diff --git a/application/config/nis2_sources.php b/application/config/nis2_sources.php index ee8b803..24a07ca 100644 --- a/application/config/nis2_sources.php +++ b/application/config/nis2_sources.php @@ -72,4 +72,13 @@ return [ 'authority' => 'ACN / Allegati al D.Lgs. 138/2024', 'url' => 'https://www.acn.gov.it/', ], + 'acn_specifiche_base_2025' => [ + 'key' => 'acn_specifiche_base_2025', + 'short' => 'Specifiche di base ACN (Framework Nazionale 2025)', + 'citation' => 'ACN, Misure di sicurezza di base NIS - Allegati 1 e 2 alla Determinazione n. 164179/2025', + 'full' => 'Misure di sicurezza di base (Determinazione ACN 164179/2025) articolate secondo il Framework Nazionale per la Cybersecurity e la Data Protection (ed. 2025): funzioni Governance (GV), Identificazione (ID), Protezione (PR), Rilevazione (DE), Risposta (RS), Ripristino (RC), poi categorie, sottocategorie e requisiti. Soggetti importanti: 37 misure / 87 requisiti (Allegato 1). Soggetti essenziali: 43 misure / 116 requisiti (Allegato 2), codifica identica con requisiti aggiuntivi. Esempi: GV.RR-04 (cybersicurezza nelle risorse umane, adeguatezza al ruolo), GV.PO-01 (policy di gestione del rischio). Adozione: 18 mesi dalla notifica di inserimento nell elenco NIS.', + 'file' => 'docs/nis2/Determina164179_apr2025.pdf', + 'authority' => 'Agenzia per la Cybersicurezza Nazionale (ACN)', + 'url' => 'https://www.acn.gov.it/portale/nis/modalita-specifiche-base', + ], ]; diff --git a/public/guida.html b/public/guida.html index b67e94b..8647af8 100644 --- a/public/guida.html +++ b/public/guida.html @@ -212,8 +212,29 @@
  • Media impresa = 50–249 dipendenti oppure fatturato tra 10 e 50 milioni €.
  • Grande impresa = ≥250 dipendenti oppure fatturato >50 milioni €.
    • -

    In generale: medie e grandi imprese nei settori sopra elencati sono in scope. Le piccole sono in scope - solo in casi particolari (es. fornitori di servizi DNS, TLD, registrar).

    +

    In generale: medie e grandi imprese nei settori sopra elencati sono in scope.

    + +

    In scope a prescindere dalla dimensione

    +

    Attenzione: alcune tipologie di soggetto sono in ambito anche se piccole o microimprese, + indipendentemente dalle soglie dimensionali. Tra queste (Direttiva (UE) 2022/2555, art. 2; D.Lgs. 138/2024):

    + +
    + Caso reale: Agile Technology. Una software house che eroga a terzi una piattaforma SaaS + e servizi ICT gestiti (come NIS2 Agile stessa) rientra tipicamente tra i fornitori di servizi + gestiti B2B: in questo caso è in ambito a prescindere dal numero di dipendenti o dal + fatturato. La qualificazione formale (essenziale/importante) va confermata caso per caso, ma + l'esenzione "piccola impresa" qui non si applica. +
    Esempio pratico. "Aurora Sanità S.p.A." con 480 dipendenti e 92 milioni € di fatturato, @@ -384,6 +405,42 @@
  • Salva: puoi continuare in più sessioni.
  • Quando finisci, clicca "Analisi AI" per ricevere raccomandazioni prioritarie.
    • + +

    Dalle 10 misure ai requisiti operativi ACN (specifiche di base)

    +

    Le 10 categorie dell'Art. 21 sono il livello "cosa". Il livello "come" + operativo in Italia è dettagliato dall'ACN nella Determinazione n. 164179 del 14 aprile + 2025, che adotta le specifiche di base articolate secondo il Framework Nazionale + per la Cybersecurity e la Data Protection (ed. 2025). Struttura: funzioni → categorie → + sottocategorie → requisiti, con sei funzioni — GV Governance, ID + Identificazione, PR Protezione, DE Rilevazione, RS + Risposta, RC Ripristino.

    +

    La codifica dei requisiti è la stessa per soggetti importanti ed essenziali; gli + essenziali hanno semplicemente requisiti aggiuntivi:

    + +
    + Esempio (requisiti di governance). GV.RR-04 richiede che la cybersicurezza + sia integrata nella gestione delle risorse umane: chi accede ai sistemi (utenti e amministratori) deve + avere competenze e affidabilità adeguate al ruolo, valutate e documentate. + GV.PO-01 richiede una policy di gestione del rischio cyber formalizzata, + comunicata e applicata. È il "controllo di adeguatezza al ruolo" delle figure chiave dell'organigramma. +
    +
    + Come si collega alla piattaforma. Le 80 domande della Gap Analysis + (8 × 10 categorie Art. 21) danno il quadro di maturità di primo livello; le specifiche di base + ACN (Allegati 1–2) sono il dettaglio operativo verso cui portare l'implementazione. Il modulo + Audit & Report include il mapping ai controlli del framework (es. GV.OC-04, + GV.RR-04, GV.PO-01). +
    +
    + Determina ACN 164179/2025 + Framework Nazionale 2025 + Misure di sicurezza di base: Allegato 1 (importanti) e Allegato 2 (essenziali); incidenti significativi + di base: Allegato 3 (importanti) e Allegato 4 (essenziali). Termine di adozione: 18 mesi dalla notifica + di inserimento nell'elenco NIS. Fonte: Agenzia per la Cybersicurezza Nazionale (acn.gov.it). +
    @@ -450,6 +507,16 @@

    Il Registro Quantitativo somma l'ALE di tutti i rischi quantificati, dando l'esposizione economica complessiva del portafoglio.

    +
    + Perché serve quantificare in euro. L'ALE va sempre confrontata con il costo + della non-conformità, non solo con il costo delle misure. Le sanzioni NIS2 (art. 34 Direttiva (UE) + 2022/2555, recepito dal D.Lgs. 138/2024) arrivano fino a 10 milioni € o il 2% del fatturato + mondiale annuo (il maggiore) per i soggetti essenziali, e fino a + 7 milioni € o l'1,4% per gli importanti. Se l'incidente comporta anche + una violazione di dati personali, si aggiunge la sanzione GDPR (art. 83) fino a 20 milioni € + o il 4%. Mettere l'ALE accanto a queste soglie aiuta la Direzione a decidere quanto investire. +
    +

    Indicatori chiave di rischio – KRI (vista "KRI")

    I KRI sono sensori che monitorano nel tempo segnali di rischio (es. "% endpoint senza MFA", "n. vulnerabilità critiche aperte"). Per ogni indicatore definisci un valore corrente e @@ -483,18 +550,19 @@

    La timeline

    -

    24h Early Warning

    +

    24h Preallarme (early warning)

    Prima segnalazione "veloce". Bastano: cosa è successo, sospetti di malevolenza, impatto preliminare. - Non devi avere ancora tutte le risposte.

    + Non devi avere ancora tutte le risposte. Termine normativo: preallarme (art. 23 D.Lgs. 138/2024).

    -

    72h Notifica completa

    +

    72h Notifica dell'incidente (notification)

    Aggiornamento dettagliato: indicatori di compromissione, sistemi colpiti, misure di contenimento applicate, stima impatto.

    -

    30d Final Report

    -

    Analisi completa: root cause, azioni correttive, lezioni apprese, raccomandazioni per il futuro.

    +

    30d Relazione finale (final report)

    +

    Analisi completa: causa radice, azioni correttive, lezioni apprese, raccomandazioni per il futuro. + Termine normativo: relazione finale, entro 1 mese (art. 23 D.Lgs. 138/2024).