CONTENUTO DELLA DETERMINA DELL’AGENZIA PER LA CYBERSICUREZZA NAZIONALE

Tutti coloro che hanno provveduto a registrarsi presso la piattaforma ACN (Agenzia Nazionale per la Cybersicurezza) entro i termini di legge (vedisi mio articolo dello scorso 11 novembre sempre pubblicato sul mio sito web), hanno ricevuto tra fine marzo e il mese di aprile 2025 riscontro da parte dell'ACN sulla loro soggettività o meno: in caso di soggettività sono stati classificati come soggetti "importanti" o "essenziali".

In questo articolo spiego le misure di sicurezza che dovranno essere adottate dai soggetti classificati "importanti", chiarite attraverso un Determina emanata dalla ACN il 14 aprile, la quale ha stabilito che:

A - Le misure di sicurezza di base da attuare sono suddivise in nr. 2 allegati:

1)      Allegato 1: rivolto ai soggetti classificati come “IMPORTANTI”;

2)      Allegato 2: rivolto ai soggetti classificati come “ESSENZIALI”.

B – Gli incidenti significativi di base sono stabiliti:

1)      Allegato 3: per i soggetti classificati come “IMPORTANTI”;

2)      Allegato 4: per i soggetti classificati come “ESSENZIALI”.

IL TERMINE PER L’ADOZIONE DELLE MISURE DI SICUREZZA DI BASE RICHIESTE E’ FISSATO IN 18 MESI DALLA RICEZIONE, DA PARTE DEL SOGGETTO NIS, DELLA COMUNICAZIONE DI INSERIMENTO DELL’ELENCO DEI SOGGETTI NIS, INOLTRATA DALLA ACN COME RISCONTRO ALLA REGISTRAZIONE ESEGUITA ENTRO I TERMINI DI TEMPO STABILITI DALLA LEGGE (D.lgs. 138/2024).

ATTRAVERSO QUESTO ARTICOLO ANALIZZIAMO LE MISURE DI SICUREZZA CHE DOVRANNO IMPLEMENTARE I SOGGETTI CLASSIFICATI IMPORTANTI

ALLEGATO 1 – ADEMPIMENTI PER I SOGGETTI (AZIENDE/ENTI) CLASSIFICATI COME IMPORTANTI

GOVERN – Contesto Organizzativo

In questo ambito serve l’implementazione di procedure specifiche

1)      Analizzare il contesto: missione, aspettative degli stakeholder (ossia clienti, fornitori, finanziatori, collaboratori dipendenti, gruppi di interesse locale o esterni), dipendenze, requisiti legali e contrattuali, che influiscono sulle decisioni di gestione del rischio di cybersicurezza.

2)      Analizzare gli obbiettivi, le capacità e i servizi critici dai quali gli stakeholder dipendono o che si aspettano dall’organizzazione: comunicarli e farli comprendere, mantenendo un elenco aggiornato dei sistemi operativi e di rete rilevanti.

3)      Definire, attuare e mantenere aggiornato e documentato un piano di gestione dei rischi per la sicurezza informatica per identificare, analizzare, valutare, trattare e monitorare i rischi.

4)      Stabilire e comunicare i ruoli, le responsabilità e i correlati poteri in materia di cybersecurity per promuovere l’accountability, la valutazione delle prestazioni e il miglioramento continuo.

5)      Mantenere l’elenco aggiornato del personale avente specifici ruoli e responsabilità.

6)      Stabilire chi è il referente NIS (punto di contatto) e almeno un suo sostituto.

7)      Almeno ogni 2 anni (od ogni qualvolta si verifica un incidenti significativi, variazioni organizzative o mutamenti dell’esposizione delle minacce ai relativi rischi) riesaminare e se opportuno aggiornare i ruoli e le responsabilità.

8)      Includere la cybersecurity nelle pratiche delle risorse umane, attraverso procedure che diano evidenza circa quanto segue:

- per almeno i sistemi informativi e di rete rilevanti, il personale autorizzato ad accedervi deve essere individuato previa valutazione dell’esperienza, capacità ed affidabilità e deve fornire idonea garanzia del pieno rispetto della normativa in materia di sicurezza informatica.

- gli amministratori di sistema dei sistemi informativi e di rete vanno individuati previa valutazione dell’esperienza, capacità ed affidabilità e devono fornire idonea garanzia del pieno rispetto della normativa in materia di sicurezza informatica.

9)      Devono essere adottate e documentate politiche di sicurezza informatica per almeno i seguenti ambiti:

- Gestione del rischio.

- Ruoli e responsabilità.

- Affidabilità delle risorse umane.

- Conformità e audit di sicurezza.

- Gestione dei rischi per la sicurezza informatica della catena di approvvigionamento.

- Gestione degli asset.

- Gestione delle vulnerabilità.

- Continuità operativa, ripristino in caso di disastro e gestione delle crisi.

- Gestione dell’autenticazione, delle identità digitali e del controllo accessi.

- Sicurezza fisica.

- Formazione del personale e consapevolezza.

- Sicurezza dei dati.

- Sviluppo, configurazione, manutenzione e dismissione dei sistemi informativi e di rete.

- Protezione delle reti e delle comunicazioni.

- Monitoraggio degli eventi sicurezza.

- Risposta agli incidenti e ripristino.

10)    Con cadenza almeno annuale (o qualora si verifichino evoluzioni del contesto normativo in materia di sicurezza informatica, incidenti significativi, variazioni organizzative o mutamenti dell’esposizione alle minacce e relativi rischi), la politica per la gestione del rischi va revisionata, aggiornata, comunicata e applicata per riflettere i cambiamenti nei requisiti, nelle minacce, nella tecnologia e nella missione della organizzazione.

11)    Identificare, stabilire, gestire e monitorare i processi di gestione del rischio di cybersicurezza nella catena di approvvigionamento, nello specifico:

- Mantenere un inventario aggiornato dei fornitori, le cui forniture hanno un potenziale impatto sulla sicurezza dei sistemi informativi e di rete, che comprenda almeno: gli estremi di contatto del referente della fornitura e la tipologia della fornitura.

- Inserire nelle richieste di offerta/bandi di gara/accordi/convenzioni i requisiti di sicurezza.

- Registrare, prioritizzare, valutare, trattare, monitorare nel corso del rapporto di lavoro, i rischi posti da un fornitore. A tal fine sono valutati: il livello di accesso del fornitore ai sistemi informativi e di rete del soggetto NIS, l’accesso del fornitore alla proprietà intellettuale e ai dati anche sulla base della loro criticità, l’impatto di una grave interruzione di fornitura, i tempi e i costi di ripristino in caso di indisponibilità dei servizi, i ruoli e le responsabilità del fornitore nel governo dei sistemi informativi e di rete.

- La conformità ai requisiti delle forniture va verificata e documentata periodicamente.

IDENTIFITY – Gestione degli asset

In questo ambito serve l’implementazione di inventari specifici ed esecuzione dell’analisi dei rischi

1)      Mantenere un inventario aggiornato degli apparati fisici (hardware) che compongono i sistemi informativi e di rete, ivi inclusi i dispositivi IT, Iot, OT e mobili.

2)      Mantenere un inventario aggiornato dei servizi, dei sistemi e delle applicazioni software che compongono i sistemi informativi e di rete, ivi incluse le applicazioni commerciali open-source e custom, anche accessibili tramite API, approvati da attori interni al soggetto NIS.

3)      Mantenere un inventario aggiornato dei servizi informatici erogati dai fornitori, ivi inclusi i servizi cloud.

4)      Le vulnerabilità negli asset vanno identificate, confermate e registrate (si consiglia di eseguire un vulnerability assesment con cadenza annuale).

5)      Con cadenza almeno biennale (o qualora si verifichino incidenti significativi, variazioni organizzative o mutamenti dell’esposizione alle minacce e relativi rischi), effettuare la valutazione dei rischi (per chi è in possesso del DPIA conforme al GDPR, integrare quello), anche con riferimento alle eventuali dipendenze da fornitori e partner terzi, documentando, eseguendo e monitorando un piano di trattamento del rischio (piano di miglioramento) che comprenda anche la descrizione e le ragioni che giustificano l’accettazione di eventuali rischi residui.

6)      Definire, attuare e mantenere aggiornato e documentato un piano di gestione delle vulnerabilità.

7)      Stabilire e mantenere aggiornati i piani di risposta agli incidenti informatici e di un piano per la gestione delle crisi.

PROTECT – Gestione delle identità, autenticazione e controllo degli accessi

In questo ambito serve l’implementazione di piani formativi e misure di sicurezza a livello di autenticazione e permessi utente

1)      Impiegare modalità di autenticazione multi fattore.

2)      I permessi vanno assegnati alle utenze in accordo ai principi del minimo privilegio e della separazione delle funzioni, tenuto anche conto della necessità di conoscere (need to know), assicurando la completa distinzione tra utenze con e senza privilegi amministrativi degli amministratori di sistema alle quali debbono credenziali diverse.

3)      L’accesso fisico ai sistemi informativi e di rete rilevanti deve essere protetto.

4)      Il personale deve essere formato in materia di cybersicurezza: vanno indicati i contenuti della formazione fornita e va svolto test di apprendimento finale.

5)      Va tenuto e mantenuto aggiornato un registro recante l’elenco dei dipendenti che hanno ricevuto la formazione in materia di cybersicurezza.

SICUREZZA DEI DATI – Gestione della protezione dei dati conformemente e integrando quanto disposto dal GDPR

In questo ambito serve l’implementazione di misure di sicurezza specifiche a integrazione di quanto già previsto dalla normativa vigente in materia di protezione dei dati personali

1)      I dati memorizzati su dispositivi portatili, ivi incusi laptop, smartphone, tablet e sui supporti rimovibili devono essere cifrati con protocolli e algoritmi allo stato dell’arte e considerati sicuri.

2)      Deve essere disabilitata l’auto esecuzione dei supporti rimovibili ed effettuata la loro scansione, al fine di rilevare codici malevoli, prima che siano utilizzati nei sistemi informativi e di rete.

3)      Per la trasmissione dei dati da e verso l’esterno vanno utilizzati protocolli e algoritmi di cifratura allo stato dell’arte e considerati sicuri.

4)      Vanno installati e usati solo software (compresi sistemi operativi) per i quali è garantita la disponibilità di aggiornamenti di sicurezza e gli aggiornamenti vanno installati senza ingiustificato ritardo.

5)      Tutti gli accessi eseguiti da remoto e quelli effettuati con privilegi amministrativi sono registrati, vanno conservati in modo sicuro e possibilmente centralizzato.

6)      Devono essere adottate e documentate pratiche di sviluppo sicuro del codice nello sviluppo del software.

7)      Le architetture di sicurezza (comprese le perimetrali) vanno gestite per proteggere la riservatezza, l’integrità e la disponibilità degli asset e la resilienza organizzativa.

8)      Mantenere un elenco aggiornato dei sistemi informativi e di rete ai quali è possibile accedere da remoto con la descrizione delle relative modalità di accesso e definire e documentare le eventuali attività consentite da remoto, implementando adeguate misure di sicurezza per l’accesso.

9)      Devono essere presenti, aggiornati, mantenuti e configurati i sistemi perimetrali, quali firewall.

10)    Tutte le procedure di cui sopra vanno documentate.

DETECT – Monitoraggio continuo degli asset

In questo ambito serve l’implementazione di misure di verifica continua al fine di rilevare tempestivamente incidenti significativi

1)      Devono essere presenti, aggiornati, mantenuti e configurati in modo adeguato strumenti tecnici per rilevare tempestivamente gli incidenti significativi.

2)      Devono essere definiti e documentati i livelli di servizio attesi dei servizi e delle attività del soggetto nis, anche ai fini di rilevare tempestivamente gli incidenti significativi.

3)      Devono essere presenti, mantenuti aggiornati e configurati in modo adeguato, sistemi di protezione delle postazioni terminali per il rilevamento del codice malevolo.

RM Consulting è in grado di assistervi per il completo adeguamento burocratico/normativo/formativo.