Applicare la NIS 2 per i soggetti importanti

La pubblicazione dei recenti documenti da parte di ACN (Agenzia per la Cybersicurezza nazionale)  relativamente all’applicazione della Direttiva NIS 2 per i soggetti Importanti ed essenziali (si veda https://www.acn.gov.it/portale/nis/modalita-specifiche-base) ha definito in modo piùchiaro le azioni da intraprendere per le imprese che sono state ritenute soggetti NIS 2.

In questo primo articolo vedremo quali sono gli adempimenti per i soggetti Importanti (la categoria con minori requisiti da applicare, ma sicuramente più vasta).

La DETERMINA ACN DEL 15/04/2025 (“Determinazione del Direttore Generale dell’Agenzia per la cybersicurezza nazionale di cui all’articolo 31, commi 1 e 2, del decreto legislativo 4 settembre 2024, n. 138, adottata secondo le modalità di cui all’articolo 40, comma 5, lettera l), che, ai sensi dell’articolo 42, comma 1, lettera c), in fase di prima applicazione, stabilisce le modalità e le specifiche di base per l’adempimento agli obblighi di cui agli articoli 23, 24, 25, 29 e 32 del decreto medesimo.”), con i suoi allegati, definisce in modo abbastanza completo le misure di sicurezza da adottare.

Ma vediamo in dettaglio le misure di sicurezza per i soggetti importanti.

Leggi tutto

La ISO 27005 per la gestione del rischio nella sicurezza delle informazioni

La norma ISO/IEC 27005:2022 fornisce linee guida per la gestione dei rischi legati alla sicurezza delle informazioni, alla cybersecurity e alla protezione della privacy. In questo articolo esamineremo i principali elementi trattati dalla norma, disponibile solo in lingua inglese.

La norma ISO/IEC 27005:2022, pubblicata nell’ottobre 2022, introduce diverse modifiche rispetto all’edizione precedente del 2018. I principali cambiamenti possono essere riassunti come segue:

  1. Allineamento con altre norme: Il testo è stato aggiornato per essere coerente con la ISO/IEC 27001:2022 e la ISO 31000:2018, garantendo una maggiore armonizzazione tra gli standard relativi alla gestione della sicurezza delle informazioni e del rischio.
  2. Introduzione degli scenari di rischio: Sono stati introdotti i concetti relativi agli scenari di rischio, che aiutano a comprendere meglio le potenziali minacce e le loro conseguenze attraverso la definizione di sequenze o combinazioni di eventi che possono portare a risultati indesiderati.
  3. Approccio basato sugli eventi: Oltre al tradizionale approccio basato sugli asset, la nuova edizione introduce l’approccio basato sugli eventi per l’identificazione dei rischi. Questo metodo si concentra sull’analisi di eventi e conseguenze, spesso derivanti dalle preoccupazioni della direzione o dai requisiti organizzativi, offrendo una prospettiva più strategica nella gestione del rischio.
  4. Revisione della struttura e dei contenuti: La norma è stata riorganizzata, passando da 12 clausole e 6 appendici nell’edizione 2018 a 10 clausole e un’appendice nella versione 2022. Questa ristrutturazione mira a migliorare la chiarezza e l’usabilità del documento. citeturn0search0

Queste modifiche riflettono l’evoluzione delle pratiche di gestione del rischio nel campo della sicurezza delle informazioni, offrendo alle organizzazioni strumenti aggiornati per affrontare le sfide emergenti in questo ambito.

Leggi tutto

La Certificazione privacy: lo schema ISDP©10003

La certificazione ai sensi dell’art. 42 del Regolamento Generale sulla Protezione dei Dati (General Data Protection Regulation, GDPR) è un processo che dimostra l’impegno di un’azienda a proteggere i dati personali gestiti (ad es. dei propri clienti e dipendenti), relativamente ad un processo, prodotto o servizio.

La certificazione GDPR non è obbligatoria, ma può essere un’ottima opportunità per le aziende che desiderano dimostrare il loro impegno verso la conformità alle normative sulla protezione dei dati personali e, quindi, aumentare la loro reputazione sul mercato, magari accedendo, in un prossimo futuro, a gare di appalto particolarmente significative.

Il processo di certificazione GDPR prevede una valutazione dettagliata dei sistemi e dei processi di protezione dei dati dell’organizzazione da parte di un organismo di certificazione accreditato. Questo Organismo esaminerà le procedure interne dell’azienda, le tecnologie utilizzate per proteggere i dati e la formazione del personale in materia di sicurezza dei dati. Se l’azienda supera la valutazione, verrà rilasciata una certificazione che dimostra che il prodotto, processo o servizio dell’organizzazione oggetto di certificazione è conforme ai requisiti del GDPR.

Leggi tutto

Valutazione del rischio per la sicurezza delle informazioni vs. valutazione del rischio privacy

In un precedente articolo abbiamo trattato della valutazione del rischio privacy per adempiere ai requisiti del GDPR (Regolamento UE 2016/679 sulla protezione dei dati personali), ma chi ha o deve implementare un sistema di gestione per la sicurezza delle informazioni come deve considerare la valutazione dei rischi sui trattamenti di dati personali? Tale valutazione è implicita nella valutazione dei rischi sulla sicurezza delle informazioni, ovvero è un “di cui” di essa? Oppure, come sostengono alcuni esperti di privacy, è tutta un’altra cosa e va considerata separatamente? Cerchiamo di chiarire questi aspetti.

Leggi tutto