.
  12. Gestione degli asset.
  13. Sicurezza ambientale e fisica.

Per ciascun requisito, il documento fornisce indicazioni, esempi di evidenze e suggerimenti utili. Questa guida è un “documento vivo” e viene correlata a standard europei e internazionali (come ISO/IEC 27001:2022 e NIST Cybersecurity Framework 2.0) e a framework nazionali di gestione della cibersicurezza. È importante notare che questo documento ha carattere consultivo e non è legalmente vincolante, né sostituisce i framework nazionali o le indicazioni fornite dagli Stati membri. Le entità dovrebbero verificare la propria giurisdizione e seguire le indicazioni delle autorità nazionali competenti.

Sezione 1 – Politica sulla Sicurezza dei Sistemi di Rete e Informativi

Questa sezione rappresenta il fondamento strategico dell’intero impianto normativo e operativo: la politica sulla sicurezza dei sistemi di rete e informazione è concepita come il documento di più alto livello, approvato dal vertice aziendale, che definisce l’approccio dell’entità alla cybersicurezza.

La politica deve:

  • Essere coerente con la strategia e gli obiettivi aziendali;
  • Esplicitare obiettivi di sicurezza, l’impegno al miglioramento continuo e all’allocazione di risorse adeguate (umane, tecniche, finanziarie);
  • Definire ruoli e responsabilità, anche per soggetti esterni rilevanti (fornitori, partner, etc.);
  • Includere un sistema di monitoraggio dell’attuazione e della maturità della postura di sicurezza, e l’elenco delle politiche tematiche obbligatorie (es. incidenti, crittografia, controllo accessi, etc.);
  • Prevedere revisioni almeno annuali e in occasione di incidenti o cambiamenti rilevanti.

L’implementazione efficace implica una comunicazione adeguata della politica al personale e agli stakeholder rilevanti, con firme o attestazioni di presa visione dove applicabile. Inoltre, la sezione insiste sulla segregazione dei compiti per evitare conflitti d’interesse e sulla presenza di almeno una figura (come il CISO) che riferisca direttamente al vertice.

In sintesi, questa sezione impone una governance solida, documentata e verificabile della sicurezza, con un forte coinvolgimento del top management e una tracciabilità delle responsabilità.

Sezione 2 – Politica di Gestione del Rischio

La seconda sezione introduce l’obbligo per i soggetti NIS di adottare un framework di gestione del rischio informatico strutturato e documentato, in grado di identificare, analizzare, valutare e trattare i rischi che minacciano la sicurezza dei sistemi di rete e informazione.

Il processo di gestione del rischio deve includere:

  1. Metodologia formalmente adottata (es. ISO/IEC 27005, NIST RMF);
  2. Definizione di criteri di rischio, tolleranza e appetito al rischio;
  3. Identificazione dei rischi, anche da terze parti e supply chain, secondo un approccio all-hazards (quindi non solo cyber);
  4. Analisi di minacce, impatti e probabilità, includendo vulnerabilità e intelligence su minacce attuali;
  5. Definizione di misure di trattamento del rischio, tra cui mitigazione, accettazione, trasferimento o eliminazione del rischio;
  6. Produzione di un piano di trattamento del rischio che specifichi: rischi trattati, misure associate, responsabilità e tempistiche;
  7. Approvazione del piano da parte dei vertici aziendali o da chi ha responsabilità specifica.

Sono inoltre richieste revisioni almeno annuali del piano e dei risultati delle analisi di rischio, tenendo conto di modifiche operative, nuovi rischi, incidenti gravi o mutamenti nel contesto normativo o tecnologico.

Una parte fondamentale è dedicata al monitoraggio della conformità (compliance monitoring) e alle revisioni indipendenti della gestione della sicurezza. Queste devono essere condotte da soggetti con competenze adeguate e indipendenti rispetto all’area esaminata. I risultati devono essere riportati alla direzione e tradursi in azioni correttive o in decisioni motivate di accettazione del rischio residuo.

Non viene proposto alcun modello specifico, ma solo richiamati schemi esistenti (es. ISO 27005), dunque in questo paragrafo la guida tecnica è poco applicativa; la scelta fra livelli di probabilità, gravità, rischio inerente, efficacia delle misure di sicurezza e rischio residuo è lasciata all’organizzazione.

Sezione 3 – Gestione degli incidenti

Questa sezione stabilisce che ogni soggetto NIS deve adottare una politica strutturata per la gestione degli incidenti informatici. Tale politica deve specificare ruoli, responsabilità e procedure per il rilevamento, l’analisi, la risposta, la documentazione e la comunicazione degli incidenti. Deve essere coerente con i piani di continuità operativa (v. sezione 4) e prevedere strumenti come manuali, elenchi di contatti, procedure di escalation e reporting. Importante è anche il monitoraggio continuo dei sistemi, il logging, la classificazione degli eventi e la conduzione di post-incident reviews che permettano un miglioramento continuo della postura di sicurezza

Sezione 4 – Business Continuity and Crisis Management

Questa sezione tratta la preparazione e gestione della continuità operativa e delle crisi. I soggetti essenziali (e importanti) devono predisporre un piano di continuità e ripristino dei disastri, che includa ruoli e responsabilità, criteri per l’attivazione, obiettivi di recovery, risorse necessarie, comunicazioni interne/esterne e procedure per il ritorno alla normalità. Si raccomanda l’adozione di standard riconosciuti (es. ISO 22301) e l’integrazione tra piani di backup, risposta agli incidenti e gestione delle crisi. Per quest’ultima, è essenziale disporre di un piano specifico, testato regolarmente, e che definisca come comunicare con stakeholder e autorità durante una crisi.

Sezione 5 – Sicurezza della Supply Chain

La sicurezza della supply chain richiede una policy che governi i rapporti con fornitori e prestatori di servizi, identificando i rischi associati e criteri di selezione basati su pratiche di sicurezza, resilienza, diversificazione e conformità. Le entità devono inoltre mantenere un registro aggiornato dei fornitori, classificandoli per criticità (es. strategici, critici, ordinari). È incoraggiato l’uso di standard come ISO/IEC 27036 e NIST SP 800-161 per gestire il rischio nella catena di fornitura

Sezione 6 – Sicurezza nell’acquisizione, nello sviluppo e nella manutenzione del software

Questa sezione impone processi per la gestione sicura di acquisizioni, sviluppo e manutenzione di sistemi ICT. Si deve garantire sicurezza fin dall’acquisizione di componenti critici, applicare un ciclo di sviluppo sicuro, gestire correttamente configurazioni, cambiamenti, patch, test di sicurezza, segmentazione di rete e protezione contro software malevoli. È anche obbligatorio un processo strutturato per la gestione e la divulgazione di vulnerabilità

Sezione 7 – Valutazione dell’efficacia delle misure di sicurezza

Qui si richiede che i soggetti NIS adottino politiche e procedure per valutare regolarmente l’efficacia delle misure di gestione del rischio informatico. Queste valutazioni, compresi i riesami indipendenti, devono essere pianificate periodicamente e dopo eventi significativi. I risultati devono essere comunicati alla direzione e tradotti in azioni correttive o accettazione consapevole dei rischi residui.

Sezione 8 – Formazione sulla sicurezza informatica

I soggetti NIS devono implementare “pratiche di igiene informatica” (riporto testualmente, ma mi rifiuto di usare questi termini in contesto operativo) di base (es. aggiornamenti software, uso sicuro della posta elettronica) e programmi di sensibilizzazione e formazione per tutto il personale. L’obiettivo è diffondere una cultura della sicurezza e garantire che i dipendenti conoscano comportamenti e procedure adeguate in tema di cybersicurezza.

Sezione 9 – Crittografia

L’uso della crittografia deve essere proporzionato ai rischi e integrato nei processi aziendali. I soggetti NIS devono adottare meccanismi robusti per la protezione dei dati in transito e a riposo, oltre a definire politiche per la gestione delle chiavi crittografiche. È auspicabile l’uso di standard internazionali riconosciuti (es. NIST, ISO/IEC 18033).

Sezione 10 – Sicurezza delle Risorse Umane

Sono richieste misure specifiche per garantire la sicurezza nell’ambito HR, includendo la verifica delle attitudini passate (screening), procedure in caso di termine del rapporto di lavoro e azioni disciplinari in caso di violazioni. È essenziale che il personale sia consapevole delle proprie responsabilità in materia di sicurezza.

Sezione 11 – Controllo degli Accessi

I soggetti NIS devono stabilire una politica di controllo degli accessi ben definita: gestione dei diritti, uso di account privilegiati, sistemi di autenticazione, inclusa l’adozione della multi-factor authentication (MFA). È importante garantire che l’accesso alle risorse sia limitato secondo il principio del minimo privilegio.

Sezione 12 – Asset Management

Qui si richiede l’identificazione, classificazione e gestione sistematica degli asset (hardware, software, dati, media removibili). Devono esistere inventari aggiornati e procedure per la restituzione o cancellazione sicura degli asset alla fine del rapporto lavorativo.

Sezione 13 – Sicurezza Fisica e Ambientale

Infine, è prevista la protezione fisica degli ambienti e dei sistemi critici, con misure che vanno dal controllo degli accessi perimetrali all’uso di utility di supporto, sistemi di monitoraggio e difesa contro minacce ambientali (incendi, allagamenti, ecc.). La sicurezza logica, infatti, si fonda anche su una protezione fisica adeguata.

Si consideri però, come sopra riportato, che queste linee guida tecniche sono rivolte specificatamente ad alcuni soggetti essenziali per i quali non è applicabile il limite dei 50 dipendenti, ovvero, come recita la linea guida:

The document, as well as the implementing regulation, refers to the following type of entities:

  • domain name system service providers,
  • top-level domain name registries,
  • cloud computing service providers,
  • data centre service providers,
  • content delivery network providers,
  • managed service providers and managed security service providers,
  • providers of online marketplaces, online search engines and social networking services platforms and
  • trust service providers.

Quindi gli altri soggetti essenziali, ma soprattutto i soggetti importanti hanno delle semplificazioni ripsetto a quanto riportato nella Guida ENISA.

In particolare, l’ACN ha previsto proprie indicazioni che, per i soggetti importanti, possono essere riassunte qui di seguito.

1. Governance

Contesto Organizzativo

L’organizzazione (soggetto NIS) deve assicurarsi di comprendere a pieno il proprio contesto operativo, includendo la sua missione, le aspettative delle parti interessate, le dipendenze e tutti i requisiti legali, normativi e contrattuali che possono influenzare la gestione del rischio di cybersecurity.

L’organizzazione deve comprendere e comunicare chiaramente gli obiettivi, le capacità e i servizi critici da cui dipendono le parti interessate o che si aspettano dall’organizzazione.

L’organizzazione deve mantenere aggiornato un inventario di tutti i sistemi informativi e di rete rilevanti.

Strategia di Gestione del Rischio

L’organizzazione deve definire, comunicare e utilizzare le proprie priorità, i vincoli, la tolleranza e la propensione al rischio, nonché le assunzioni, per guidare le decisioni relative alla gestione del rischio operativo.

Le attività e i risultati della gestione del rischio di cybersecurity devono essere integrati nei processi di gestione del rischio complessivi del organizzazione.

L’organizzazione deve definire, attuare, aggiornare e documentare un piano di gestione dei rischi per la sicurezza informatica che includa l’identificazione, l’analisi, la valutazione, il trattamento e il monitoraggio dei rischi, nel rispetto delle politiche di sicurezza.

Ruoli, Responsabilità e Autorità

L’organizzazione deve stabilire e comunicare chiaramente i ruoli, le responsabilità e le autorità relativi alla cybersecurity, al fine di promuovere la responsabilizzazione, la valutazione delle prestazioni e il miglioramento continuo.

I ruoli, le responsabilità e le autocitò relativi alla gestione del rischio di cybersecurity devono essere definiti, comunicati, compresi e applicati.

L’organizzazione deve definire e approvare una struttura organizzativa interna dedicata alla sicurezza informatica, specificando chiaramente ruoli e responsabilità, e renderla nota alle parti interessate.

L’organizzazione deve mantenere un elenco aggiornato del personale con ruoli e responsabilità specifiche in materia di sicurezza informatica e renderlo noto alle parti interessate.

L’organizzazione per la sicurezza informatica deve includere un punto di contatto e almeno un suo sostituto, come richiesto dalle normative vigenti (il punto di contatto è stato già definito, mentre il sostituto dovrà essere comunicato ad ACN entro il 31/07/2025).

L’organizzazione deve riesaminare e, se necessario, aggiornare periodicamente (almeno ogni due anni, o in caso di incidenti significativi), variazioni organizzative o cambiamenti nell’esposizione ai rischi) i ruoli e le responsabilità.

La cybersecurity deve essere integrata nelle pratiche di gestione delle risorse umane.

L’organizzazione deve assicurarsi che il personale autorizzato ad accedere ai sistemi informativi e di rete rilevanti sia selezionato previa valutazione di esperienza, capacità e affidabilità, e che fornisca garanzie di rispetto delle normative sulla sicurezza informatica.

Gli amministratori di sistema devono essere selezionati con gli stessi criteri di cui sopra.

L’organizzazione deve adottare e documentare le procedure relative a quanto sopra.

Politica di Cybersecurity

L’organizzazione deve stabilire, comunicare e applicare una politica di cybersecurity.

La politica per la gestione del rischio di cybersecurity deve essere definita in base al contesto organizzativo, alla strategia di cybersecurity e alle priorità, e deve essere comunicata e applicata.

L’organizzazione deve adottare e documentare politiche di sicurezza informatica per almeno i seguenti ambiti:

  • Gestione del rischio
  • Ruoli e responsabilità
  • Affidabilità delle risorse umane
  • Conformità e audit di sicurezza
  • Gestione dei rischi per la sicurezza informatica della catena di approvvigionamento
  • Gestione degli asset
  • Gestione delle vulnerabilità
  • Continuità operativa, ripristino in caso di disastro e gestione delle crisi
  • Gestione dell’autenticazione, delle identità digitali e del controllo degli accessi
  • Sicurezza fisica
  • Formazione del personale e consapevolezza
  • Sicurezza dei dati
  • Sviluppo, configurazione, manutenzione e dismissione dei sistemi informativi e di rete
  • Protezione delle reti e delle comunicazioni
  • Monitoraggio degli eventi di sicurezza
  • Risposta agli incidenti e ripristino

Le politiche devono essere approvate dagli organi di amministrazione e direttivi.

La politica per la gestione del rischio di cybersecurity deve essere rivista, aggiornata, comunicata e applicata per riflettere eventuali cambiamenti nei requisiti, nelle minacce, nella tecnologia e nella missione dell’organizzazione.

Le politiche devono essere riesaminate e, se necessario, aggiornate periodicamente (almeno annualmente, o in caso di evoluzioni normative, incidenti significativi, variazioni organizzative o cambiamenti nell’esposizione ai rischi).

Durante il riesame, deve essere verificata la conformità delle politiche alla normativa vigente in materia di sicurezza informatica.

Gestione del Rischio di Cybersecurity della Catena di Approvvigionamento

L’organizzazione deve identificare, stabilire, gestire, monitorare e migliorare i processi di gestione del rischio di cybersecurity relativi alla catena di approvvigionamento, coinvolgendo le parti interessate.

L’organizzazione deve definire e ottenere l’approvazione delle parti interessate per il programma, la strategia, gli obiettivi, le politiche e i processi di gestione del rischio di cybersecurity della catena di approvvigionamento.

In caso di affidamento di forniture con potenziali impatti sulla sicurezza dei sistemi informativi e di rete, L’organizzazione deve:

  • Coinvolgere l’organizzazione per la sicurezza informatica nella definizione ed esecuzione dei processi di approvvigionamento, a partire dalla fase di identificazione e progettazione della fornitura.
  • Definire requisiti di sicurezza sulla fornitura coerenti con le proprie misure di sicurezza, in accordo con la valutazione del rischio associato alla fornitura.

L’organizzazione deve definire, comunicare e coordinare internamente ed esternamente i ruoli e le responsabilità in materia di cybersecurity per fornitori, clienti e partner.

L’organizzazione deve definire e comunicare alle parti interessate i ruoli e le responsabilità del personale delle terze parti in materia di sicurezza informatica.

Il personale delle terze parti con ruoli e responsabilità specifiche deve essere incluso nell’elenco del personale dell’organizzazione per la sicurezza informatica.

L’organizzazione deve identificare e classificare i fornitori in base alla loro criticità.

L’organizzazione deve mantenere un inventario aggiornato dei fornitori che possono avere un impatto sulla sicurezza dei sistemi informativi e di rete, includendo almeno:

  • Gli estremi di contatto del referente della fornitura;
  • La tipologia di fornitura.

L’organizzazione deve definire, classificare e integrare i requisiti per la gestione dei rischi di cybersecurity nella catena di approvvigionamento nei contratti e negli accordi con fornitori e altre terze parti.

Salvo ragioni normative o tecniche motivate e documentate, i requisiti di sicurezza devono essere inclusi nelle richieste di offerta, nei bandi di gara, nei contratti e negli accordi relativi alle forniture con potenziali impatti sulla sicurezza dei sistemi informativi e di rete.

L’organizzazione deve comprendere, registrare, classificare, valutare, trattare e monitorare i rischi posti da fornitori, prodotti, servizi e altre terze parti durante tutto il corso della relazione.

La valutazione del rischio deve includere la valutazione e la documentazione dei rischi associati alle forniture, considerando almeno:

  • Il livello di accesso del fornitore ai sistemi informativi e di rete.
  • L’accesso del fornitore alla proprietà intellettuale e ai dati, in base alla loro criticità.
  • L’impatto di una grave interruzione della fornitura.
  • I tempi e i costi di ripristino in caso di indisponibilità dei servizi.
  • I ruoli e le responsabilità del fornitore nel governo dei sistemi informativi e di rete.

L’organizzazione deve verificare periodicamente e documentare la conformità delle forniture ai requisiti di sicurezza stabiliti.

2. Identificazione

Gestione degli Asset

L’organizzazione deve identificare e gestire tutti gli asset (dati, hardware, software, sistemi, infrastrutture, servizi, persone) che consentono all’organizzazione di raggiungere i propri obiettivi di business, in coerenza con la loro importanza rispetto agli obiettivi organizzativi e alla strategia sul rischio dell’organizzazione.

L’organizzazione deve mantenere inventari aggiornati di:

  • Hardware (inclusi dispositivi IT, IoT, OT e mobili) approvato internamente.
  • Software, servizi e sistemi (incluse applicazioni commerciali, open-source e custom, anche accessibili tramite API) approvati internamente.
  • Servizi erogati da fornitori (inclusi servizi cloud).

Valutazione del Rischio

L’organizzazione deve comprendere i rischi di cybersecurity a cui sono esposti l’organizzazione, gli asset e le persone.

Le vulnerabilità degli asset devono essere identificate, confermate e registrate.

Le informazioni sulle vulnerabilità devono essere utilizzate per identificare eventuali vulnerabilità nei sistemi informativi e di rete.

L’organizzazione deve utilizzare minacce, vulnerabilità, probabilità e impatti per comprendere il rischio e definire le priorità nella risposta al rischio.

In accordo con il piano di gestione dei rischi per la sicurezza informatica, L’organizzazione deve eseguire e documentare una valutazione del rischio per la sicurezza dei sistemi informativi e di rete, considerando anche le dipendenze da fornitori e partner terzi.

La valutazione del rischio deve includere almeno:

  • L’identificazione del rischio.
  • L’analisi del rischio.
  • La ponderazione del rischio.

La valutazione del rischio deve essere eseguita a intervalli pianificati (almeno ogni due anni) e in caso di incidenti significativi, variazioni organizzative o cambiamenti nell’esposizione ai rischi.

La valutazione del rischio deve essere approvata dagli organi di amministrazione e direttivi.

Le risposte al rischio devono essere selezionate, classificate per priorità, pianificate, monitorate e comunicate.

L’organizzazione deve definire, documentare, eseguire e monitorare un piano di trattamento del rischio che includa almeno:

  • Le opzioni di trattamento e le misure da attuare in merito al trattamento di ciascun rischio individuato e le relative priorità;
  • Le articolazioni competenti per l’attuazione delle misure di trattamento dei rischi e le tempistiche per tale attuazione;
  • La descrizione e le ragioni che giustificano l’accettazione di eventuali rischi residui al trattamento.

Se non è possibile attuare i requisiti specificati da ACN1 per ragioni normative o tecniche, L’organizzazione deve adottare misure di mitigazione compensative e includerle nel piano di trattamento del rischio, insieme alla descrizione dell’eventuale rischio residuo.

Il piano di trattamento del rischio, inclusa l’accettazione di eventuali rischi residui, deve essere approvato dagli organi di amministrazione e direttivi.

L’organizzazione deve stabilire processi per la ricezione, l’analisi e la risposta alle segnalazioni di vulnerabilità.

Devono essere monitorati almeno i canali di comunicazione del CSIRT Italia, nonché di eventuali CERT e Information Sharing & Analysis Centre (ISAC) settoriali, al fine di acquisire, analizzare e rispondere alle informazioni sulle vulnerabilità.

Le vulnerabilità, incluse quelle identificate, devono essere prontamente risolte attraverso aggiornamenti di sicurezza o misure di mitigazione, ove disponibili, ovvero accettando e documentando il rischio in accordo al piano di trattamento del rischio informatico.

L’organizzazione deve definire, attuare, aggiornare e documentare un piano di gestione delle vulnerabilità che comprende almeno:

  • Le modalità per l’identificazione delle vulnerabilità e la relativa pianificazione delle attività;
  • Le modalità per monitorare, ricevere, analizzare e rispondere alle informazioni sulle vulnerabilità;
  • Le procedure, i ruoli, le responsabilità per lo svolgimento delle attività.

Il piano deve essere approvato dagli organi di amministrazione e direttivi.

Miglioramento

L’organizzazione deve identificare i miglioramenti necessari ai processi, alle procedure e alle attività di gestione del rischio di cybersecurity.

Devono essere identificati miglioramenti in esito alle valutazioni.

In accordo con gli esiti del riesame, L’organizzazione deve definire, attuare, documentare e approvare un piano di adeguamento che identifichi gli interventi necessari ad assicurare l’attuazione delle politiche di sicurezza.

Gli organi di amministrazione e direttivi devono essere informati mediante apposite relazioni periodiche sugli esiti dei piani.

I piani di risposta agli incidenti e gli altri piani di cybersecurity che impattano le operazioni devono essere stabiliti, comunicati, mantenuti e migliorati.

Per almeno i sistemi informativi e di rete rilevanti deve essere definito, attuato, aggiornato e documentato un piano di continuità operativa, che comprende almeno: le

  • finalità e l’ambito di applicazione; i
  • ruoli e le responsabilità; i contatti principali e i canali di comunicazione (interni ed esterni);
  • le condizioni per l’attivazione e la disattivazione del piano;
  • le risorse necessarie, inclusi i backup e le ridondanze.

Per almeno i sistemi informativi e di rete rilevanti deve essere definito, attuato, aggiornato e documentato un piano di ripristino (disaster recovery) in caso di disastro, che comprende almeno:

  • le finalità e l’ambito di applicazione;
  • i ruoli e le responsabilità; i contatti principali e i canali di comunicazione (interni ed esterni);
  • le condizioni per l’attivazione e la disattivazione del piano;
  • le risorse necessarie, inclusi i backup e le ridondanze; l’ordine di ripristino delle operazioni;
  • le procedure di ripristino per operazioni specifiche, compresi gli obiettivi di ripristino.

Per almeno i sistemi informativi e di rete rilevanti deve essere definito, attuato, aggiornato e documentato un piano per la gestione delle crisi che comprende almeno: i ruoli e responsabilità del personale e, se opportuno, dei fornitori, specificando l’assegnazione dei ruoli in situazioni di crisi, comprese le procedure specifiche da seguire; le modalità di comunicazione tra i soggetti e le autorità competenti.

I piani devono essere approvati dagli organi di amministrazione e direttivi.

I piani devono essere riesaminati e, se opportuno, aggiornati periodicamente e comunque almeno ogni due anni, nonché qualora si verifichino incidenti significativi o cambiamenti dell’esposizione alle minacce e ai relativi rischi.

3. Protezione

Gestione delle identità, autenticazione e controllo degli accessi

L’accesso a agli asset fisici e logici è limitato agli utenti, ai servizi e all’hardware autorizzati, e gestito in modo appropriato alla valutazione del rischio di accesso non autorizzato.

L’organizzazione deve gestire le identità e le credenziali degli utenti, dei servizi e dell’hardware autorizzati.

Tutte le utenze, incluse quelle con privilegi amministrativi e quelle per l’accesso remoto, devono essere censite, approvate e, salvo eccezioni tecniche motivate, individuali per gli utenti.

Le credenziali devono essere robuste e aggiornate in base alla valutazione del rischio.

Le utenze e le relative autorizzazioni devono essere verificate periodicamente, con aggiornamenti/revoche in caso di variazioni (es. trasferimento/cessazione del personale).

L’organizzazione deve adottare e documentare le procedure relative a quanto sopra.

L’organizzazione deve autenticare utenti, servizi e hardware.

Le modalità di autenticazione devono essere adeguate al rischio, considerando almeno i rischi connessi ai privilegi delle utenze, alla criticità dei sistemi e alla tipologia di operazioni consentite.

Per i sistemi rilevanti, e in accordo alla valutazione del rischio, devono essere impiegate modalità di autenticazione multi-fattore (MFA).

L’organizzazione deve adottare e documentare le procedure relative a quanto sopra.

L’organizzazione deve definire, gestire, applicare e rivedere i permessi, i diritti e le autorizzazioni di accesso, incorporando i principi del minimo privilegio e della separazione dei compiti.

Deve essere assicurata la completa distinzione tra utenze con e senza privilegi amministrativi, con credenziali diverse.

L’organizzazione deve adottare e documentare le procedure relative a quanto sopra.

L’organizzazione deve gestire, monitorare e proteggere l’accesso fisico agli asset in misura appropriata al rischio.

Per i sistemi rilevanti, l’accesso fisico deve essere protetto.

L’organizzazione deve adottare e documentare le procedure relative a quanto sopra.

Consapevolezza e formazione

 L’organizzazione deve assicurare che il personale sia sensibilizzato e formato sulla cybersecurity per svolgere i propri compiti.

L’organizzazione deve definire, attuare, aggiornare e documentare un piano di formazione in materia di sicurezza informatica per il personale, inclusi gli organi di amministrazione e direttivi. Il piano deve includere:

  • La pianificazione delle attività di formazione con i contenuti della formazione;
  • Le modalità di verifica dell’apprendimento.

Il piano di formazione deve essere approvato dagli organi di amministrazione e direttivi.

L’organizzazione deve mantenere un registro aggiornato del personale che ha ricevuto la formazione, i contenuti e le verifiche svolte.

Sicurezza dei dati

L’organizzazione deve gestire i dati in modo coerente con la strategia sul rischio per proteggerne riservatezza, integrità e disponibilità.

L’organizzazione deve proteggere la riservatezza, l’integrità e la disponibilità dei dati a riposo.

Per i sistemi rilevanti, e in accordo alla valutazione del rischio, i dati su dispositivi portatili e supporti rimovibili devono essere cifrati, salvo motivate eccezioni tecniche o normative.

Salvo eccezioni normative o tecniche documentate, deve essere disabilitata l’esecuzione automatica dei supporti rimovibili e deve essere effettuata la scansione per rilevare codice malevolo prima dell’utilizzo.

L’organizzazione deve adottare e documentare le procedure relative a quanto sopra.

L’organizzazione deve proteggere la riservatezza, l’integrità e la disponibilità dei dati in transito.

Per i sistemi rilevanti, incluse le comunicazioni vocali, video e testuali, devono essere utilizzati protocolli e algoritmi di cifratura sicuri per la trasmissione dei dati da e verso l’esterno, salvo motivate eccezioni tecniche o normative.

L’organizzazione deve adottare e documentare le procedure relative a quanto sopra.

L’organizzazione deve creare, proteggere, mantenere e verificare i backup dei dati.

In accordo con le esigenze di continuità operativa e ripristino in caso di disastro, devono essere effettuati periodicamente i backup dei dati e delle configurazioni e, per i sistemi rilevanti, devono essere conservate copie di backup offline.

L’organizzazione deve adottare e documentare le procedure relative a quanto sopra.

Sicurezza delle piattaforme e delle applicazioni

L’organizzazione deve gestire hardware, software (es. firmware, sistemi operativi, applicazioni) e servizi delle piattaforme fisiche e virtuali per proteggerne riservatezza, integrità e disponibilità.

L’organizzazione deve mantenere, sostituire e rimuovere il software in base al rischio.

Salvo eccezioni tecniche o normative, deve essere installato solo software per il quale è garantita la disponibilità di aggiornamenti di sicurezza.

Salvo eccezioni tecniche o normative, devono essere installati senza ritardo gli ultimi aggiornamenti di sicurezza rilasciati dal produttore, in coerenza con il piano di gestione delle vulnerabilità.

L’organizzazione deve adottare e documentare le procedure relative a quanto sopra.

L’organizzazione deve generare e rendere disponibili i registri di log per il monitoraggio continuo.

Tutti gli accessi da remoto e quelli con utenze con privilegi amministrativi devono essere registrati.

Per i sistemi rilevanti, devono essere conservati in modo sicuro, e possibilmente centralizzato, i log necessari per il monitoraggio degli eventi di sicurezza, inclusi quelli relativi agli accessi.

Le tempistiche di conservazione dei log devono essere definite e documentate in base alla valutazione del rischio.

L’organizzazione deve adottare e documentare le procedure relative a quanto sopra.

L’organizzazione deve integrare pratiche di sviluppo sicuro del software e monitorarne le prestazioni durante l’intero ciclo di vita del software.

Devono essere adottate e documentate procedure di sviluppo sicuro del codice nello sviluppo del software.

Resilienza dell’infrastruttura tecnologica

L’organizzazione deve gestire le architetture di sicurezza in accordo con la strategia sul rischio per proteggere la riservatezza, l’integrità e la disponibilità degli asset e la resilienza organizzativa.

L’organizzazione deve proteggere reti e ambienti dall’accesso logico e dall’uso non autorizzati.

Per i sistemi rilevanti, devono essere definite e documentate le attività consentite da remoto e implementate adeguate misure di sicurezza per l’accesso.

Deve essere mantenuto un elenco aggiornato dei sistemi accessibili da remoto con le relative modalità di accesso.

Devono essere presenti, aggiornati, mantenuti e configurati i sistemi perimetrali, come i firewall.

L’organizzazione deve adottare e documentare le procedure relative a quanto sopra.

4. Rilevamento

Monitoraggio continuo

L’organizzazione deve monitorare gli asset per individuare anomalie, indicatori di compromissione e altri eventi potenzialmente avversi.

L’organizzazione deve monitorare reti e servizi di rete per individuare eventi potenzialmente avversi.

Per i sistemi rilevanti, devono essere presenti, aggiornati, mantenuti e configurati strumenti tecnici adeguati a rilevare tempestivamente gli incidenti significativi.

Devono essere definiti e documentati i livelli di servizio attesi (SL) dei servizi e delle attività, anche al fine di rilevare tempestivamente gli incidenti significativi.

L’organizzazione deve adottare e documentare le procedure relative a quanto sopra.

L’organizzazione deve monitorare hardware e software di elaborazione, ambienti di runtime e i loro dati per individuare eventi potenzialmente avversi.

Salvo eccezioni normative o tecniche, devono essere presenti, aggiornati, mantenuti e configurati sistemi di protezione delle postazioni terminali e dei dispositivi in uso agli utenti (endpoint) per il rilevamento del codice malevolo (anti-malware).

L’organizzazione deve adottare e documentare le procedure relative a quanto sopra.

5. Risposta

Gestione degli incidenti

L’organizzazione deve gestire le risposte agli incidenti di cybersecurity rilevati.

L’organizzazione deve eseguire il piano di risposta agli incidenti in coordinamento con le terze parti interessate una volta dichiarato un incidente.

Deve essere definito, attuato, aggiornato e documentato un piano per la gestione degli incidenti di sicurezza informatica e la notifica al CSIRT Italia, che includa almeno:

  • Le fasi e le procedure di gestione e notifica degli incidenti con i relativi ruoli e responsabilità;
  • Le procedure per la predisposizione e la trasmissione delle relazioni previste dal decreto NIS;
  • Le informazioni di contatto per la segnalazione degli incidenti;
  • Le modalità di comunicazione interna ed esterna, incluso il coinvolgimento degli organi di amministrazione e direttivi;
  • La reportistica per la documentazione dell’incidente.

Il piano deve essere approvato dagli organi di amministrazione e direttivi.

Il piano deve essere riesaminato e, se necessario, aggiornato periodicamente e in caso di incidenti significativi o mutamenti dell’esposizione ai rischi.

Segnalazione e comunicazione della risposta agli incidenti

L’organizzazione deve coordinare le attività di risposta con gli stakeholder interni ed esterni come richiesto da leggi, regolamenti o politiche.

L’organizzazione deve informare gli stakeholder interni ed esterni degli incidenti.

In accordo con il piano per la gestione degli incidenti, devono essere documentate e adottate procedure per comunicare senza ingiustificato ritardo, se opportuno e qualora possibile, sentito il CSIRT Italia, ovvero qualora intimato dall’Agenzia per la cybersicurezza nazionale:

  • Ai destinatari dei servizi, gli incidenti significativi che possono ripercuotersi negativamente sulla fornitura di tali servizi;
  • Ai destinatari dei servizi potenzialmente interessati da una minaccia informatica significativa, le misure o azioni correttive o di mitigazione che possono adottare e la natura della minaccia.

Devono essere documentate e adottate procedure per informare il pubblico sugli incidenti, qualora intimato dall’Agenzia per la cybersicurezza nazionale.

6. Ripristino

Esecuzione del piano di ripristino dagli incidenti

L’organizzazione deve eseguire le attività di ripristino per garantire la disponibilità operativa dei sistemi e dei servizi interessati da incidenti di cybersecurity.

L’organizzazione deve eseguire la parte del piano di risposta agli incidenti relativa al ripristino una volta avviata dal processo di risposta agli incidenti.

Nell’ambito del piano per la gestione degli incidenti, devono essere adottate e documentate procedure per il ripristino del normale funzionamento dei sistemi informativi e di rete coinvolti da incidenti di sicurezza informatica.

Conclusioni

Dunque, per i soggetti importanti, è opportuno prendere come riferimento le indicazioni vincolanti di ACN (tra l’altro comprese in una Determina di ACN stessa), utilizzando le Linee Guida Tecniche di ENISA come riferimento per definire le modalità di applicazione delle misure di sicurezza, come anche la ISO/IEC 27002, considerando solo i controlli di sicurezza applicabili.