From d6924a30c10730b6f8ab2aa42932189924f37d9b Mon Sep 17 00:00:00 2001 From: DevEnv nis2-agile Date: Mon, 1 Jun 2026 12:18:25 +0200 Subject: [PATCH] [FIX] Gap Analysis ACN: bug da review avversariale (4 agenti) #1 CRITICO aiAnalyze: askWithRag ritorna ['answer','sources','rag_used'], non una stringa. Ora estrae 'answer' (ai_summary) e salva 'sources' in ai_recommendations. Prima salvava il JSON intero in ai_summary. #2 ALTO corpus RAG: acn_requirements.json aveva 188/203 testi TRONCATI alla prima riga PDF (es. GV.PO-01#1: 84 char invece di 838). Rigenerato dai testi INTEGRALI di acn_measures.json (87+116, zero troncamenti). Ri-ingest Qdrant. #3 MEDIO catalog(): org non classificata dava entity_level=null + warning PHP $totals[null] + TypeError frontend. Ora 422 ENTITY_LEVEL_REQUIRED come create(). #4 MEDIO guida cap-5 GV.RR-04: "figure chiave dell'organigramma" era errato e auto-contraddittorio -> "personale autorizzato + amministratori di sistema, valutazione esperienza/capacita/affidabilita" (allineato testo ACN). #5 BASSI: openAcn try/catch (no unhandled rejection su Riprendi); badge importante/essenziale IT/EN; overall_score=null (non 0.0) se tutti N/A. Co-Authored-By: Claude Opus 4.8 --- .../controllers/AcnAssessmentController.php | 24 +- docs/nis2/allegati_acn/acn_requirements.json | 3256 ++++++++--------- public/acn-gap.html | 26 +- public/guida.html | 7 +- 4 files changed, 1667 insertions(+), 1646 deletions(-) diff --git a/application/controllers/AcnAssessmentController.php b/application/controllers/AcnAssessmentController.php index ad577ab..ae3bac5 100644 --- a/application/controllers/AcnAssessmentController.php +++ b/application/controllers/AcnAssessmentController.php @@ -47,6 +47,15 @@ class AcnAssessmentController extends BaseController { $this->requireOrgAccess(); $level = $this->resolveEntityLevel(); + if ($level === null) { + // Coerente con create(): senza classificazione non c'e perimetro. + // Il frontend intercetta ENTITY_LEVEL_REQUIRED e mostra l'invito a classificare. + $this->jsonError( + 'Il soggetto non e classificato come importante o essenziale. Completa prima la classificazione NIS2 dell\'organizzazione.', + 422, + 'ENTITY_LEVEL_REQUIRED' + ); + } $grouped = $this->groupedRequirements($level, []); $totals = $this->datasetTotals(); @@ -385,18 +394,23 @@ class AcnAssessmentController extends BaseController 'organization_id' => $this->getCurrentOrgId(), 'consulting_firm_id' => $this->currentUser['consulting_firm_id'] ?? null, ]; - $answer = $ai->askWithRag($question, $userContext); + // askWithRag ritorna ['answer'=>string, 'sources'=>array, 'rag_used'=>bool]: + // estraiamo il testo, NON salviamo l'intero array. + $result = $ai->askWithRag($question, $userContext); + $answer = is_array($result) ? (string) ($result['answer'] ?? '') : (string) $result; + $sources = (is_array($result) && isset($result['sources'])) ? $result['sources'] : []; } catch (Throwable $e) { error_log('[AcnAssessment] aiAnalyze fallita: ' . $e->getMessage()); $this->jsonError('Analisi AI temporaneamente non disponibile. Riprova piu tardi.', 503, 'AI_UNAVAILABLE'); } Database::update('acn_assessments', [ - 'ai_summary' => is_string($answer) ? $answer : json_encode($answer, JSON_UNESCAPED_UNICODE), + 'ai_summary' => $answer, + 'ai_recommendations' => json_encode($sources, JSON_UNESCAPED_UNICODE), ], 'id = ?', [$id]); $this->logAudit('acn_assessment_ai_analyzed', 'acn_assessment', $id, ['gaps' => count($gaps)]); - $this->jsonSuccess(['ai_summary' => $answer], 'Analisi AI completata'); + $this->jsonSuccess(['ai_summary' => $answer, 'sources' => $sources], 'Analisi AI completata'); } // ════════════════════════ HELPER ════════════════════════ @@ -580,7 +594,9 @@ class AcnAssessmentController extends BaseController $cnt++; } - $overall = $cnt > 0 ? round($sum / $cnt, 2) : 0.0; + // Se nessun requisito e applicabile (tutti not_applicable) il punteggio + // non e definito: null, non 0.0 (che significherebbe "0% conforme"). + $overall = $cnt > 0 ? round($sum / $cnt, 2) : null; $funcScores = []; foreach ($byFunc as $fc => $d) { $funcScores[$fc] = $d['cnt'] > 0 ? round($d['sum'] / $d['cnt'], 2) : 0.0; diff --git a/docs/nis2/allegati_acn/acn_requirements.json b/docs/nis2/allegati_acn/acn_requirements.json index e10d950..84de008 100644 --- a/docs/nis2/allegati_acn/acn_requirements.json +++ b/docs/nis2/allegati_acn/acn_requirements.json @@ -1,1630 +1,1630 @@ { - "importante": [ - { - "entity": "importante", - "function": "Governance", - "subcategory": "GV.OC-4", - "subcategory_text": "Gli obiettivi, le capacità e i servizi critici dai quali gli stakeholder dipendono o che", - "req_index": 1, - "requirement": "È mantenuto un elenco aggiornato dei sistemi informativi e di rete rilevanti." - }, - { - "entity": "importante", - "function": "Governance", - "subcategory": "GV.RM-03", - "subcategory_text": "Le attività e gli esiti della gestione del rischio di cybersecurity sono parte", - "req_index": 1, - "requirement": "Nell'ambito dei processi di gestione del rischio del soggetto NIS e nel rispetto delle" - }, - { - "entity": "importante", - "function": "Governance", - "subcategory": "GV.RR-02", - "subcategory_text": "I ruoli, le responsabilità e i correlati poteri relativi alla gestione del rischio di", - "req_index": 1, - "requirement": "È definita, approvata dagli organi di amministrazione e direttivi, e resa nota alle" - }, - { - "entity": "importante", - "function": "Governance", - "subcategory": "GV.RR-02", - "subcategory_text": "I ruoli, le responsabilità e i correlati poteri relativi alla gestione del rischio di", - "req_index": 2, - "requirement": "È mantenuto un elenco aggiornato del personale dell'organizzazione di cui al punto 1" - }, - { - "entity": "importante", - "function": "Governance", - "subcategory": "GV.RR-02", - "subcategory_text": "I ruoli, le responsabilità e i correlati poteri relativi alla gestione del rischio di", - "req_index": 3, - "requirement": "All’interno dell’organizzazione per la sicurezza informatica di cui al punto 1, sono inclusi" - }, - { - "entity": "importante", - "function": "Governance", - "subcategory": "GV.RR-02", - "subcategory_text": "I ruoli, le responsabilità e i correlati poteri relativi alla gestione del rischio di", - "req_index": 4, - "requirement": "I ruoli e le responsabilità di cui al punto 1 sono riesaminati e, se opportuno, aggiornati" - }, - { - "entity": "importante", - "function": "Governance", - "subcategory": "GV.RR-04", - "subcategory_text": "La cybersecurity è incluso nelle pratiche delle risorse umane.", - "req_index": 1, - "requirement": "Per almeno i sistemi informativi e di rete rilevanti, il personale autorizzato ad accedervi è" - }, - { - "entity": "importante", - "function": "Governance", - "subcategory": "GV.RR-04", - "subcategory_text": "La cybersecurity è incluso nelle pratiche delle risorse umane.", - "req_index": 2, - "requirement": "Gli amministratori di sistema dei sistemi informativi e di rete sono individuati previa" - }, - { - "entity": "importante", - "function": "Governance", - "subcategory": "GV.RR-04", - "subcategory_text": "La cybersecurity è incluso nelle pratiche delle risorse umane.", - "req_index": 3, - "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" - }, - { - "entity": "importante", - "function": "Governance", - "subcategory": "GV.PO-01", - "subcategory_text": "La politica per la gestione del rischio di cybersecurity è stabilita in base al contesto", - "req_index": 1, - "requirement": "Sono adottate e documentate politiche di sicurezza informatica per almeno i seguenti" - }, - { - "entity": "importante", - "function": "Governance", - "subcategory": "GV.PO-01", - "subcategory_text": "La politica per la gestione del rischio di cybersecurity è stabilita in base al contesto", - "req_index": 2, - "requirement": "Per gli ambiti di cui al punto 1 sono incluse almeno le politiche in relazione ai requisiti" - }, - { - "entity": "importante", - "function": "Governance", - "subcategory": "GV.PO-01", - "subcategory_text": "La politica per la gestione del rischio di cybersecurity è stabilita in base al contesto", - "req_index": 3, - "requirement": "Le politiche di cui al punto 1 sono approvate dagli organi di amministrazione e direttivi." - }, - { - "entity": "importante", - "function": "Governance", - "subcategory": "GV.PO-02", - "subcategory_text": "La politica per la gestione del rischio di cybersecurity è revisionata, aggiornata,", - "req_index": 1, - "requirement": "Le politiche di cui alla misura GV.PO-01 sono riesaminate e, se opportuno, aggiornate" - }, - { - "entity": "importante", - "function": "Governance", - "subcategory": "GV.PO-02", - "subcategory_text": "La politica per la gestione del rischio di cybersecurity è revisionata, aggiornata,", - "req_index": 2, - "requirement": "Ai fini del riesame di cui al punto 1, è verificata almeno la conformità delle politiche di" - }, - { - "entity": "importante", - "function": "Governance", - "subcategory": "GV.SC-01", - "subcategory_text": "Sono stabiliti e accettati dagli stakeholder dell'organizzazione il programma, la", - "req_index": 1, - "requirement": "In merito all’affidamento di forniture con potenziali impatti sulla sicurezza dei sistemi" - }, - { - "entity": "importante", - "function": "Governance", - "subcategory": "GV.SC-02", - "subcategory_text": "I ruoli e le responsabilità in materia di cybersecurity per fornitori, clienti e partner", - "req_index": 1, - "requirement": "Nell'ambito dell'organizzazione per la sicurezza informatica di cui alla misura GV.RR-02," - }, - { - "entity": "importante", - "function": "Governance", - "subcategory": "GV.SC-02", - "subcategory_text": "I ruoli e le responsabilità in materia di cybersecurity per fornitori, clienti e partner", - "req_index": 2, - "requirement": "Il personale di cui al punto 1 avente specifici ruoli e responsabilità è incluso nell’elenco di" - }, - { - "entity": "importante", - "function": "Governance", - "subcategory": "GV.SC-04", - "subcategory_text": "I fornitori sono noti e prioritizzati in base alla criticità.", - "req_index": 1, - "requirement": "È mantenuto un inventario aggiornato dei fornitori, le cui forniture hanno un potenziale" - }, - { - "entity": "importante", - "function": "Governance", - "subcategory": "GV.SC-05", - "subcategory_text": "I requisiti per affrontare i rischi di cybersecurity nella catena di", - "req_index": 1, - "requirement": "Fatte salve motivate e documentate ragioni normative o tecniche, i requisiti di sicurezza di" - }, - { - "entity": "importante", - "function": "Governance", - "subcategory": "GV.SC-07", - "subcategory_text": "I rischi posti da un fornitore, dai suoi prodotti e servizi e da altre terze parti sono", - "req_index": 1, - "requirement": "Nell’ambito della valutazione del rischio di cui alla misura ID.RA-05, è valutato e" - }, - { - "entity": "importante", - "function": "Governance", - "subcategory": "GV.SC-07", - "subcategory_text": "I rischi posti da un fornitore, dai suoi prodotti e servizi e da altre terze parti sono", - "req_index": 2, - "requirement": "È verificata periodicamente e documentata la conformità delle forniture ai requisiti di cui" - }, - { - "entity": "importante", - "function": "Identificazione", - "subcategory": "ID.AM-01", - "subcategory_text": "Sono mantenuti gli inventari dell'hardware gestito dall'organizzazione.", - "req_index": 1, - "requirement": "È mantenuto un inventario aggiornato degli apparati fisici (hardware) che compongono i" - }, - { - "entity": "importante", - "function": "Identificazione", - "subcategory": "ID.AM-02", - "subcategory_text": "Sono mantenuti gli inventari del software, dei servizi e dei sistemi gestiti", - "req_index": 1, - "requirement": "È mantenuto un inventario aggiornato dei servizi, dei sistemi e delle applicazioni software" - }, - { - "entity": "importante", - "function": "Identificazione", - "subcategory": "ID.AM-04", - "subcategory_text": "Sono mantenuti gli inventari dei servizi erogati dai fornitori.", - "req_index": 1, - "requirement": "È mantenuto un inventario aggiornato dei servizi informatici erogati dai fornitori, ivi" - }, - { - "entity": "importante", - "function": "Identificazione", - "subcategory": "ID.RA-01", - "subcategory_text": ". Le vulnerabilità negli asset sono identificate, confermate e registrate.", - "req_index": 1, - "requirement": "Le informazioni di cui al punto 1 della misura ID.RA-08 sono utilizzate per identificare" - }, - { - "entity": "importante", - "function": "Identificazione", - "subcategory": "ID.RA-05", - "subcategory_text": "Minacce, vulnerabilità, probabilità e impatti sono utilizzati per comprendere il", - "req_index": 1, - "requirement": "In accordo al piano di gestione dei rischi per la sicurezza informatica di cui alla misura" - }, - { - "entity": "importante", - "function": "Identificazione", - "subcategory": "ID.RA-05", - "subcategory_text": "Minacce, vulnerabilità, probabilità e impatti sono utilizzati per comprendere il", - "req_index": 2, - "requirement": "La valutazione del rischio di cui al punto 1 è eseguita a intervalli pianificati e comunque" - }, - { - "entity": "importante", - "function": "Identificazione", - "subcategory": "ID.RA-05", - "subcategory_text": "Minacce, vulnerabilità, probabilità e impatti sono utilizzati per comprendere il", - "req_index": 3, - "requirement": "La valutazione del rischio cui al punto 1 è approvata dagli organi di amministrazione e" - }, - { - "entity": "importante", - "function": "Identificazione", - "subcategory": "ID.RA-06", - "subcategory_text": "Le risposte al rischio sono scelte, prioritizzate, pianificate, monitorate e", - "req_index": 1, - "requirement": "È definito, documentato, eseguito e monitorato un piano di trattamento del rischio che" - }, - { - "entity": "importante", - "function": "Identificazione", - "subcategory": "ID.RA-06", - "subcategory_text": "Le risposte al rischio sono scelte, prioritizzate, pianificate, monitorate e", - "req_index": 2, - "requirement": "Qualora per motivate e documentate ragioni normative o tecniche non siano attuati i" - }, - { - "entity": "importante", - "function": "Identificazione", - "subcategory": "ID.RA-06", - "subcategory_text": "Le risposte al rischio sono scelte, prioritizzate, pianificate, monitorate e", - "req_index": 3, - "requirement": "Il piano di cui al punto 1, ivi compresa l’accettazione di eventuali rischi residui, è" - }, - { - "entity": "importante", - "function": "Identificazione", - "subcategory": "ID.RA-08", - "subcategory_text": "Sono stabiliti processi per la ricezione, l'analisi e la risposta alle divulgazioni di", - "req_index": 1, - "requirement": "Sono monitorati almeno i canali di comunicazione del CSIRT Italia, nonché di eventuali" - }, - { - "entity": "importante", - "function": "Identificazione", - "subcategory": "ID.RA-08", - "subcategory_text": "Sono stabiliti processi per la ricezione, l'analisi e la risposta alle divulgazioni di", - "req_index": 2, - "requirement": "Le vulnerabilità, ivi comprese quelle identificate ai sensi della misura ID.RA-01, sono" - }, - { - "entity": "importante", - "function": "Identificazione", - "subcategory": "ID.RA-08", - "subcategory_text": "Sono stabiliti processi per la ricezione, l'analisi e la risposta alle divulgazioni di", - "req_index": 3, - "requirement": "È definito, attuato, aggiornato e documentato un piano di gestione delle vulnerabilità che" - }, - { - "entity": "importante", - "function": "Identificazione", - "subcategory": "ID.RA-08", - "subcategory_text": "Sono stabiliti processi per la ricezione, l'analisi e la risposta alle divulgazioni di", - "req_index": 4, - "requirement": "Il piano di cui al punto 3 è approvato dagli organi di amministrazione e direttivi." - }, - { - "entity": "importante", - "function": "Identificazione", - "subcategory": "ID.IM-01", - "subcategory_text": "Sono identificati miglioramenti in esito alle valutazioni.", - "req_index": 1, - "requirement": "In accordo agli esiti del riesame di cui al punto 1 della misura GV.PO-02, è definito," - }, - { - "entity": "importante", - "function": "Identificazione", - "subcategory": "ID.IM-01", - "subcategory_text": "Sono identificati miglioramenti in esito alle valutazioni.", - "req_index": 2, - "requirement": "Gli organi di amministrazione e direttivi sono informati mediante apposite relazioni" - }, - { - "entity": "importante", - "function": "Identificazione", - "subcategory": "ID.IM-04", - "subcategory_text": "I piani di risposta agli incidenti e gli altri piani di cybersecurity che impattano le", - "req_index": 1, - "requirement": "Per almeno i sistemi informativi e di rete rilevanti è definito, attuato, aggiornato e" - }, - { - "entity": "importante", - "function": "Identificazione", - "subcategory": "ID.IM-04", - "subcategory_text": "I piani di risposta agli incidenti e gli altri piani di cybersecurity che impattano le", - "req_index": 2, - "requirement": "Per almeno i sistemi informativi e di rete rilevanti è definito, attuato, aggiornato e" - }, - { - "entity": "importante", - "function": "Identificazione", - "subcategory": "ID.IM-04", - "subcategory_text": "I piani di risposta agli incidenti e gli altri piani di cybersecurity che impattano le", - "req_index": 3, - "requirement": "Per almeno i sistemi informativi e di rete rilevanti è definito, attuato, aggiornato e" - }, - { - "entity": "importante", - "function": "Identificazione", - "subcategory": "ID.IM-04", - "subcategory_text": "I piani di risposta agli incidenti e gli altri piani di cybersecurity che impattano le", - "req_index": 4, - "requirement": "I piani di cui ai punti 1, 2 e 3 sono approvati dagli organi di amministrazione e direttivi." - }, - { - "entity": "importante", - "function": "Identificazione", - "subcategory": "ID.IM-04", - "subcategory_text": "I piani di risposta agli incidenti e gli altri piani di cybersecurity che impattano le", - "req_index": 5, - "requirement": "I piani di cui ai punti 1, 2 e 3 sono riesaminati e, se opportuno, aggiornati periodicamente" - }, - { - "entity": "importante", - "function": "Protezione", - "subcategory": "PR.AA-01", - "subcategory_text": "Le identità e le credenziali degli utenti, dei servizi e dell'hardware autorizzati sono", - "req_index": 1, - "requirement": "Tutte le utenze, ivi incluse quelle con privilegi amministrativi e quelle utilizzate per" - }, - { - "entity": "importante", - "function": "Protezione", - "subcategory": "PR.AA-01", - "subcategory_text": "Le identità e le credenziali degli utenti, dei servizi e dell'hardware autorizzati sono", - "req_index": 2, - "requirement": "Le credenziali (ad esempio nome utente e password) relative alle utenze sono robuste e" - }, - { - "entity": "importante", - "function": "Protezione", - "subcategory": "PR.AA-01", - "subcategory_text": "Le identità e le credenziali degli utenti, dei servizi e dell'hardware autorizzati sono", - "req_index": 3, - "requirement": "Per almeno i sistemi informativi e di rete rilevanti, sono verificate periodicamente le utenze" - }, - { - "entity": "importante", - "function": "Protezione", - "subcategory": "PR.AA-01", - "subcategory_text": "Le identità e le credenziali degli utenti, dei servizi e dell'hardware autorizzati sono", - "req_index": 4, - "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" - }, - { - "entity": "importante", - "function": "Protezione", - "subcategory": "PR.AA-03", - "subcategory_text": "Utenti, servizi e hardware sono autenticati.", - "req_index": 1, - "requirement": "Le modalità di autenticazione delle utenze per accedere ai sistemi informativi e di rete sono" - }, - { - "entity": "importante", - "function": "Protezione", - "subcategory": "PR.AA-03", - "subcategory_text": "Utenti, servizi e hardware sono autenticati.", - "req_index": 2, - "requirement": "Per almeno i sistemi informativi e di rete rilevanti e in accordo agli esiti della valutazione" - }, - { - "entity": "importante", - "function": "Protezione", - "subcategory": "PR.AA-03", - "subcategory_text": "Utenti, servizi e hardware sono autenticati.", - "req_index": 3, - "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" - }, - { - "entity": "importante", - "function": "Protezione", - "subcategory": "PR.AA-05", - "subcategory_text": "I permessi, i diritti e le autorizzazioni di accesso sono definiti in una politica,", - "req_index": 1, - "requirement": "I permessi sono assegnati alle utenze in accordo ai principi del minimo privilegio e della" - }, - { - "entity": "importante", - "function": "Protezione", - "subcategory": "PR.AA-05", - "subcategory_text": "I permessi, i diritti e le autorizzazioni di accesso sono definiti in una politica,", - "req_index": 2, - "requirement": "È assicurata la completa distinzione tra utenze con e senza privilegi amministrativi degli" - }, - { - "entity": "importante", - "function": "Protezione", - "subcategory": "PR.AA-05", - "subcategory_text": "I permessi, i diritti e le autorizzazioni di accesso sono definiti in una politica,", - "req_index": 3, - "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" - }, - { - "entity": "importante", - "function": "Protezione", - "subcategory": "PR.AA-06", - "subcategory_text": "L'accesso fisico agli asset è gestito, monitorato e applicato in misura appropriata", - "req_index": 1, - "requirement": "Per almeno i sistemi informativi e di rete rilevanti, l’accesso fisico è protetto." - }, - { - "entity": "importante", - "function": "Protezione", - "subcategory": "PR.AA-06", - "subcategory_text": "L'accesso fisico agli asset è gestito, monitorato e applicato in misura appropriata", - "req_index": 2, - "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" - }, - { - "entity": "importante", - "function": "Protezione", - "subcategory": "PR.AT-01", - "subcategory_text": "Il personale è sensibilizzato e formato in modo da possedere le conoscenze e le", - "req_index": 1, - "requirement": "È definito, attuato, aggiornato e documentato un piano di formazione in materia di" - }, - { - "entity": "importante", - "function": "Protezione", - "subcategory": "PR.AT-01", - "subcategory_text": "Il personale è sensibilizzato e formato in modo da possedere le conoscenze e le", - "req_index": 2, - "requirement": "Il piano di formazione di cui al punto 1 è approvato dagli organi di amministrazione e" - }, - { - "entity": "importante", - "function": "Protezione", - "subcategory": "PR.AT-01", - "subcategory_text": "Il personale è sensibilizzato e formato in modo da possedere le conoscenze e le", - "req_index": 3, - "requirement": "È mantenuto un registro aggiornato recante l'elenco dei dipendenti che hanno ricevuto la" - }, - { - "entity": "importante", - "function": "Protezione", - "subcategory": "PR.DS-01", - "subcategory_text": "La riservatezza, l'integrità e la disponibilità dei dati a riposo (data-at-rest) sono", - "req_index": 1, - "requirement": "Per almeno i sistemi informativi e di rete rilevanti e in accordo agli esiti della valutazione" - }, - { - "entity": "importante", - "function": "Protezione", - "subcategory": "PR.DS-01", - "subcategory_text": "La riservatezza, l'integrità e la disponibilità dei dati a riposo (data-at-rest) sono", - "req_index": 2, - "requirement": "Fatte salve e documentate ragioni normative o tecniche, è disabilitata l'auto esecuzione dei" - }, - { - "entity": "importante", - "function": "Protezione", - "subcategory": "PR.DS-01", - "subcategory_text": "La riservatezza, l'integrità e la disponibilità dei dati a riposo (data-at-rest) sono", - "req_index": 3, - "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" - }, - { - "entity": "importante", - "function": "Protezione", - "subcategory": "PR.DS-02", - "subcategory_text": "La riservatezza, l'integrità e la disponibilità dei dati in transito (data-in-transit)", - "req_index": 1, - "requirement": "Per almeno i sistemi informativi e di rete rilevanti, ivi inclusi quelli di comunicazione" - }, - { - "entity": "importante", - "function": "Protezione", - "subcategory": "PR.DS-02", - "subcategory_text": "La riservatezza, l'integrità e la disponibilità dei dati in transito (data-in-transit)", - "req_index": 2, - "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" - }, - { - "entity": "importante", - "function": "Protezione", - "subcategory": "PR.DS-11", - "subcategory_text": "I backup dei dati sono creati, protetti, mantenuti e verificati.", - "req_index": 1, - "requirement": "In accordo alle esigenze di continuità operativa e di ripristino in caso di disastro individuate" - }, - { - "entity": "importante", - "function": "Protezione", - "subcategory": "PR.DS-11", - "subcategory_text": "I backup dei dati sono creati, protetti, mantenuti e verificati.", - "req_index": 2, - "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" - }, - { - "entity": "importante", - "function": "Protezione", - "subcategory": "PR.PS-02", - "subcategory_text": "Il software è mantenuto, sostituito e rimosso in base al rischio.", - "req_index": 1, - "requirement": "Fatte salve motivate e documentate ragioni normative o tecniche, è installato" - }, - { - "entity": "importante", - "function": "Protezione", - "subcategory": "PR.PS-02", - "subcategory_text": "Il software è mantenuto, sostituito e rimosso in base al rischio.", - "req_index": 2, - "requirement": "Fatte salve motivate e documentate ragioni normative o tecniche, sono installati, senza" - }, - { - "entity": "importante", - "function": "Protezione", - "subcategory": "PR.PS-02", - "subcategory_text": "Il software è mantenuto, sostituito e rimosso in base al rischio.", - "req_index": 3, - "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" - }, - { - "entity": "importante", - "function": "Protezione", - "subcategory": "PR.PS-04", - "subcategory_text": "I registri di log sono generati e resi disponibili per il monitoraggio continuo.", - "req_index": 1, - "requirement": "Tutti gli accessi eseguiti da remoto e quelli effettuati con utenze con privilegi" - }, - { - "entity": "importante", - "function": "Protezione", - "subcategory": "PR.PS-04", - "subcategory_text": "I registri di log sono generati e resi disponibili per il monitoraggio continuo.", - "req_index": 2, - "requirement": "Per almeno i sistemi informativi e di rete rilevanti, sono conservati in modo sicuro, e" - }, - { - "entity": "importante", - "function": "Protezione", - "subcategory": "PR.PS-04", - "subcategory_text": "I registri di log sono generati e resi disponibili per il monitoraggio continuo.", - "req_index": 3, - "requirement": "In accordo agli esiti della valutazione rischio di cui alla misura ID.RA-05, sono definite e" - }, - { - "entity": "importante", - "function": "Protezione", - "subcategory": "PR.PS-04", - "subcategory_text": "I registri di log sono generati e resi disponibili per il monitoraggio continuo.", - "req_index": 4, - "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" - }, - { - "entity": "importante", - "function": "Protezione", - "subcategory": "PR.PS-06", - "subcategory_text": "Le pratiche di sviluppo sicuro del software sono integrate e le loro prestazioni sono", - "req_index": 1, - "requirement": "Sono adottate e documentate pratiche di sviluppo sicuro del codice nello sviluppo del" - }, - { - "entity": "importante", - "function": "Protezione", - "subcategory": "PR.IR-01", - "subcategory_text": "Le reti e gli ambienti sono protetti dall'accesso logico e dall'uso non autorizzati.", - "req_index": 1, - "requirement": "Per almeno i sistemi informativi e di rete rilevanti, sono definite e documentate le eventuali" - }, - { - "entity": "importante", - "function": "Protezione", - "subcategory": "PR.IR-01", - "subcategory_text": "Le reti e gli ambienti sono protetti dall'accesso logico e dall'uso non autorizzati.", - "req_index": 2, - "requirement": "È mantenuto un elenco aggiornato dei sistemi informativi e di rete ai quali è possibile" - }, - { - "entity": "importante", - "function": "Protezione", - "subcategory": "PR.IR-01", - "subcategory_text": "Le reti e gli ambienti sono protetti dall'accesso logico e dall'uso non autorizzati.", - "req_index": 3, - "requirement": "Sono presenti, aggiornati, mantenuti e configurati i sistemi perimetrali, quali firewall." - }, - { - "entity": "importante", - "function": "Protezione", - "subcategory": "PR.IR-01", - "subcategory_text": "Le reti e gli ambienti sono protetti dall'accesso logico e dall'uso non autorizzati.", - "req_index": 4, - "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" - }, - { - "entity": "importante", - "function": "Rilevazione", - "subcategory": "DE.CM-01", - "subcategory_text": "Le reti e i servizi di rete sono monitorati per individuare eventi potenzialmente", - "req_index": 1, - "requirement": "Per almeno i sistemi informativi e di rete rilevanti, sono presenti, aggiornati, mantenuti e" - }, - { - "entity": "importante", - "function": "Rilevazione", - "subcategory": "DE.CM-01", - "subcategory_text": "Le reti e i servizi di rete sono monitorati per individuare eventi potenzialmente", - "req_index": 2, - "requirement": "Sono definiti e documentati i livelli di servizio attesi (SL) dei servizi e delle attività del" - }, - { - "entity": "importante", - "function": "Rilevazione", - "subcategory": "DE.CM-01", - "subcategory_text": "Le reti e i servizi di rete sono monitorati per individuare eventi potenzialmente", - "req_index": 3, - "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" - }, - { - "entity": "importante", - "function": "Rilevazione", - "subcategory": "DE.CM-09", - "subcategory_text": "L'hardware e il software di elaborazione, gli ambienti di runtime e i loro dati sono", - "req_index": 1, - "requirement": "Fatte salve motivate e documentate ragioni normative o tecniche, sono presenti, aggiornati," - }, - { - "entity": "importante", - "function": "Rilevazione", - "subcategory": "DE.CM-09", - "subcategory_text": "L'hardware e il software di elaborazione, gli ambienti di runtime e i loro dati sono", - "req_index": 2, - "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" - }, - { - "entity": "importante", - "function": "Risposta", - "subcategory": "RS.MA-01", - "subcategory_text": "Il piano di risposta agli incidenti è eseguito in coordinamento con le terze parti", - "req_index": 1, - "requirement": "È definito, attuato, aggiornato e documentato un piano per la gestione degli incidenti di" - }, - { - "entity": "importante", - "function": "Risposta", - "subcategory": "RS.MA-01", - "subcategory_text": "Il piano di risposta agli incidenti è eseguito in coordinamento con le terze parti", - "req_index": 2, - "requirement": "Il piano di cui al punto 1 è approvato dagli organi di amministrazione e direttivi." - }, - { - "entity": "importante", - "function": "Risposta", - "subcategory": "RS.MA-01", - "subcategory_text": "Il piano di risposta agli incidenti è eseguito in coordinamento con le terze parti", - "req_index": 3, - "requirement": "Il piano di cui al punto 1 è riesaminato e, se opportuno, aggiornato periodicamente e" - }, - { - "entity": "importante", - "function": "Risposta", - "subcategory": "RS.CO-02", - "subcategory_text": "Gli stakeholder interni ed esterni sono informati degli incidenti.", - "req_index": 1, - "requirement": "In accordo al piano per la gestione degli incidenti di cui alla misura RS.MA-01, sono" - }, - { - "entity": "importante", - "function": "Risposta", - "subcategory": "RS.CO-02", - "subcategory_text": "Gli stakeholder interni ed esterni sono informati degli incidenti.", - "req_index": 2, - "requirement": "Sono documentate e adottate procedure per informare il pubblico sugli incidenti occorsi," - }, - { - "entity": "importante", - "function": "Ripristino", - "subcategory": "RC.RP-01", - "subcategory_text": "La parte del piano di risposta agli incidenti relativa al rispristino viene eseguita", - "req_index": 1, - "requirement": "Nell'ambito del piano per la gestione degli incidenti di cui alla misura RS.MA-01, sono" - } - ], - "essenziale": [ - { - "entity": "essenziale", - "function": "Governance", - "subcategory": "GV.OC-4", - "subcategory_text": "Gli obiettivi, le capacità e i servizi critici dai quali gli stakeholder dipendono o che", - "req_index": 1, - "requirement": "È mantenuto un elenco aggiornato dei sistemi informativi e di rete rilevanti." - }, - { - "entity": "essenziale", - "function": "Governance", - "subcategory": "GV.RM-03", - "subcategory_text": "Le attività e gli esiti della gestione del rischio di cybersecurity sono parte", - "req_index": 1, - "requirement": "Nell'ambito dei processi di gestione del rischio del soggetto NIS e nel rispetto delle" - }, - { - "entity": "essenziale", - "function": "Governance", - "subcategory": "GV.RR-02", - "subcategory_text": "I ruoli, le responsabilità e i correlati poteri relativi alla gestione del rischio di", - "req_index": 1, - "requirement": "È definita, approvata dagli organi di amministrazione e direttivi, e resa nota alle" - }, - { - "entity": "essenziale", - "function": "Governance", - "subcategory": "GV.RR-02", - "subcategory_text": "I ruoli, le responsabilità e i correlati poteri relativi alla gestione del rischio di", - "req_index": 2, - "requirement": "È mantenuto un elenco aggiornato del personale dell'organizzazione di cui al punto 1" - }, - { - "entity": "essenziale", - "function": "Governance", - "subcategory": "GV.RR-02", - "subcategory_text": "I ruoli, le responsabilità e i correlati poteri relativi alla gestione del rischio di", - "req_index": 3, - "requirement": "All’interno dell’organizzazione per la sicurezza informatica di cui al punto 1, sono inclusi" - }, - { - "entity": "essenziale", - "function": "Governance", - "subcategory": "GV.RR-02", - "subcategory_text": "I ruoli, le responsabilità e i correlati poteri relativi alla gestione del rischio di", - "req_index": 4, - "requirement": "I ruoli e le responsabilità di cui al punto 1 sono riesaminati e, se opportuno, aggiornati" - }, - { - "entity": "essenziale", - "function": "Governance", - "subcategory": "GV.RR-04", - "subcategory_text": "La cybersecurity è inclusa nelle pratiche delle risorse umane.", - "req_index": 1, - "requirement": "Per almeno i sistemi informativi e di rete rilevanti, il personale autorizzato ad accedervi è" - }, - { - "entity": "essenziale", - "function": "Governance", - "subcategory": "GV.RR-04", - "subcategory_text": "La cybersecurity è inclusa nelle pratiche delle risorse umane.", - "req_index": 2, - "requirement": "Gli amministratori di sistema dei sistemi informativi e di rete sono individuati previa" - }, - { - "entity": "essenziale", - "function": "Governance", - "subcategory": "GV.RR-04", - "subcategory_text": "La cybersecurity è inclusa nelle pratiche delle risorse umane.", - "req_index": 3, - "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" - }, - { - "entity": "essenziale", - "function": "Governance", - "subcategory": "GV.RR-04", - "subcategory_text": "La cybersecurity è inclusa nelle pratiche delle risorse umane.", - "req_index": 4, - "requirement": "In accordo agli esiti della valutazione del rischio di cui alla misura ID.RA-05, sono definiti" - }, - { - "entity": "essenziale", - "function": "Governance", - "subcategory": "GV.RR-04", - "subcategory_text": "La cybersecurity è inclusa nelle pratiche delle risorse umane.", - "req_index": 5, - "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" - }, - { - "entity": "essenziale", - "function": "Governance", - "subcategory": "GV.PO-01", - "subcategory_text": "La politica per la gestione del rischio di cybersecurity è stabilita in base al contesto", - "req_index": 1, - "requirement": "Sono adottate e documentate politiche di sicurezza informatica per almeno i seguenti" - }, - { - "entity": "essenziale", - "function": "Governance", - "subcategory": "GV.PO-01", - "subcategory_text": "La politica per la gestione del rischio di cybersecurity è stabilita in base al contesto", - "req_index": 2, - "requirement": "Per gli ambiti di cui al punto 1 sono incluse almeno le politiche in relazione ai requisiti" - }, - { - "entity": "essenziale", - "function": "Governance", - "subcategory": "GV.PO-01", - "subcategory_text": "La politica per la gestione del rischio di cybersecurity è stabilita in base al contesto", - "req_index": 3, - "requirement": "Le politiche di cui al punto 1 sono approvate dagli organi di amministrazione e direttivi." - }, - { - "entity": "essenziale", - "function": "Governance", - "subcategory": "GV.PO-02", - "subcategory_text": "La politica per la gestione del rischio di cybersecurity è revisionata, aggiornata,", - "req_index": 1, - "requirement": "Le politiche di cui alla misura GV.PO-01 sono riesaminate e, se opportuno, aggiornate" - }, - { - "entity": "essenziale", - "function": "Governance", - "subcategory": "GV.PO-02", - "subcategory_text": "La politica per la gestione del rischio di cybersecurity è revisionata, aggiornata,", - "req_index": 2, - "requirement": "Ai fini del riesame di cui al punto 1, è verificata almeno la conformità delle politiche di" - }, - { - "entity": "essenziale", - "function": "Governance", - "subcategory": "GV.PO-02", - "subcategory_text": "La politica per la gestione del rischio di cybersecurity è revisionata, aggiornata,", - "req_index": 3, - "requirement": "È mantenuto un registro aggiornato contenente gli esiti del riesame di cui al punto 1." - }, - { - "entity": "essenziale", - "function": "Governance", - "subcategory": "GV.SC-01", - "subcategory_text": "Sono stabiliti e accettati dagli stakeholder dell'organizzazione il programma, la", - "req_index": 1, - "requirement": "In merito all’affidamento di forniture con potenziali impatti sulla sicurezza dei sistemi" - }, - { - "entity": "essenziale", - "function": "Governance", - "subcategory": "GV.SC-01", - "subcategory_text": "Sono stabiliti e accettati dagli stakeholder dell'organizzazione il programma, la", - "req_index": 2, - "requirement": "Per i requisiti di sicurezza di cui al punto 1, lettera b), sono considerati, ove applicabile," - }, - { - "entity": "essenziale", - "function": "Governance", - "subcategory": "GV.SC-02", - "subcategory_text": "I ruoli e le responsabilità in materia di cybersecurity per fornitori, clienti e partner", - "req_index": 1, - "requirement": "Nell'ambito dell'organizzazione per la sicurezza informatica di cui alla misura GV.RR-02," - }, - { - "entity": "essenziale", - "function": "Governance", - "subcategory": "GV.SC-02", - "subcategory_text": "I ruoli e le responsabilità in materia di cybersecurity per fornitori, clienti e partner", - "req_index": 2, - "requirement": "Il personale di cui al punto 1 avente specifici ruoli e responsabilità è incluso nell’elenco di" - }, - { - "entity": "essenziale", - "function": "Governance", - "subcategory": "GV.SC-04", - "subcategory_text": "I fornitori sono noti e prioritizzati in base alla criticità.", - "req_index": 1, - "requirement": "È mantenuto un inventario aggiornato dei fornitori, le cui forniture hanno un potenziale" - }, - { - "entity": "essenziale", - "function": "Governance", - "subcategory": "GV.SC-05", - "subcategory_text": "I requisiti per affrontare i rischi di cybersecurity nella catena di", - "req_index": 1, - "requirement": "Fatte salve motivate e documentate ragioni normative o tecniche, i requisiti di sicurezza di" - }, - { - "entity": "essenziale", - "function": "Governance", - "subcategory": "GV.SC-07", - "subcategory_text": "I rischi posti da un fornitore, dai suoi prodotti e servizi e da altre terze parti sono", - "req_index": 1, - "requirement": "Nell’ambito della valutazione del rischio di cui alla misura ID.RA-05, è valutato e" - }, - { - "entity": "essenziale", - "function": "Governance", - "subcategory": "GV.SC-07", - "subcategory_text": "I rischi posti da un fornitore, dai suoi prodotti e servizi e da altre terze parti sono", - "req_index": 2, - "requirement": "È verificata periodicamente e documentata la conformità delle forniture ai requisiti di cui" - }, - { - "entity": "essenziale", - "function": "Identificazione", - "subcategory": "ID.AM-01", - "subcategory_text": "Sono mantenuti gli inventari dell'hardware gestito dall'organizzazione.", - "req_index": 1, - "requirement": "È mantenuto un inventario aggiornato degli apparati fisici (hardware) che compongono i" - }, - { - "entity": "essenziale", - "function": "Identificazione", - "subcategory": "ID.AM-02", - "subcategory_text": "Sono mantenuti gli inventari del software, dei servizi e dei sistemi gestiti", - "req_index": 1, - "requirement": "È mantenuto un inventario aggiornato dei servizi, dei sistemi e delle applicazioni software" - }, - { - "entity": "essenziale", - "function": "Identificazione", - "subcategory": "ID.AM-03", - "subcategory_text": "Sono mantenute le rappresentazioni delle comunicazioni di rete, dei flussi di dati", - "req_index": 1, - "requirement": "È mantenuto un inventario aggiornato dei flussi di rete tra i sistemi informativi e di rete" - }, - { - "entity": "essenziale", - "function": "Identificazione", - "subcategory": "ID.AM-04", - "subcategory_text": "Sono mantenuti gli inventari dei servizi erogati dai fornitori.", - "req_index": 1, - "requirement": "È mantenuto un inventario aggiornato dei servizi informatici erogati dai fornitori, ivi" - }, - { - "entity": "essenziale", - "function": "Identificazione", - "subcategory": "ID.RA-01", - "subcategory_text": ". Le vulnerabilità negli asset sono identificate, confermate e registrate.", - "req_index": 1, - "requirement": "Le informazioni di cui al punto 1 della misura ID.RA-08 sono utilizzate per identificare" - }, - { - "entity": "essenziale", - "function": "Identificazione", - "subcategory": "ID.RA-01", - "subcategory_text": ". Le vulnerabilità negli asset sono identificate, confermate e registrate.", - "req_index": 2, - "requirement": "Per almeno i sistemi informativi e di rete rilevanti, in accordo al piano di gestione delle" - }, - { - "entity": "essenziale", - "function": "Identificazione", - "subcategory": "ID.RA-01", - "subcategory_text": ". Le vulnerabilità negli asset sono identificate, confermate e registrate.", - "req_index": 3, - "requirement": "Le attività di cui al punto 2 sono documentate tramite apposite relazioni che contengono" - }, - { - "entity": "essenziale", - "function": "Identificazione", - "subcategory": "ID.RA-05", - "subcategory_text": "Minacce, vulnerabilità, probabilità e impatti sono utilizzati per comprendere il", - "req_index": 1, - "requirement": "In accordo al piano di gestione dei rischi per la sicurezza informatica di cui alla misura" - }, - { - "entity": "essenziale", - "function": "Identificazione", - "subcategory": "ID.RA-05", - "subcategory_text": "Minacce, vulnerabilità, probabilità e impatti sono utilizzati per comprendere il", - "req_index": 2, - "requirement": "La valutazione del rischio di cui al punto 1 è eseguita a intervalli pianificati e comunque" - }, - { - "entity": "essenziale", - "function": "Identificazione", - "subcategory": "ID.RA-05", - "subcategory_text": "Minacce, vulnerabilità, probabilità e impatti sono utilizzati per comprendere il", - "req_index": 3, - "requirement": "La valutazione del rischio cui al punto 1 è approvata dagli organi di amministrazione e" - }, - { - "entity": "essenziale", - "function": "Identificazione", - "subcategory": "ID.RA-05", - "subcategory_text": "Minacce, vulnerabilità, probabilità e impatti sono utilizzati per comprendere il", - "req_index": 4, - "requirement": "La valutazione del rischio di cui al punto 1 è effettuata considerando almeno le minacce" - }, - { - "entity": "essenziale", - "function": "Identificazione", - "subcategory": "ID.RA-06", - "subcategory_text": "Le risposte al rischio sono scelte, prioritizzate, pianificate, monitorate e", - "req_index": 1, - "requirement": "È definito, documentato, eseguito e monitorato un piano di trattamento del rischio che" - }, - { - "entity": "essenziale", - "function": "Identificazione", - "subcategory": "ID.RA-06", - "subcategory_text": "Le risposte al rischio sono scelte, prioritizzate, pianificate, monitorate e", - "req_index": 2, - "requirement": "Qualora per motivate e documentate ragioni normative o tecniche non siano attuati i" - }, - { - "entity": "essenziale", - "function": "Identificazione", - "subcategory": "ID.RA-06", - "subcategory_text": "Le risposte al rischio sono scelte, prioritizzate, pianificate, monitorate e", - "req_index": 3, - "requirement": "Il piano di cui al punto 1, ivi compresa l’accettazione di eventuali rischi residui, è" - }, - { - "entity": "essenziale", - "function": "Identificazione", - "subcategory": "ID.RA-08", - "subcategory_text": "Sono stabiliti processi per la ricezione, l'analisi e la risposta alle divulgazioni di", - "req_index": 1, - "requirement": "Sono monitorati almeno i canali di comunicazione del CSIRT Italia, nonché di eventuali" - }, - { - "entity": "essenziale", - "function": "Identificazione", - "subcategory": "ID.RA-08", - "subcategory_text": "Sono stabiliti processi per la ricezione, l'analisi e la risposta alle divulgazioni di", - "req_index": 2, - "requirement": "Le vulnerabilità, ivi comprese quelle identificate ai sensi della misura ID.RA-01, sono" - }, - { - "entity": "essenziale", - "function": "Identificazione", - "subcategory": "ID.RA-08", - "subcategory_text": "Sono stabiliti processi per la ricezione, l'analisi e la risposta alle divulgazioni di", - "req_index": 3, - "requirement": "È definito, attuato, aggiornato e documentato un piano di gestione delle vulnerabilità che" - }, - { - "entity": "essenziale", - "function": "Identificazione", - "subcategory": "ID.RA-08", - "subcategory_text": "Sono stabiliti processi per la ricezione, l'analisi e la risposta alle divulgazioni di", - "req_index": 4, - "requirement": "Il piano di cui al punto 3 è approvato dagli organi di amministrazione e direttivi." - }, - { - "entity": "essenziale", - "function": "Identificazione", - "subcategory": "ID.RA-08", - "subcategory_text": "Sono stabiliti processi per la ricezione, l'analisi e la risposta alle divulgazioni di", - "req_index": 5, - "requirement": "Ai fini di cui al punto 1, sono monitorati anche i canali dei fornitori del software ritenuto" - }, - { - "entity": "essenziale", - "function": "Identificazione", - "subcategory": "ID.IM-01", - "subcategory_text": "Sono identificati miglioramenti in esito alle valutazioni.", - "req_index": 1, - "requirement": "In accordo agli esiti del riesame di cui al punto 1 della misura GV.PO-02, è definito," - }, - { - "entity": "essenziale", - "function": "Identificazione", - "subcategory": "ID.IM-01", - "subcategory_text": "Sono identificati miglioramenti in esito alle valutazioni.", - "req_index": 2, - "requirement": "Gli organi di amministrazione e direttivi sono informati mediante apposite relazioni" - }, - { - "entity": "essenziale", - "function": "Identificazione", - "subcategory": "ID.IM-01", - "subcategory_text": "Sono identificati miglioramenti in esito alle valutazioni.", - "req_index": 3, - "requirement": "È definito, attuato, aggiornato e documentato un piano per la valutazione dell'efficacia" - }, - { - "entity": "essenziale", - "function": "Identificazione", - "subcategory": "ID.IM-01", - "subcategory_text": "Sono identificati miglioramenti in esito alle valutazioni.", - "req_index": 4, - "requirement": "Gli organi di amministrazione e direttivi sono informati mediante apposite relazioni" - }, - { - "entity": "essenziale", - "function": "Identificazione", - "subcategory": "ID.IM-04", - "subcategory_text": "I piani di risposta agli incidenti e gli altri piani di cybersecurity che impattano le", - "req_index": 1, - "requirement": "Per almeno i sistemi informativi e di rete rilevanti è definito, attuato, aggiornato e" - }, - { - "entity": "essenziale", - "function": "Identificazione", - "subcategory": "ID.IM-04", - "subcategory_text": "I piani di risposta agli incidenti e gli altri piani di cybersecurity che impattano le", - "req_index": 2, - "requirement": "Per almeno i sistemi informativi e di rete rilevanti è definito, attuato, aggiornato e" - }, - { - "entity": "essenziale", - "function": "Identificazione", - "subcategory": "ID.IM-04", - "subcategory_text": "I piani di risposta agli incidenti e gli altri piani di cybersecurity che impattano le", - "req_index": 3, - "requirement": "Per almeno i sistemi informativi e di rete rilevanti è definito, attuato, aggiornato e" - }, - { - "entity": "essenziale", - "function": "Identificazione", - "subcategory": "ID.IM-04", - "subcategory_text": "I piani di risposta agli incidenti e gli altri piani di cybersecurity che impattano le", - "req_index": 4, - "requirement": "I piani di cui ai punti 1, 2 e 3 sono approvati dagli organi di amministrazione e direttivi." - }, - { - "entity": "essenziale", - "function": "Identificazione", - "subcategory": "ID.IM-04", - "subcategory_text": "I piani di risposta agli incidenti e gli altri piani di cybersecurity che impattano le", - "req_index": 5, - "requirement": "I piani di cui ai punti 1, 2 e 3 sono riesaminati e, se opportuno, aggiornati periodicamente" - }, - { - "entity": "essenziale", - "function": "Protezione", - "subcategory": "PR.AA-01", - "subcategory_text": "Le identità e le credenziali degli utenti, dei servizi e dell'hardware autorizzati sono", - "req_index": 1, - "requirement": "Tutte le utenze, ivi incluse quelle con privilegi amministrativi e quelle utilizzate per" - }, - { - "entity": "essenziale", - "function": "Protezione", - "subcategory": "PR.AA-01", - "subcategory_text": "Le identità e le credenziali degli utenti, dei servizi e dell'hardware autorizzati sono", - "req_index": 2, - "requirement": "Le credenziali (ad esempio nome utente e password) relative alle utenze sono robuste e" - }, - { - "entity": "essenziale", - "function": "Protezione", - "subcategory": "PR.AA-01", - "subcategory_text": "Le identità e le credenziali degli utenti, dei servizi e dell'hardware autorizzati sono", - "req_index": 3, - "requirement": "Per almeno i sistemi informativi e di rete rilevanti, sono verificate periodicamente le utenze" - }, - { - "entity": "essenziale", - "function": "Protezione", - "subcategory": "PR.AA-01", - "subcategory_text": "Le identità e le credenziali degli utenti, dei servizi e dell'hardware autorizzati sono", - "req_index": 4, - "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" - }, - { - "entity": "essenziale", - "function": "Protezione", - "subcategory": "PR.AA-03", - "subcategory_text": "Utenti, servizi e hardware sono autenticati.", - "req_index": 1, - "requirement": "Le modalità di autenticazione delle utenze per accedere ai sistemi informativi e di rete sono" - }, - { - "entity": "essenziale", - "function": "Protezione", - "subcategory": "PR.AA-03", - "subcategory_text": "Utenti, servizi e hardware sono autenticati.", - "req_index": 2, - "requirement": "Per almeno i sistemi informativi e di rete rilevanti e in accordo agli esiti della valutazione" - }, - { - "entity": "essenziale", - "function": "Protezione", - "subcategory": "PR.AA-03", - "subcategory_text": "Utenti, servizi e hardware sono autenticati.", - "req_index": 3, - "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" - }, - { - "entity": "essenziale", - "function": "Protezione", - "subcategory": "PR.AA-05", - "subcategory_text": "I permessi, i diritti e le autorizzazioni di accesso sono definiti in una politica,", - "req_index": 1, - "requirement": "I permessi sono assegnati alle utenze in accordo ai principi del minimo privilegio e della" - }, - { - "entity": "essenziale", - "function": "Protezione", - "subcategory": "PR.AA-05", - "subcategory_text": "I permessi, i diritti e le autorizzazioni di accesso sono definiti in una politica,", - "req_index": 2, - "requirement": "È assicurata la completa distinzione tra utenze con e senza privilegi amministrativi degli" - }, - { - "entity": "essenziale", - "function": "Protezione", - "subcategory": "PR.AA-05", - "subcategory_text": "I permessi, i diritti e le autorizzazioni di accesso sono definiti in una politica,", - "req_index": 3, - "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" - }, - { - "entity": "essenziale", - "function": "Protezione", - "subcategory": "PR.AA-06", - "subcategory_text": "L'accesso fisico agli asset è gestito, monitorato e applicato in misura appropriata", - "req_index": 1, - "requirement": "Per almeno i sistemi informativi e di rete rilevanti, l’accesso fisico è protetto." - }, - { - "entity": "essenziale", - "function": "Protezione", - "subcategory": "PR.AA-06", - "subcategory_text": "L'accesso fisico agli asset è gestito, monitorato e applicato in misura appropriata", - "req_index": 2, - "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" - }, - { - "entity": "essenziale", - "function": "Protezione", - "subcategory": "PR.AT-01", - "subcategory_text": "Il personale è sensibilizzato e formato in modo da possedere le conoscenze e le", - "req_index": 1, - "requirement": "È definito, attuato, aggiornato e documentato un piano di formazione in materia di" - }, - { - "entity": "essenziale", - "function": "Protezione", - "subcategory": "PR.AT-01", - "subcategory_text": "Il personale è sensibilizzato e formato in modo da possedere le conoscenze e le", - "req_index": 2, - "requirement": "Il piano di formazione di cui al punto 1 è approvato dagli organi di amministrazione e" - }, - { - "entity": "essenziale", - "function": "Protezione", - "subcategory": "PR.AT-01", - "subcategory_text": "Il personale è sensibilizzato e formato in modo da possedere le conoscenze e le", - "req_index": 3, - "requirement": "È mantenuto un registro aggiornato recante l'elenco dei dipendenti che hanno ricevuto la" - }, - { - "entity": "essenziale", - "function": "Protezione", - "subcategory": "PR.AT-02", - "subcategory_text": ". Gli individui che ricoprono ruoli specializzati sono sensibilizzati e formati in", - "req_index": 1, - "requirement": "Il piano di cui alla misura PR.AT-01 prevede una formazione dedicata al personale con" - }, - { - "entity": "essenziale", - "function": "Protezione", - "subcategory": "PR.AT-02", - "subcategory_text": ". Gli individui che ricoprono ruoli specializzati sono sensibilizzati e formati in", - "req_index": 2, - "requirement": "È mantenuto un registro aggiornato recante l'elenco dei dipendenti che hanno ricevuto la" - }, - { - "entity": "essenziale", - "function": "Protezione", - "subcategory": "PR.DS-01", - "subcategory_text": "La riservatezza, l'integrità e la disponibilità dei dati a riposo (data-at-rest) sono", - "req_index": 1, - "requirement": "Per almeno i sistemi informativi e di rete rilevanti e in accordo agli esiti della valutazione" - }, - { - "entity": "essenziale", - "function": "Protezione", - "subcategory": "PR.DS-01", - "subcategory_text": "La riservatezza, l'integrità e la disponibilità dei dati a riposo (data-at-rest) sono", - "req_index": 2, - "requirement": "Fatte salve e documentate ragioni normative o tecniche, è disabilitata l'auto esecuzione dei" - }, - { - "entity": "essenziale", - "function": "Protezione", - "subcategory": "PR.DS-01", - "subcategory_text": "La riservatezza, l'integrità e la disponibilità dei dati a riposo (data-at-rest) sono", - "req_index": 3, - "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" - }, - { - "entity": "essenziale", - "function": "Protezione", - "subcategory": "PR.DS-02", - "subcategory_text": "La riservatezza, l'integrità e la disponibilità dei dati in transito (data-in-transit)", - "req_index": 1, - "requirement": "Per almeno i sistemi informativi e di rete rilevanti, ivi inclusi quelli di comunicazione" - }, - { - "entity": "essenziale", - "function": "Protezione", - "subcategory": "PR.DS-02", - "subcategory_text": "La riservatezza, l'integrità e la disponibilità dei dati in transito (data-in-transit)", - "req_index": 2, - "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" - }, - { - "entity": "essenziale", - "function": "Protezione", - "subcategory": "PR.DS-11", - "subcategory_text": "I backup dei dati sono creati, protetti, mantenuti e verificati.", - "req_index": 1, - "requirement": "In accordo alle esigenze di continuità operativa e di ripristino in caso di disastro individuate" - }, - { - "entity": "essenziale", - "function": "Protezione", - "subcategory": "PR.DS-11", - "subcategory_text": "I backup dei dati sono creati, protetti, mantenuti e verificati.", - "req_index": 2, - "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" - }, - { - "entity": "essenziale", - "function": "Protezione", - "subcategory": "PR.DS-11", - "subcategory_text": "I backup dei dati sono creati, protetti, mantenuti e verificati.", - "req_index": 3, - "requirement": "Per almeno i sistemi informativi e di rete rilevanti, è assicurata la riservatezza e l’integrità" - }, - { - "entity": "essenziale", - "function": "Protezione", - "subcategory": "PR.DS-11", - "subcategory_text": "I backup dei dati sono creati, protetti, mantenuti e verificati.", - "req_index": 4, - "requirement": "Per almeno i sistemi informativi e di rete rilevanti, è verificata periodicamente" - }, - { - "entity": "essenziale", - "function": "Protezione", - "subcategory": "PR.DS-11", - "subcategory_text": "I backup dei dati sono creati, protetti, mantenuti e verificati.", - "req_index": 5, - "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" - }, - { - "entity": "essenziale", - "function": "Protezione", - "subcategory": "PR.PS-01", - "subcategory_text": "Sono stabilite e applicate pratiche di gestione della configurazione.", - "req_index": 1, - "requirement": "Per almeno i sistemi informativi e di rete rilevanti, sono definite, e documentate in un" - }, - { - "entity": "essenziale", - "function": "Protezione", - "subcategory": "PR.PS-01", - "subcategory_text": "Sono stabilite e applicate pratiche di gestione della configurazione.", - "req_index": 2, - "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" - }, - { - "entity": "essenziale", - "function": "Protezione", - "subcategory": "PR.PS-02", - "subcategory_text": "Il software è mantenuto, sostituito e rimosso in base al rischio.", - "req_index": 1, - "requirement": "Fatte salve motivate e documentate ragioni normative o tecniche, è installato" - }, - { - "entity": "essenziale", - "function": "Protezione", - "subcategory": "PR.PS-02", - "subcategory_text": "Il software è mantenuto, sostituito e rimosso in base al rischio.", - "req_index": 2, - "requirement": "Fatte salve motivate e documentate ragioni normative o tecniche, sono installati, senza" - }, - { - "entity": "essenziale", - "function": "Protezione", - "subcategory": "PR.PS-02", - "subcategory_text": "Il software è mantenuto, sostituito e rimosso in base al rischio.", - "req_index": 3, - "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" - }, - { - "entity": "essenziale", - "function": "Protezione", - "subcategory": "PR.PS-02", - "subcategory_text": "Il software è mantenuto, sostituito e rimosso in base al rischio.", - "req_index": 4, - "requirement": "Fatte salve motivate e documentate ragioni normative o tecniche e in accordo agli esiti" - }, - { - "entity": "essenziale", - "function": "Protezione", - "subcategory": "PR.PS-02", - "subcategory_text": "Il software è mantenuto, sostituito e rimosso in base al rischio.", - "req_index": 5, - "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" - }, - { - "entity": "essenziale", - "function": "Protezione", - "subcategory": "PR.PS-03", - "subcategory_text": "L'hardware è mantenuto, sostituito e rimosso in base al rischio.", - "req_index": 1, - "requirement": "Per almeno i sistemi informativi e di rete rilevanti, sono adottate e documentate procedure" - }, - { - "entity": "essenziale", - "function": "Protezione", - "subcategory": "PR.PS-03", - "subcategory_text": "L'hardware è mantenuto, sostituito e rimosso in base al rischio.", - "req_index": 2, - "requirement": "Per almeno i sistemi informativi e di rete rilevanti, sono mantenuti uno o più registri delle" - }, - { - "entity": "essenziale", - "function": "Protezione", - "subcategory": "PR.PS-04", - "subcategory_text": "I registri di log sono generati e resi disponibili per il monitoraggio continuo.", - "req_index": 1, - "requirement": "Tutti gli accessi eseguiti da remoto e quelli effettuati con utenze con privilegi" - }, - { - "entity": "essenziale", - "function": "Protezione", - "subcategory": "PR.PS-04", - "subcategory_text": "I registri di log sono generati e resi disponibili per il monitoraggio continuo.", - "req_index": 2, - "requirement": "Per almeno i sistemi informativi e di rete rilevanti, sono conservati in modo sicuro, e" - }, - { - "entity": "essenziale", - "function": "Protezione", - "subcategory": "PR.PS-04", - "subcategory_text": "I registri di log sono generati e resi disponibili per il monitoraggio continuo.", - "req_index": 3, - "requirement": "In accordo agli esiti della valutazione rischio di cui alla misura ID.RA-05, sono definite e" - }, - { - "entity": "essenziale", - "function": "Protezione", - "subcategory": "PR.PS-04", - "subcategory_text": "I registri di log sono generati e resi disponibili per il monitoraggio continuo.", - "req_index": 4, - "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" - }, - { - "entity": "essenziale", - "function": "Protezione", - "subcategory": "PR.PS-06", - "subcategory_text": "Le pratiche di sviluppo sicuro del software sono integrate e le loro prestazioni sono", - "req_index": 1, - "requirement": "Sono adottate e documentate pratiche di sviluppo sicuro del codice nello sviluppo del" - }, - { - "entity": "essenziale", - "function": "Protezione", - "subcategory": "PR.IR-01", - "subcategory_text": "Le reti e gli ambienti sono protetti dall'accesso logico e dall'uso non autorizzati.", - "req_index": 1, - "requirement": "Per almeno i sistemi informativi e di rete rilevanti, sono definite e documentate le eventuali" - }, - { - "entity": "essenziale", - "function": "Protezione", - "subcategory": "PR.IR-01", - "subcategory_text": "Le reti e gli ambienti sono protetti dall'accesso logico e dall'uso non autorizzati.", - "req_index": 2, - "requirement": "È mantenuto un elenco aggiornato dei sistemi informativi e di rete ai quali è possibile" - }, - { - "entity": "essenziale", - "function": "Protezione", - "subcategory": "PR.IR-01", - "subcategory_text": "Le reti e gli ambienti sono protetti dall'accesso logico e dall'uso non autorizzati.", - "req_index": 3, - "requirement": "Sono presenti, aggiornati, mantenuti e configurati i sistemi perimetrali, quali firewall." - }, - { - "entity": "essenziale", - "function": "Protezione", - "subcategory": "PR.IR-01", - "subcategory_text": "Le reti e gli ambienti sono protetti dall'accesso logico e dall'uso non autorizzati.", - "req_index": 4, - "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" - }, - { - "entity": "essenziale", - "function": "Protezione", - "subcategory": "PR.IR-03", - "subcategory_text": "Sono implementati meccanismi per soddisfare i requisiti di resilienza in situazioni", - "req_index": 1, - "requirement": "In accordo agli esiti della valutazione del rischio di cui alla misura ID.RA-05, sono" - }, - { - "entity": "essenziale", - "function": "Protezione", - "subcategory": "PR.IR-03", - "subcategory_text": "Sono implementati meccanismi per soddisfare i requisiti di resilienza in situazioni", - "req_index": 2, - "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" - }, - { - "entity": "essenziale", - "function": "Rilevazione", - "subcategory": "DE.CM-01", - "subcategory_text": "Le reti e i servizi di rete sono monitorati per individuare eventi potenzialmente", - "req_index": 1, - "requirement": "Per almeno i sistemi informativi e di rete rilevanti, sono presenti, aggiornati, mantenuti e" - }, - { - "entity": "essenziale", - "function": "Rilevazione", - "subcategory": "DE.CM-01", - "subcategory_text": "Le reti e i servizi di rete sono monitorati per individuare eventi potenzialmente", - "req_index": 2, - "requirement": "Sono definiti e documentati i livelli di servizio attesi (SL) dei servizi e delle attività del" - }, - { - "entity": "essenziale", - "function": "Rilevazione", - "subcategory": "DE.CM-01", - "subcategory_text": "Le reti e i servizi di rete sono monitorati per individuare eventi potenzialmente", - "req_index": 3, - "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" - }, - { - "entity": "essenziale", - "function": "Rilevazione", - "subcategory": "DE.CM-01", - "subcategory_text": "Le reti e i servizi di rete sono monitorati per individuare eventi potenzialmente", - "req_index": 4, - "requirement": "Per almeno i sistemi informativi e di rete rilevanti, sono utilizzati strumenti di analisi e" - }, - { - "entity": "essenziale", - "function": "Rilevazione", - "subcategory": "DE.CM-01", - "subcategory_text": "Le reti e i servizi di rete sono monitorati per individuare eventi potenzialmente", - "req_index": 5, - "requirement": "Per almeno i sistemi informativi e di rete rilevanti, ai fini di cui al punto 1, sono monitorati" - }, - { - "entity": "essenziale", - "function": "Rilevazione", - "subcategory": "DE.CM-01", - "subcategory_text": "Le reti e i servizi di rete sono monitorati per individuare eventi potenzialmente", - "req_index": 6, - "requirement": "Per almeno i sistemi informativi e di rete rilevanti, ai fini di cui al punto 1, sono definiti," - }, - { - "entity": "essenziale", - "function": "Rilevazione", - "subcategory": "DE.CM-01", - "subcategory_text": "Le reti e i servizi di rete sono monitorati per individuare eventi potenzialmente", - "req_index": 7, - "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" - }, - { - "entity": "essenziale", - "function": "Rilevazione", - "subcategory": "DE.CM-09", - "subcategory_text": "L'hardware e il software di elaborazione, gli ambienti di runtime e i loro dati sono", - "req_index": 1, - "requirement": "Fatte salve motivate e documentate ragioni normative o tecniche, sono presenti, aggiornati," - }, - { - "entity": "essenziale", - "function": "Rilevazione", - "subcategory": "DE.CM-09", - "subcategory_text": "L'hardware e il software di elaborazione, gli ambienti di runtime e i loro dati sono", - "req_index": 2, - "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" - }, - { - "entity": "essenziale", - "function": "Risposta", - "subcategory": "RS.MA-01", - "subcategory_text": "Il piano di risposta agli incidenti è eseguito in coordinamento con le terze parti", - "req_index": 1, - "requirement": "È definito, attuato, aggiornato e documentato un piano per la gestione degli incidenti di" - }, - { - "entity": "essenziale", - "function": "Risposta", - "subcategory": "RS.MA-01", - "subcategory_text": "Il piano di risposta agli incidenti è eseguito in coordinamento con le terze parti", - "req_index": 2, - "requirement": "Il piano di cui al punto 1 è approvato dagli organi di amministrazione e direttivi." - }, - { - "entity": "essenziale", - "function": "Risposta", - "subcategory": "RS.MA-01", - "subcategory_text": "Il piano di risposta agli incidenti è eseguito in coordinamento con le terze parti", - "req_index": 3, - "requirement": "Il piano di cui al punto 1 è riesaminato e, se opportuno, aggiornato periodicamente e" - }, - { - "entity": "essenziale", - "function": "Risposta", - "subcategory": "RS.CO-02", - "subcategory_text": "Gli stakeholder interni ed esterni sono informati degli incidenti.", - "req_index": 1, - "requirement": "In accordo al piano per la gestione degli incidenti di cui alla misura RS.MA-01, sono" - }, - { - "entity": "essenziale", - "function": "Risposta", - "subcategory": "RS.CO-02", - "subcategory_text": "Gli stakeholder interni ed esterni sono informati degli incidenti.", - "req_index": 2, - "requirement": "Sono documentate e adottate procedure per informare il pubblico sugli incidenti occorsi," - }, - { - "entity": "essenziale", - "function": "Ripristino", - "subcategory": "RC.RP-01", - "subcategory_text": "La parte del piano di risposta agli incidenti relativa al rispristino viene eseguita", - "req_index": 1, - "requirement": "Nell'ambito del piano per la gestione degli incidenti di cui alla misura RS.MA-01, sono" - }, - { - "entity": "essenziale", - "function": "Ripristino", - "subcategory": "RC.CO-03", - "subcategory_text": "Le attività di ripristino e i progressi nel ripristino delle capacità operative sono", - "req_index": 1, - "requirement": "Sono adottate e documentate procedure per comunicare alle parti interne interessate, ivi" - } - ] + "importante": [ + { + "entity": "importante", + "function": "Rilevazione", + "subcategory": "DE.CM-01", + "subcategory_text": "Le reti e i servizi di rete sono monitorati per individuare eventi potenzialmente avversi.", + "req_index": 1, + "requirement": "Per almeno i sistemi informativi e di rete rilevanti, sono presenti, aggiornati, mantenuti e configurati in modo adeguato strumenti tecnici per rilevare tempestivamente gli incidenti significativi." + }, + { + "entity": "importante", + "function": "Rilevazione", + "subcategory": "DE.CM-01", + "subcategory_text": "Le reti e i servizi di rete sono monitorati per individuare eventi potenzialmente avversi.", + "req_index": 2, + "requirement": "Sono definiti e documentati i livelli di servizio attesi (SL) dei servizi e delle attività del soggetto NIS anche ai fini di rilevare tempestivamente gli incidenti significativi." + }, + { + "entity": "importante", + "function": "Rilevazione", + "subcategory": "DE.CM-01", + "subcategory_text": "Le reti e i servizi di rete sono monitorati per individuare eventi potenzialmente avversi.", + "req_index": 3, + "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 1 e 2." + }, + { + "entity": "importante", + "function": "Rilevazione", + "subcategory": "DE.CM-09", + "subcategory_text": "L'hardware e il software di elaborazione, gli ambienti di runtime e i loro dati sono monitorati per individuare eventi potenzialmente avversi.", + "req_index": 1, + "requirement": "Fatte salve motivate e documentate ragioni normative o tecniche, sono presenti, aggiornati, mantenuti e configurati in modo adeguato, sistemi di protezione delle postazioni terminali per il rilevamento del codice malevolo." + }, + { + "entity": "importante", + "function": "Rilevazione", + "subcategory": "DE.CM-09", + "subcategory_text": "L'hardware e il software di elaborazione, gli ambienti di runtime e i loro dati sono monitorati per individuare eventi potenzialmente avversi.", + "req_index": 2, + "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione al punto 1." + }, + { + "entity": "importante", + "function": "Governance", + "subcategory": "GV.OC-04", + "subcategory_text": "Gli obiettivi, le capacità e i servizi critici dai quali gli stakeholder dipendono o che si aspettano dall'organizzazione sono compresi e comunicati.", + "req_index": 1, + "requirement": "È mantenuto un elenco aggiornato dei sistemi informativi e di rete rilevanti." + }, + { + "entity": "importante", + "function": "Governance", + "subcategory": "GV.PO-01", + "subcategory_text": "La politica per la gestione del rischio di cybersecurity è stabilita in base al contesto organizzativo, alla strategia di cybersecurity e alle priorità, ed è comunicata e applicata.", + "req_index": 1, + "requirement": "Sono adottate e documentate politiche di sicurezza informatica per almeno i seguenti ambiti: a) gestione del rischio; b) ruoli e responsabilità; c) affidabilità delle risorse umane; d) conformità e audit di sicurezza; e) gestione dei rischi per la sicurezza informatica della catena di approvvigionamento; f) gestione degli asset; g) gestione delle vulnerabilità; h) continuità operativa, ripristino in caso di disastro e gestione delle crisi; i) gestione dell'autenticazione, delle identità digitali e del controllo accessi; j) sicurezza fisica; k) formazione del personale e consapevolezza; l) sicurezza dei dati; m) sviluppo, configurazione, manutenzione e dismissione dei sistemi informativi e di rete; n) protezione delle reti e delle comunicazioni; o) monitoraggio degli eventi di sicurezza; p) risposta agli incidenti e ripristino." + }, + { + "entity": "importante", + "function": "Governance", + "subcategory": "GV.PO-01", + "subcategory_text": "La politica per la gestione del rischio di cybersecurity è stabilita in base al contesto organizzativo, alla strategia di cybersecurity e alle priorità, ed è comunicata e applicata.", + "req_index": 2, + "requirement": "Per gli ambiti di cui al punto 1 sono incluse almeno le politiche in relazione ai requisiti indicati nella tabella 1 in appendice al presente allegato." + }, + { + "entity": "importante", + "function": "Governance", + "subcategory": "GV.PO-01", + "subcategory_text": "La politica per la gestione del rischio di cybersecurity è stabilita in base al contesto organizzativo, alla strategia di cybersecurity e alle priorità, ed è comunicata e applicata.", + "req_index": 3, + "requirement": "Le politiche di cui al punto 1 sono approvate dagli organi di amministrazione e direttivi." + }, + { + "entity": "importante", + "function": "Governance", + "subcategory": "GV.PO-02", + "subcategory_text": "La politica per la gestione del rischio di cybersecurity è revisionata, aggiornata, comunicata e applicata per riflettere i cambiamenti nei requisiti, nelle minacce, nella tecnologia e nella missione dell'organizzazione.", + "req_index": 1, + "requirement": "Le politiche di cui alla misura GV.PO-01 sono riesaminate e, se opportuno, aggiornate periodicamente e comunque almeno con cadenza annuale, nonché qualora si verifichino evoluzioni del contesto normativo in materia di sicurezza informatica, incidenti significativi, variazioni organizzative o mutamenti dell’esposizione alle minacce e ai relativi rischi." + }, + { + "entity": "importante", + "function": "Governance", + "subcategory": "GV.PO-02", + "subcategory_text": "La politica per la gestione del rischio di cybersecurity è revisionata, aggiornata, comunicata e applicata per riflettere i cambiamenti nei requisiti, nelle minacce, nella tecnologia e nella missione dell'organizzazione.", + "req_index": 2, + "requirement": "Ai fini del riesame di cui al punto 1, è verificata almeno la conformità delle politiche di cui alla misura GV.PO-01 alla normativa in materia di sicurezza informatica." + }, + { + "entity": "importante", + "function": "Governance", + "subcategory": "GV.RM-03", + "subcategory_text": "Le attività e gli esiti della gestione del rischio di cybersecurity sono parte integrante dei processi di gestione del rischio dell'organizzazione.", + "req_index": 1, + "requirement": "Nell'ambito dei processi di gestione del rischio del soggetto NIS e nel rispetto delle politiche di cui alla misura GV.PO-01, è definito, attuato, aggiornato e documentato un piano di gestione dei rischi per la sicurezza informatica per identificare, analizzare, valutare, trattare e monitorare i rischi." + }, + { + "entity": "importante", + "function": "Governance", + "subcategory": "GV.RR-02", + "subcategory_text": "I ruoli, le responsabilità e i correlati poteri relativi alla gestione del rischio di cybersecurity sono stabiliti, comunicati, compresi e applicati.", + "req_index": 1, + "requirement": "È definita, approvata dagli organi di amministrazione e direttivi, e resa nota alle articolazioni competenti del soggetto NIS, l'organizzazione per la sicurezza informatica e ne sono stabiliti ruoli e responsabilità." + }, + { + "entity": "importante", + "function": "Governance", + "subcategory": "GV.RR-02", + "subcategory_text": "I ruoli, le responsabilità e i correlati poteri relativi alla gestione del rischio di cybersecurity sono stabiliti, comunicati, compresi e applicati.", + "req_index": 2, + "requirement": "È mantenuto un elenco aggiornato del personale dell'organizzazione di cui al punto 1 avente specifici ruoli e responsabilità ed è reso noto alle articolazioni competenti del soggetto NIS." + }, + { + "entity": "importante", + "function": "Governance", + "subcategory": "GV.RR-02", + "subcategory_text": "I ruoli, le responsabilità e i correlati poteri relativi alla gestione del rischio di cybersecurity sono stabiliti, comunicati, compresi e applicati.", + "req_index": 3, + "requirement": "All’interno dell’organizzazione per la sicurezza informatica di cui al punto 1, sono inclusi il punto di contatto, e almeno un suo sostituto, di cui alla determina adottata ai sensi dell’articolo 7, comma 6 del decreto NIS." + }, + { + "entity": "importante", + "function": "Governance", + "subcategory": "GV.RR-02", + "subcategory_text": "I ruoli, le responsabilità e i correlati poteri relativi alla gestione del rischio di cybersecurity sono stabiliti, comunicati, compresi e applicati.", + "req_index": 4, + "requirement": "I ruoli e le responsabilità di cui al punto 1 sono riesaminati e, se opportuno, aggiornati periodicamente e comunque almeno ogni due anni, nonché qualora si verifichino incidenti significativi, variazioni organizzative o mutamenti dell’esposizione alle minacce e ai relativi rischi." + }, + { + "entity": "importante", + "function": "Governance", + "subcategory": "GV.RR-04", + "subcategory_text": "La cybersecurity è inclusa nelle pratiche delle risorse umane.", + "req_index": 1, + "requirement": "Per almeno i sistemi informativi e di rete rilevanti, il personale autorizzato ad accedervi è individuato previa valutazione dell’esperienza, capacità e affidabilità e deve fornire idonea garanzia del pieno rispetto della normativa in materia di sicurezza informatica." + }, + { + "entity": "importante", + "function": "Governance", + "subcategory": "GV.RR-04", + "subcategory_text": "La cybersecurity è inclusa nelle pratiche delle risorse umane.", + "req_index": 2, + "requirement": "Gli amministratori di sistema dei sistemi informativi e di rete sono individuati previa valutazione dell’esperienza, capacità e affidabilità e devono fornire idonea garanzia del pieno rispetto della normativa in materia di sicurezza informatica." + }, + { + "entity": "importante", + "function": "Governance", + "subcategory": "GV.RR-04", + "subcategory_text": "La cybersecurity è inclusa nelle pratiche delle risorse umane.", + "req_index": 3, + "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 1 e 2." + }, + { + "entity": "importante", + "function": "Governance", + "subcategory": "GV.SC-01", + "subcategory_text": "Sono stabiliti e accettati dagli stakeholder dell'organizzazione il programma, la strategia, obiettivi, politiche e processi di gestione del rischio di cybersecurity della catena di approvvigionamento.", + "req_index": 1, + "requirement": "In merito all’affidamento di forniture con potenziali impatti sulla sicurezza dei sistemi informativi e di rete, anche mediante ricorso agli strumenti delle centrali di committenza di cui all’allegato I.1, articolo 1, comma 1, lettera i), del decreto legislativo 31 marzo 2023, n. 36, sono previsti: a) il coinvolgimento dell’organizzazione per la sicurezza informatica di cui alla misura GV.RR-02 nella definizione ed esecuzione dei processi di approvvigionamento a partire dalla fase di identificazione e progettazione della fornitura; b) in accordo agli esiti della valutazione del rischio associato alla fornitura di cui alla misura GV.SC-07, la definizione di requisiti di sicurezza sulla fornitura coerenti con le misure di sicurezza applicate dal soggetto NIS ai sistemi informativi e di rete." + }, + { + "entity": "importante", + "function": "Governance", + "subcategory": "GV.SC-02", + "subcategory_text": "I ruoli e le responsabilità in materia di cybersecurity per fornitori, clienti e partner sono stabiliti, comunicati e coordinati internamente ed esternamente.", + "req_index": 1, + "requirement": "Nell'ambito dell'organizzazione per la sicurezza informatica di cui alla misura GV.RR-02, sono definiti e resi noti alle articolazioni competenti del soggetto NIS gli eventuali ruoli e responsabilità in materia di sicurezza informatica assegnati al personale delle terze parti." + }, + { + "entity": "importante", + "function": "Governance", + "subcategory": "GV.SC-02", + "subcategory_text": "I ruoli e le responsabilità in materia di cybersecurity per fornitori, clienti e partner sono stabiliti, comunicati e coordinati internamente ed esternamente.", + "req_index": 2, + "requirement": "Il personale di cui al punto 1 avente specifici ruoli e responsabilità è incluso nell’elenco di cui al punto 2 della misura GV.RR-02." + }, + { + "entity": "importante", + "function": "Governance", + "subcategory": "GV.SC-04", + "subcategory_text": "I fornitori sono noti e prioritizzati in base alla criticità.", + "req_index": 1, + "requirement": "È mantenuto un inventario aggiornato dei fornitori, le cui forniture hanno un potenziale impatto sulla sicurezza dei sistemi informativi e di rete, che comprende almeno: a) gli estremi di contatto del referente della fornitura; b) la tipologia di fornitura." + }, + { + "entity": "importante", + "function": "Governance", + "subcategory": "GV.SC-05", + "subcategory_text": "I requisiti per affrontare i rischi di cybersecurity nella catena di approvvigionamento sono stabiliti, prioritizzati e integrati nei contratti e in altri tipi di accordi con i fornitori e altre terze parti rilevanti.", + "req_index": 1, + "requirement": "Fatte salve motivate e documentate ragioni normative o tecniche, i requisiti di sicurezza di cui alla misura GV.SC-01, punto 1, lettera b) sono inseriti nelle richieste di offerta, bandi di gara, contratti, accordi e convenzioni relativi alle forniture con potenziali impatto sulla sicurezza dei sistemi informativi e di rete." + }, + { + "entity": "importante", + "function": "Governance", + "subcategory": "GV.SC-07", + "subcategory_text": "I rischi posti da un fornitore, dai suoi prodotti e servizi e da altre terze parti sono compresi, registrati, prioritizzati, valutati, trattati e monitorati nel corso della relazione.", + "req_index": 1, + "requirement": "Nell’ambito della valutazione del rischio di cui alla misura ID.RA-05, è valutato e documentato il rischio associato alle forniture. A tal fine, sono valutati almeno: a) il livello di accesso del fornitore ai sistemi informativi e di rete del soggetto NIS; b) l'accesso del fornitore alla proprietà intellettuale e ai dati anche sulla base della loro criticità; c) l'impatto di una grave interruzione della fornitura; d) i tempi e i costi di ripristino in caso di indisponibilità dei servizi; e) i ruoli e le responsabilità del fornitore nel governo dei sistemi informativi e di rete." + }, + { + "entity": "importante", + "function": "Governance", + "subcategory": "GV.SC-07", + "subcategory_text": "I rischi posti da un fornitore, dai suoi prodotti e servizi e da altre terze parti sono compresi, registrati, prioritizzati, valutati, trattati e monitorati nel corso della relazione.", + "req_index": 2, + "requirement": "È verificata periodicamente e documentata la conformità delle forniture ai requisiti di cui alla misura GV.SC-05." + }, + { + "entity": "importante", + "function": "Identificazione", + "subcategory": "ID.AM-01", + "subcategory_text": "Sono mantenuti gli inventari dell'hardware gestito dall'organizzazione.", + "req_index": 1, + "requirement": "È mantenuto un inventario aggiornato degli apparati fisici (hardware) che compongono i sistemi informativi e di rete, ivi inclusi i dispositivi IT, IoT, OT e mobili, approvati da attori interni al soggetto NIS." + }, + { + "entity": "importante", + "function": "Identificazione", + "subcategory": "ID.AM-02", + "subcategory_text": "Sono mantenuti gli inventari del software, dei servizi e dei sistemi gestiti dall'organizzazione.", + "req_index": 1, + "requirement": "È mantenuto un inventario aggiornato dei servizi, dei sistemi e delle applicazioni software che compongono i sistemi informativi e di rete, ivi incluse le applicazioni commerciali, open-source e custom, anche accessibili tramite API, approvati da attori interni al soggetto NIS." + }, + { + "entity": "importante", + "function": "Identificazione", + "subcategory": "ID.AM-04", + "subcategory_text": "Sono mantenuti gli inventari dei servizi erogati dai fornitori.", + "req_index": 1, + "requirement": "È mantenuto un inventario aggiornato dei servizi informatici erogati dai fornitori, ivi inclusi i servizi cloud." + }, + { + "entity": "importante", + "function": "Identificazione", + "subcategory": "ID.IM-01", + "subcategory_text": "Sono identificati miglioramenti in esito alle valutazioni.", + "req_index": 1, + "requirement": "In accordo agli esiti del riesame di cui al punto 1 della misura GV.PO-02, è definito, attuato, documentato e approvato dagli organi di amministrazioni e direttivi un piano di adeguamento che identifichi gli interventi necessari ad assicurare l’attuazione delle politiche di sicurezza." + }, + { + "entity": "importante", + "function": "Identificazione", + "subcategory": "ID.IM-01", + "subcategory_text": "Sono identificati miglioramenti in esito alle valutazioni.", + "req_index": 2, + "requirement": "Gli organi di amministrazione e direttivi sono informati mediante apposite relazioni periodiche sugli esiti dei piani di cui al punto 1." + }, + { + "entity": "importante", + "function": "Identificazione", + "subcategory": "ID.IM-04", + "subcategory_text": "I piani di risposta agli incidenti e gli altri piani di cybersecurity che impattano le operazioni sono stabiliti, comunicati, mantenuti e migliorati.", + "req_index": 1, + "requirement": "Per almeno i sistemi informativi e di rete rilevanti è definito, attuato, aggiornato e documentato un piano di continuità operativa, che comprende almeno: a) le finalità e l'ambito di applicazione; b) i ruoli e le responsabilità; c) i contatti principali e i canali di comunicazione (interni ed esterni); d) le condizioni per l'attivazione e la disattivazione del piano; e) le risorse necessarie, ivi compresi i backup e le ridondanze." + }, + { + "entity": "importante", + "function": "Identificazione", + "subcategory": "ID.IM-04", + "subcategory_text": "I piani di risposta agli incidenti e gli altri piani di cybersecurity che impattano le operazioni sono stabiliti, comunicati, mantenuti e migliorati.", + "req_index": 2, + "requirement": "Per almeno i sistemi informativi e di rete rilevanti è definito, attuato, aggiornato e documentato un piano di ripristino in caso di disastro, che comprende almeno: a) le finalità e l'ambito di applicazione; b) i ruoli e le responsabilità; c) i contatti principali e i canali di comunicazione (interni ed esterni); d) le condizioni per l'attivazione e la disattivazione del piano; e) le risorse necessarie, ivi compresi i backup e le ridondanze; f) l'ordine di ripristino delle operazioni; g) le procedure di ripristino per operazioni specifiche, compresi gli obiettivi di ripristino." + }, + { + "entity": "importante", + "function": "Identificazione", + "subcategory": "ID.IM-04", + "subcategory_text": "I piani di risposta agli incidenti e gli altri piani di cybersecurity che impattano le operazioni sono stabiliti, comunicati, mantenuti e migliorati.", + "req_index": 3, + "requirement": "Per almeno i sistemi informativi e di rete rilevanti è definito, attuato, aggiornato e documentato un piano per la gestione delle crisi che comprende almeno: a) i ruoli e responsabilità del personale e, se opportuno, dei fornitori, specificando l'assegnazione dei ruoli in situazioni di crisi, comprese le procedure specifiche da seguire; b) le modalità di comunicazione tra i soggetti e le autorità competenti." + }, + { + "entity": "importante", + "function": "Identificazione", + "subcategory": "ID.IM-04", + "subcategory_text": "I piani di risposta agli incidenti e gli altri piani di cybersecurity che impattano le operazioni sono stabiliti, comunicati, mantenuti e migliorati.", + "req_index": 4, + "requirement": "I piani di cui ai punti 1, 2 e 3 sono approvati dagli organi di amministrazione e direttivi." + }, + { + "entity": "importante", + "function": "Identificazione", + "subcategory": "ID.IM-04", + "subcategory_text": "I piani di risposta agli incidenti e gli altri piani di cybersecurity che impattano le operazioni sono stabiliti, comunicati, mantenuti e migliorati.", + "req_index": 5, + "requirement": "I piani di cui ai punti 1, 2 e 3 sono riesaminati e, se opportuno, aggiornati periodicamente e comunque almeno ogni due anni, nonché qualora si verifichino incidenti significativi o mutamenti dell’esposizione alle minacce e ai relativi rischi." + }, + { + "entity": "importante", + "function": "Identificazione", + "subcategory": "ID.RA-01", + "subcategory_text": "Le vulnerabilità negli asset sono identificate, confermate e registrate.", + "req_index": 1, + "requirement": "Le informazioni di cui al punto 1 della misura ID.RA-08 sono utilizzate per identificare eventuali vulnerabilità sui i sistemi informativi e di rete." + }, + { + "entity": "importante", + "function": "Identificazione", + "subcategory": "ID.RA-05", + "subcategory_text": "Minacce, vulnerabilità, probabilità e impatti sono utilizzati per comprendere il rischio inerente e per informare la prioritizzazione della risposta al rischio.", + "req_index": 1, + "requirement": "In accordo al piano di gestione dei rischi per la sicurezza informatica di cui alla misura GV.RM-03, è eseguita e documentata la valutazione del rischio posto alla sicurezza dei sistemi informativi e di rete, anche con riferimento alle eventuali dipendenze da fornitori e partner terzi, che comprende almeno: a) l’identificazione del rischio; b) l’analisi del rischio; c) la ponderazione del rischio." + }, + { + "entity": "importante", + "function": "Identificazione", + "subcategory": "ID.RA-05", + "subcategory_text": "Minacce, vulnerabilità, probabilità e impatti sono utilizzati per comprendere il rischio inerente e per informare la prioritizzazione della risposta al rischio.", + "req_index": 2, + "requirement": "La valutazione del rischio di cui al punto 1 è eseguita a intervalli pianificati e comunque almeno ogni due anni, nonché qualora si verifichino incidenti significativi, variazioni organizzative o mutamenti dell’esposizione alle minacce e ai relativi rischi." + }, + { + "entity": "importante", + "function": "Identificazione", + "subcategory": "ID.RA-05", + "subcategory_text": "Minacce, vulnerabilità, probabilità e impatti sono utilizzati per comprendere il rischio inerente e per informare la prioritizzazione della risposta al rischio.", + "req_index": 3, + "requirement": "La valutazione del rischio cui al punto 1 è approvata dagli organi di amministrazione e direttivi." + }, + { + "entity": "importante", + "function": "Identificazione", + "subcategory": "ID.RA-06", + "subcategory_text": "Le risposte al rischio sono scelte, prioritizzate, pianificate, monitorate e comunicate.", + "req_index": 1, + "requirement": "È definito, documentato, eseguito e monitorato un piano di trattamento del rischio che comprende almeno: a) le opzioni di trattamento e le misure da attuare in merito al trattamento di ciascun rischio individuato e le relative priorità; b) le articolazioni competenti per l'attuazione delle misure di trattamento dei rischi e le tempistiche per tale attuazione; c) la descrizione e le ragioni che giustificano l'accettazione di eventuali rischi residui al trattamento." + }, + { + "entity": "importante", + "function": "Identificazione", + "subcategory": "ID.RA-06", + "subcategory_text": "Le risposte al rischio sono scelte, prioritizzate, pianificate, monitorate e comunicate.", + "req_index": 2, + "requirement": "Qualora per motivate e documentate ragioni normative o tecniche non siano attuati i requisiti di cui alla tabella 2 in appendice al presente allegato, sono adottate, ove applicabile, misure di mitigazione compensative e il piano di cui al punto 1 include la descrizione di tali misure e dell’eventuale rischio residuo." + }, + { + "entity": "importante", + "function": "Identificazione", + "subcategory": "ID.RA-06", + "subcategory_text": "Le risposte al rischio sono scelte, prioritizzate, pianificate, monitorate e comunicate.", + "req_index": 3, + "requirement": "Il piano di cui al punto 1, ivi compresa l’accettazione di eventuali rischi residui, è approvato dagli organi di amministrazione e direttivi." + }, + { + "entity": "importante", + "function": "Identificazione", + "subcategory": "ID.RA-08", + "subcategory_text": "Sono stabiliti processi per la ricezione, l'analisi e la risposta alle divulgazioni di vulnerabilità.", + "req_index": 1, + "requirement": "Sono monitorati almeno i canali di comunicazione del CSIRT Italia, nonché di eventuali CERT e Information Sharing & Analysis Centre (ISAC) settoriali, al fine di acquisire, analizzare e rispondere alle informazioni sulle vulnerabilità." + }, + { + "entity": "importante", + "function": "Identificazione", + "subcategory": "ID.RA-08", + "subcategory_text": "Sono stabiliti processi per la ricezione, l'analisi e la risposta alle divulgazioni di vulnerabilità.", + "req_index": 2, + "requirement": "Le vulnerabilità, ivi comprese quelle identificate ai sensi della misura ID.RA-01, sono prontamente risolte attraverso aggiornamenti di sicurezza o misure di mitigazione, ove disponibili, ovvero accettando e documentando il rischio in accordo al piano di trattamento del rischio informatico di cui alla misura ID.RA-06." + }, + { + "entity": "importante", + "function": "Identificazione", + "subcategory": "ID.RA-08", + "subcategory_text": "Sono stabiliti processi per la ricezione, l'analisi e la risposta alle divulgazioni di vulnerabilità.", + "req_index": 3, + "requirement": "È definito, attuato, aggiornato e documentato un piano di gestione delle vulnerabilità che comprende almeno: a) le modalità per l'identificazione delle vulnerabilità di cui alla misura ID.RA-01 e la relativa pianificazione delle attività; b) le modalità per monitorare, ricevere, analizzare e rispondere alle informazioni sulle vulnerabilità; c) le procedure, i ruoli, le responsabilità per lo svolgimento delle attività di cui alle lettere a) e b)." + }, + { + "entity": "importante", + "function": "Identificazione", + "subcategory": "ID.RA-08", + "subcategory_text": "Sono stabiliti processi per la ricezione, l'analisi e la risposta alle divulgazioni di vulnerabilità.", + "req_index": 4, + "requirement": "Il piano di cui al punto 3 è approvato dagli organi di amministrazione e direttivi." + }, + { + "entity": "importante", + "function": "Protezione", + "subcategory": "PR.AA-01", + "subcategory_text": "Le identità e le credenziali degli utenti, dei servizi e dell'hardware autorizzati sono gestite dall'organizzazione.", + "req_index": 1, + "requirement": "Tutte le utenze, ivi incluse quelle con privilegi amministrativi e quelle utilizzate per l’accesso remoto, sono censite, approvate da attori interni al soggetto NIS e, fatte salve motivate e documentate ragioni tecniche, in accordo agli esiti della valutazione del rischio di cui alla misura ID.RA-05, sono individuali per gli utenti." + }, + { + "entity": "importante", + "function": "Protezione", + "subcategory": "PR.AA-01", + "subcategory_text": "Le identità e le credenziali degli utenti, dei servizi e dell'hardware autorizzati sono gestite dall'organizzazione.", + "req_index": 2, + "requirement": "Le credenziali (ad esempio nome utente e password) relative alle utenze sono robuste e aggiornate in accordo agli esiti della valutazione del rischio di cui alla misura ID.RA-05." + }, + { + "entity": "importante", + "function": "Protezione", + "subcategory": "PR.AA-01", + "subcategory_text": "Le identità e le credenziali degli utenti, dei servizi e dell'hardware autorizzati sono gestite dall'organizzazione.", + "req_index": 3, + "requirement": "Per almeno i sistemi informativi e di rete rilevanti, sono verificate periodicamente le utenze e le relative autorizzazioni, aggiornandole/revocandole in caso di variazioni (ad esempio trasferimento o cessazione di personale)." + }, + { + "entity": "importante", + "function": "Protezione", + "subcategory": "PR.AA-01", + "subcategory_text": "Le identità e le credenziali degli utenti, dei servizi e dell'hardware autorizzati sono gestite dall'organizzazione.", + "req_index": 4, + "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 1, 2 e 3." + }, + { + "entity": "importante", + "function": "Protezione", + "subcategory": "PR.AA-03", + "subcategory_text": "Utenti, servizi e hardware sono autenticati.", + "req_index": 1, + "requirement": "Le modalità di autenticazione delle utenze per accedere ai sistemi informativi e di rete sono commisurate al rischio. A tal fine sono valutati almeno i rischi connessi: a) ai privilegi delle utenze; b) alla criticità dei sistemi informativi e di rete; c) alla tipologia di operazioni che le utenze possono effettuare sui sistemi informativi e di rete." + }, + { + "entity": "importante", + "function": "Protezione", + "subcategory": "PR.AA-03", + "subcategory_text": "Utenti, servizi e hardware sono autenticati.", + "req_index": 2, + "requirement": "Per almeno i sistemi informativi e di rete rilevanti e in accordo agli esiti della valutazione del rischio di cui alla misura ID.RA-05, sono impiegate modalità di autenticazione multifattore." + }, + { + "entity": "importante", + "function": "Protezione", + "subcategory": "PR.AA-03", + "subcategory_text": "Utenti, servizi e hardware sono autenticati.", + "req_index": 3, + "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 1 e 2." + }, + { + "entity": "importante", + "function": "Protezione", + "subcategory": "PR.AA-05", + "subcategory_text": "I permessi, i diritti e le autorizzazioni di accesso sono definiti in una politica, gestiti, applicati e rivisti e incorporano i principi del minimo privilegio e della separazione dei compiti.", + "req_index": 1, + "requirement": "I permessi sono assegnati alle utenze in accordo ai principi del minimo privilegio e della separazione delle funzioni, tenuto anche conto della necessità di conoscere (need to know)." + }, + { + "entity": "importante", + "function": "Protezione", + "subcategory": "PR.AA-05", + "subcategory_text": "I permessi, i diritti e le autorizzazioni di accesso sono definiti in una politica, gestiti, applicati e rivisti e incorporano i principi del minimo privilegio e della separazione dei compiti.", + "req_index": 2, + "requirement": "È assicurata la completa distinzione tra utenze con e senza privilegi amministrativi degli amministratori di sistema alle quali debbono corrispondere credenziali diverse." + }, + { + "entity": "importante", + "function": "Protezione", + "subcategory": "PR.AA-05", + "subcategory_text": "I permessi, i diritti e le autorizzazioni di accesso sono definiti in una politica, gestiti, applicati e rivisti e incorporano i principi del minimo privilegio e della separazione dei compiti.", + "req_index": 3, + "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 1e 2." + }, + { + "entity": "importante", + "function": "Protezione", + "subcategory": "PR.AA-06", + "subcategory_text": "L'accesso fisico agli asset è gestito, monitorato e applicato in misura appropriata al rischio.", + "req_index": 1, + "requirement": "Per almeno i sistemi informativi e di rete rilevanti, l’accesso fisico è protetto." + }, + { + "entity": "importante", + "function": "Protezione", + "subcategory": "PR.AA-06", + "subcategory_text": "L'accesso fisico agli asset è gestito, monitorato e applicato in misura appropriata al rischio.", + "req_index": 2, + "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione al punto 1." + }, + { + "entity": "importante", + "function": "Protezione", + "subcategory": "PR.AT-01", + "subcategory_text": "Il personale è sensibilizzato e formato in modo da possedere le conoscenze e le competenze per svolgere compiti di carattere generale tenendo conto dei rischi di cybersecurity.", + "req_index": 1, + "requirement": "È definito, attuato, aggiornato e documentato un piano di formazione in materia di sicurezza informatica del personale, ivi inclusi gli organi di amministrazione e direttivi, che comprende almeno: a) la pianificazione delle attività di formazione previste con l’indicazione dei contenuti della formazione fornita; b) le eventuali modalità di verifica dell'acquisizione dei contenuti." + }, + { + "entity": "importante", + "function": "Protezione", + "subcategory": "PR.AT-01", + "subcategory_text": "Il personale è sensibilizzato e formato in modo da possedere le conoscenze e le competenze per svolgere compiti di carattere generale tenendo conto dei rischi di cybersecurity.", + "req_index": 2, + "requirement": "Il piano di formazione di cui al punto 1 è approvato dagli organi di amministrazione e direttivi." + }, + { + "entity": "importante", + "function": "Protezione", + "subcategory": "PR.AT-01", + "subcategory_text": "Il personale è sensibilizzato e formato in modo da possedere le conoscenze e le competenze per svolgere compiti di carattere generale tenendo conto dei rischi di cybersecurity.", + "req_index": 3, + "requirement": "È mantenuto un registro aggiornato recante l'elenco dei dipendenti che hanno ricevuto la formazione di cui al punto 1, i relativi contenuti e l'elenco delle verifiche svolte laddove previste." + }, + { + "entity": "importante", + "function": "Protezione", + "subcategory": "PR.DS-01", + "subcategory_text": "La riservatezza, l'integrità e la disponibilità dei dati a riposo (data-at-rest) sono protette.", + "req_index": 1, + "requirement": "Per almeno i sistemi informativi e di rete rilevanti e in accordo agli esiti della valutazione del rischio di cui alla misura ID.RA-05, fatte salve motivate e documentate ragioni normative o tecniche, i dati memorizzati sui dispositivi portatili, ivi inclusi laptop, smartphone e tablet, e sui supporti removibili, sono cifrati con protocolli e algoritmi allo stato dell’arte e considerati sicuri." + }, + { + "entity": "importante", + "function": "Protezione", + "subcategory": "PR.DS-01", + "subcategory_text": "La riservatezza, l'integrità e la disponibilità dei dati a riposo (data-at-rest) sono protette.", + "req_index": 2, + "requirement": "Fatte salve e documentate ragioni normative o tecniche, è disabilitata l'auto esecuzione dei supporti rimovibili ed è effettuata la loro scansione al fine di rilevare codici malevoli prima che siano utilizzati nei sistemi informativi e di rete." + }, + { + "entity": "importante", + "function": "Protezione", + "subcategory": "PR.DS-01", + "subcategory_text": "La riservatezza, l'integrità e la disponibilità dei dati a riposo (data-at-rest) sono protette.", + "req_index": 3, + "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 1 e 2." + }, + { + "entity": "importante", + "function": "Protezione", + "subcategory": "PR.DS-02", + "subcategory_text": "La riservatezza, l'integrità e la disponibilità dei dati in transito (data-in-transit) sono protette.", + "req_index": 1, + "requirement": "Per almeno i sistemi informativi e di rete rilevanti, ivi inclusi quelli di comunicazione vocale, video e testuale, e in accordo agli esiti della valutazione del rischio di cui alla misura ID.RA-05 fatte salve motivate e documentate ragioni normative o tecniche, sono utilizzati, per la trasmissione dei dati da e verso l’esterno del soggetto NIS, protocolli e algoritmi di cifratura allo stato dell’arte e considerati sicuri." + }, + { + "entity": "importante", + "function": "Protezione", + "subcategory": "PR.DS-02", + "subcategory_text": "La riservatezza, l'integrità e la disponibilità dei dati in transito (data-in-transit) sono protette.", + "req_index": 2, + "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione al punto 1." + }, + { + "entity": "importante", + "function": "Protezione", + "subcategory": "PR.DS-11", + "subcategory_text": "I backup dei dati sono creati, protetti, mantenuti e verificati.", + "req_index": 1, + "requirement": "In accordo alle esigenze di continuità operativa e di ripristino in caso di disastro individuate nei piani di cui alla misura ID.IM-04, sono effettuati periodicamente i backup dei dati e delle configurazioni e, per almeno i sistemi informativi e di rete rilevanti, sono anche conservate copie di backup offline." + }, + { + "entity": "importante", + "function": "Protezione", + "subcategory": "PR.DS-11", + "subcategory_text": "I backup dei dati sono creati, protetti, mantenuti e verificati.", + "req_index": 2, + "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione al punto 1." + }, + { + "entity": "importante", + "function": "Protezione", + "subcategory": "PR.IR-01", + "subcategory_text": "Le reti e gli ambienti sono protetti dall'accesso logico e dall'uso non autorizzati.", + "req_index": 1, + "requirement": "Per almeno i sistemi informativi e di rete rilevanti, sono definite e documentate le eventuali attività consentite da remoto e implementate adeguate misure di sicurezza per l’accesso." + }, + { + "entity": "importante", + "function": "Protezione", + "subcategory": "PR.IR-01", + "subcategory_text": "Le reti e gli ambienti sono protetti dall'accesso logico e dall'uso non autorizzati.", + "req_index": 2, + "requirement": "È mantenuto un elenco aggiornato dei sistemi informativi e di rete ai quali è possibile accedere da remoto con la descrizione delle relative modalità di accesso." + }, + { + "entity": "importante", + "function": "Protezione", + "subcategory": "PR.IR-01", + "subcategory_text": "Le reti e gli ambienti sono protetti dall'accesso logico e dall'uso non autorizzati.", + "req_index": 3, + "requirement": "Sono presenti, aggiornati, mantenuti e configurati i sistemi perimetrali, quali firewall." + }, + { + "entity": "importante", + "function": "Protezione", + "subcategory": "PR.IR-01", + "subcategory_text": "Le reti e gli ambienti sono protetti dall'accesso logico e dall'uso non autorizzati.", + "req_index": 4, + "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 1, 2 e 3." + }, + { + "entity": "importante", + "function": "Protezione", + "subcategory": "PR.PS-02", + "subcategory_text": "Il software è mantenuto, sostituito e rimosso in base al rischio.", + "req_index": 1, + "requirement": "Fatte salve motivate e documentate ragioni normative o tecniche, è installato esclusivamente software, ivi compresi i sistemi operativi, per il quale è garantita la disponibilità di aggiornamenti di sicurezza." + }, + { + "entity": "importante", + "function": "Protezione", + "subcategory": "PR.PS-02", + "subcategory_text": "Il software è mantenuto, sostituito e rimosso in base al rischio.", + "req_index": 2, + "requirement": "Fatte salve motivate e documentate ragioni normative o tecniche, sono installati, senza ingiustificato ritardo, gli ultimi aggiornamenti di sicurezza rilasciati dal produttore in coerenza con il piano di gestione delle vulnerabilità di cui alla misura ID.RA-08." + }, + { + "entity": "importante", + "function": "Protezione", + "subcategory": "PR.PS-02", + "subcategory_text": "Il software è mantenuto, sostituito e rimosso in base al rischio.", + "req_index": 3, + "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 1e 2." + }, + { + "entity": "importante", + "function": "Protezione", + "subcategory": "PR.PS-04", + "subcategory_text": "I registri di log sono generati e resi disponibili per il monitoraggio continuo.", + "req_index": 1, + "requirement": "Tutti gli accessi eseguiti da remoto e quelli effettuati con utenze con privilegi amministrativi sono registrati." + }, + { + "entity": "importante", + "function": "Protezione", + "subcategory": "PR.PS-04", + "subcategory_text": "I registri di log sono generati e resi disponibili per il monitoraggio continuo.", + "req_index": 2, + "requirement": "Per almeno i sistemi informativi e di rete rilevanti, sono conservati in modo sicuro, e possibilmente centralizzato, almeno i log necessari ai fini del monitoraggio degli eventi di sicurezza, ivi compresi quelli relativi agli accessi di cui al punto 1." + }, + { + "entity": "importante", + "function": "Protezione", + "subcategory": "PR.PS-04", + "subcategory_text": "I registri di log sono generati e resi disponibili per il monitoraggio continuo.", + "req_index": 3, + "requirement": "In accordo agli esiti della valutazione rischio di cui alla misura ID.RA-05, sono definite e documentate le tempistiche di conservazione dei log di cui al punto 2." + }, + { + "entity": "importante", + "function": "Protezione", + "subcategory": "PR.PS-04", + "subcategory_text": "I registri di log sono generati e resi disponibili per il monitoraggio continuo.", + "req_index": 4, + "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 1 e 2." + }, + { + "entity": "importante", + "function": "Protezione", + "subcategory": "PR.PS-06", + "subcategory_text": "Le pratiche di sviluppo sicuro del software sono integrate e le loro prestazioni sono monitorate durante l'intero ciclo di vita del software.", + "req_index": 1, + "requirement": "Sono adottate e documentate pratiche di sviluppo sicuro del codice nello sviluppo del software." + }, + { + "entity": "importante", + "function": "Ripristino", + "subcategory": "RC.RP-01", + "subcategory_text": "La parte del piano di risposta agli incidenti relativa al rispristino viene eseguita una volta avviata dal processo di risposta agli incidenti.", + "req_index": 1, + "requirement": "Nell'ambito del piano per la gestione degli incidenti di cui alla misura RS.MA-01, sono adottate e documentate procedure per il ripristino con riguardo almeno al ripristino del normale funzionamento dei sistemi informativi e di rete coinvolti da incidenti di sicurezza informatica, ivi compresi quelli di cui all’articolo 25 del decreto NIS." + }, + { + "entity": "importante", + "function": "Risposta", + "subcategory": "RS.CO-02", + "subcategory_text": "Gli stakeholder interni ed esterni sono informati degli incidenti.", + "req_index": 1, + "requirement": "In accordo al piano per la gestione degli incidenti di cui alla misura RS.MA-01, sono documentate e adottate procedure per comunicare senza ingiustificato ritardo, se ritenuto opportuno e qualora possibile, sentito il CSIRT Italia, ovvero qualora intimato dall’Agenzia per la cybersicurezza nazionale ai sensi dell’articolo 37, comma 3, lettere g) e h), del decreto NIS: a) ai destinatari dei loro servizi, gli incidenti significativi che possono ripercuotersi negativamente sulla fornitura di tali servizi; b) ai destinatari dei servizi che sono potenzialmente interessati da una minaccia informatica significativa, le misure o azioni correttive o di mitigazione che tali destinatari possono adottare in risposta a tale minaccia e la natura di tale minaccia." + }, + { + "entity": "importante", + "function": "Risposta", + "subcategory": "RS.CO-02", + "subcategory_text": "Gli stakeholder interni ed esterni sono informati degli incidenti.", + "req_index": 2, + "requirement": "Sono documentate e adottate procedure per informare il pubblico sugli incidenti occorsi, qualora intimato dall’Agenzia per la cybersicurezza nazionale ai sensi dell’art. 37, comma 3, lettera i) del decreto NIS." + }, + { + "entity": "importante", + "function": "Risposta", + "subcategory": "RS.MA-01", + "subcategory_text": "Il piano di risposta agli incidenti è eseguito in coordinamento con le terze parti interessate una volta dichiarato un incidente.", + "req_index": 1, + "requirement": "È definito, attuato, aggiornato e documentato un piano per la gestione degli incidenti di sicurezza informatica e la notifica al CSIRT Italia, in accordo a quanto previsto dall’articolo 25 del decreto NIS, che comprende almeno: a) le fasi e le procedure di gestione e notifica degli incidenti con l’indicazione dei relativi ruoli e delle responsabilità; b) le procedure per la predisposizione e la trasmissione delle relazioni di cui all’articolo 25, comma 5, lettere c), d) ed e) del decreto NIS; c) le informazioni di contatto per la segnalazione degli incidenti; d) le modalità di comunicazione interna, anche con riguardo al coinvolgimento degli organi di amministrazione e direttivi, ed esterna; e) la reportistica da utilizzare per la documentazione dell’incidente." + }, + { + "entity": "importante", + "function": "Risposta", + "subcategory": "RS.MA-01", + "subcategory_text": "Il piano di risposta agli incidenti è eseguito in coordinamento con le terze parti interessate una volta dichiarato un incidente.", + "req_index": 2, + "requirement": "Il piano di cui al punto 1 è approvato dagli organi di amministrazione e direttivi." + }, + { + "entity": "importante", + "function": "Risposta", + "subcategory": "RS.MA-01", + "subcategory_text": "Il piano di risposta agli incidenti è eseguito in coordinamento con le terze parti interessate una volta dichiarato un incidente.", + "req_index": 3, + "requirement": "Il piano di cui al punto 1 è riesaminato e, se opportuno, aggiornato periodicamente e comunque almeno ogni due anni, nonché qualora si verifichino incidenti significativi, integrando le relative lezioni apprese, o mutamenti dell’esposizione alle minacce e ai relativi rischi." + } + ], + "essenziale": [ + { + "entity": "essenziale", + "function": "Rilevazione", + "subcategory": "DE.CM-01", + "subcategory_text": "Le reti e i servizi di rete sono monitorati per individuare eventi potenzialmente avversi.", + "req_index": 1, + "requirement": "Per almeno i sistemi informativi e di rete rilevanti, sono presenti, aggiornati, mantenuti e configurati in modo adeguato strumenti tecnici per rilevare tempestivamente gli incidenti significativi." + }, + { + "entity": "essenziale", + "function": "Rilevazione", + "subcategory": "DE.CM-01", + "subcategory_text": "Le reti e i servizi di rete sono monitorati per individuare eventi potenzialmente avversi.", + "req_index": 2, + "requirement": "Sono definiti e documentati i livelli di servizio attesi (SL) dei servizi e delle attività del soggetto NIS anche ai fini di rilevare tempestivamente gli incidenti significativi." + }, + { + "entity": "essenziale", + "function": "Rilevazione", + "subcategory": "DE.CM-01", + "subcategory_text": "Le reti e i servizi di rete sono monitorati per individuare eventi potenzialmente avversi.", + "req_index": 3, + "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 1 e 2." + }, + { + "entity": "essenziale", + "function": "Rilevazione", + "subcategory": "DE.CM-01", + "subcategory_text": "Le reti e i servizi di rete sono monitorati per individuare eventi potenzialmente avversi.", + "req_index": 4, + "requirement": "Per almeno i sistemi informativi e di rete rilevanti, sono utilizzati strumenti di analisi e filtraggio sul flusso di traffico in ingresso (ivi inclusa la posta elettronica)." + }, + { + "entity": "essenziale", + "function": "Rilevazione", + "subcategory": "DE.CM-01", + "subcategory_text": "Le reti e i servizi di rete sono monitorati per individuare eventi potenzialmente avversi.", + "req_index": 5, + "requirement": "Per almeno i sistemi informativi e di rete rilevanti, ai fini di cui al punto 1, sono monitorati gli accessi da remoto, le attività dei sistemi perimetrali (ad esempio router e firewall), gli eventi amministrativi di rilievo, nonché gli accessi eseguiti o falliti alle risorse di rete, alle postazioni terminali e agli applicativi al fine di rilevare gli eventi di sicurezza informatica." + }, + { + "entity": "essenziale", + "function": "Rilevazione", + "subcategory": "DE.CM-01", + "subcategory_text": "Le reti e i servizi di rete sono monitorati per individuare eventi potenzialmente avversi.", + "req_index": 6, + "requirement": "Per almeno i sistemi informativi e di rete rilevanti, ai fini di cui al punto 1, sono definiti, monitorati e documentati parametri quali-quantitativi per rilevare gli accessi non autorizzati o con abuso dei privilegi concessi." + }, + { + "entity": "essenziale", + "function": "Rilevazione", + "subcategory": "DE.CM-01", + "subcategory_text": "Le reti e i servizi di rete sono monitorati per individuare eventi potenzialmente avversi.", + "req_index": 7, + "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 4, 5 e 6." + }, + { + "entity": "essenziale", + "function": "Rilevazione", + "subcategory": "DE.CM-09", + "subcategory_text": "L'hardware e il software di elaborazione, gli ambienti di runtime e i loro dati sono monitorati per individuare eventi potenzialmente avversi.", + "req_index": 1, + "requirement": "Fatte salve motivate e documentate ragioni normative o tecniche, sono presenti, aggiornati, mantenuti e configurati in modo adeguato, sistemi di protezione delle postazioni terminali per il rilevamento del codice malevolo." + }, + { + "entity": "essenziale", + "function": "Rilevazione", + "subcategory": "DE.CM-09", + "subcategory_text": "L'hardware e il software di elaborazione, gli ambienti di runtime e i loro dati sono monitorati per individuare eventi potenzialmente avversi.", + "req_index": 2, + "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione al punto 1." + }, + { + "entity": "essenziale", + "function": "Governance", + "subcategory": "GV.OC-04", + "subcategory_text": "Gli obiettivi, le capacità e i servizi critici dai quali gli stakeholder dipendono o che si aspettano dall'organizzazione sono compresi e comunicati.", + "req_index": 1, + "requirement": "È mantenuto un elenco aggiornato dei sistemi informativi e di rete rilevanti." + }, + { + "entity": "essenziale", + "function": "Governance", + "subcategory": "GV.PO-01", + "subcategory_text": "La politica per la gestione del rischio di cybersecurity è stabilita in base al contesto organizzativo, alla strategia di cybersecurity e alle priorità, ed è comunicata e applicata.", + "req_index": 1, + "requirement": "Sono adottate e documentate politiche di sicurezza informatica per almeno i seguenti ambiti: a) gestione del rischio; b) ruoli e responsabilità; c) affidabilità delle risorse umane; d) conformità e audit di sicurezza; e) gestione dei rischi per la sicurezza informatica della catena di approvvigionamento; f) gestione degli asset; g) gestione delle vulnerabilità; h) continuità operativa, ripristino in caso di disastro e gestione delle crisi; i) gestione dell'autenticazione, delle identità digitali e del controllo accessi; j) sicurezza fisica; k) formazione del personale e consapevolezza; l) sicurezza dei dati; m) sviluppo, configurazione, manutenzione e dismissione dei sistemi informativi e di rete; n) protezione delle reti e delle comunicazioni; o) monitoraggio degli eventi di sicurezza; p) risposta agli incidenti e ripristino." + }, + { + "entity": "essenziale", + "function": "Governance", + "subcategory": "GV.PO-01", + "subcategory_text": "La politica per la gestione del rischio di cybersecurity è stabilita in base al contesto organizzativo, alla strategia di cybersecurity e alle priorità, ed è comunicata e applicata.", + "req_index": 2, + "requirement": "Per gli ambiti di cui al punto 1 sono incluse almeno le politiche in relazione ai requisiti indicati nella tabella 1 in appendice al presente allegato." + }, + { + "entity": "essenziale", + "function": "Governance", + "subcategory": "GV.PO-01", + "subcategory_text": "La politica per la gestione del rischio di cybersecurity è stabilita in base al contesto organizzativo, alla strategia di cybersecurity e alle priorità, ed è comunicata e applicata.", + "req_index": 3, + "requirement": "Le politiche di cui al punto 1 sono approvate dagli organi di amministrazione e direttivi." + }, + { + "entity": "essenziale", + "function": "Governance", + "subcategory": "GV.PO-02", + "subcategory_text": "La politica per la gestione del rischio di cybersecurity è revisionata, aggiornata, comunicata e applicata per riflettere i cambiamenti nei requisiti, nelle minacce, nella tecnologia e nella missione dell'organizzazione.", + "req_index": 1, + "requirement": "Le politiche di cui alla misura GV.PO-01 sono riesaminate e, se opportuno, aggiornate periodicamente e comunque almeno con cadenza annuale, nonché qualora si verifichino evoluzioni del contesto normativo in materia di sicurezza informatica, incidenti significativi, variazioni organizzative o mutamenti dell’esposizione alle minacce e ai relativi rischi." + }, + { + "entity": "essenziale", + "function": "Governance", + "subcategory": "GV.PO-02", + "subcategory_text": "La politica per la gestione del rischio di cybersecurity è revisionata, aggiornata, comunicata e applicata per riflettere i cambiamenti nei requisiti, nelle minacce, nella tecnologia e nella missione dell'organizzazione.", + "req_index": 2, + "requirement": "Ai fini del riesame di cui al punto 1, è verificata almeno la conformità delle politiche di cui alla misura GV.PO-01 alla normativa in materia di sicurezza informatica." + }, + { + "entity": "essenziale", + "function": "Governance", + "subcategory": "GV.PO-02", + "subcategory_text": "La politica per la gestione del rischio di cybersecurity è revisionata, aggiornata, comunicata e applicata per riflettere i cambiamenti nei requisiti, nelle minacce, nella tecnologia e nella missione dell'organizzazione.", + "req_index": 3, + "requirement": "È mantenuto un registro aggiornato contenente gli esiti del riesame di cui al punto 1." + }, + { + "entity": "essenziale", + "function": "Governance", + "subcategory": "GV.RM-03", + "subcategory_text": "Le attività e gli esiti della gestione del rischio di cybersecurity sono parte integrante dei processi di gestione del rischio dell'organizzazione.", + "req_index": 1, + "requirement": "Nell'ambito dei processi di gestione del rischio del soggetto NIS e nel rispetto delle politiche di cui alla misura GV.PO-01, è definito, attuato, aggiornato e documentato un piano di gestione dei rischi per la sicurezza informatica per identificare, analizzare, valutare, trattare e monitorare i rischi." + }, + { + "entity": "essenziale", + "function": "Governance", + "subcategory": "GV.RR-02", + "subcategory_text": "I ruoli, le responsabilità e i correlati poteri relativi alla gestione del rischio di cybersecurity sono stabiliti, comunicati, compresi e applicati.", + "req_index": 1, + "requirement": "È definita, approvata dagli organi di amministrazione e direttivi, e resa nota alle articolazioni competenti del soggetto NIS, l'organizzazione per la sicurezza informatica e ne sono stabiliti ruoli e responsabilità." + }, + { + "entity": "essenziale", + "function": "Governance", + "subcategory": "GV.RR-02", + "subcategory_text": "I ruoli, le responsabilità e i correlati poteri relativi alla gestione del rischio di cybersecurity sono stabiliti, comunicati, compresi e applicati.", + "req_index": 2, + "requirement": "È mantenuto un elenco aggiornato del personale dell'organizzazione di cui al punto 1 avente specifici ruoli e responsabilità ed è reso noto alle articolazioni competenti del soggetto NIS." + }, + { + "entity": "essenziale", + "function": "Governance", + "subcategory": "GV.RR-02", + "subcategory_text": "I ruoli, le responsabilità e i correlati poteri relativi alla gestione del rischio di cybersecurity sono stabiliti, comunicati, compresi e applicati.", + "req_index": 3, + "requirement": "All’interno dell’organizzazione per la sicurezza informatica di cui al punto 1, sono inclusi il punto di contatto, e almeno un suo sostituto, di cui alla determina adottata ai sensi dell’articolo 7, comma 6 del decreto NIS." + }, + { + "entity": "essenziale", + "function": "Governance", + "subcategory": "GV.RR-02", + "subcategory_text": "I ruoli, le responsabilità e i correlati poteri relativi alla gestione del rischio di cybersecurity sono stabiliti, comunicati, compresi e applicati.", + "req_index": 4, + "requirement": "I ruoli e le responsabilità di cui al punto 1 sono riesaminati e, se opportuno, aggiornati periodicamente e comunque almeno ogni due anni, nonché qualora si verifichino incidenti significativi, variazioni organizzative o mutamenti dell’esposizione alle minacce e ai relativi rischi." + }, + { + "entity": "essenziale", + "function": "Governance", + "subcategory": "GV.RR-04", + "subcategory_text": "La cybersecurity è inclusa nelle pratiche delle risorse umane.", + "req_index": 1, + "requirement": "Per almeno i sistemi informativi e di rete rilevanti, il personale autorizzato ad accedervi è individuato previa valutazione dell’esperienza, capacità e affidabilità e deve fornire idonea garanzia del pieno rispetto della normativa in materia di sicurezza informatica." + }, + { + "entity": "essenziale", + "function": "Governance", + "subcategory": "GV.RR-04", + "subcategory_text": "La cybersecurity è inclusa nelle pratiche delle risorse umane.", + "req_index": 2, + "requirement": "Gli amministratori di sistema dei sistemi informativi e di rete sono individuati previa valutazione dell’esperienza, capacità e affidabilità e devono fornire idonea garanzia del pieno rispetto della normativa in materia di sicurezza informatica." + }, + { + "entity": "essenziale", + "function": "Governance", + "subcategory": "GV.RR-04", + "subcategory_text": "La cybersecurity è inclusa nelle pratiche delle risorse umane.", + "req_index": 3, + "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 1 e 2." + }, + { + "entity": "essenziale", + "function": "Governance", + "subcategory": "GV.RR-04", + "subcategory_text": "La cybersecurity è inclusa nelle pratiche delle risorse umane.", + "req_index": 4, + "requirement": "In accordo agli esiti della valutazione del rischio di cui alla misura ID.RA-05, sono definiti a livello contrattuale gli eventuali obblighi, in materia di sicurezza informatica, che rimangono validi dopo la cessazione o la modifica del rapporto di lavoro dei dipendenti del soggetto NIS (ad esempio prevedendo clausole in materia di riservatezza)." + }, + { + "entity": "essenziale", + "function": "Governance", + "subcategory": "GV.RR-04", + "subcategory_text": "La cybersecurity è inclusa nelle pratiche delle risorse umane.", + "req_index": 5, + "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione al punto 4." + }, + { + "entity": "essenziale", + "function": "Governance", + "subcategory": "GV.SC-01", + "subcategory_text": "Sono stabiliti e accettati dagli stakeholder dell'organizzazione il programma, la strategia, obiettivi, politiche e processi di gestione del rischio di cybersecurity della catena di approvvigionamento.", + "req_index": 1, + "requirement": "In merito all’affidamento di forniture con potenziali impatti sulla sicurezza dei sistemi informativi e di rete, anche mediante ricorso agli strumenti delle centrali di committenza di cui all’allegato I.1, articolo 1, comma 1, lettera i), del decreto legislativo 31 marzo 2023, n. 36, sono previsti: a) il coinvolgimento dell’organizzazione per la sicurezza informatica di cui alla misura GV.RR-02 nella definizione ed esecuzione dei processi di approvvigionamento a partire dalla fase di identificazione e progettazione della fornitura; b) in accordo agli esiti della valutazione del rischio associato alla fornitura di cui alla misura GV.SC-07, la definizione di requisiti di sicurezza sulla fornitura coerenti con le misure di sicurezza applicate dal soggetto NIS ai sistemi informativi e di rete." + }, + { + "entity": "essenziale", + "function": "Governance", + "subcategory": "GV.SC-01", + "subcategory_text": "Sono stabiliti e accettati dagli stakeholder dell'organizzazione il programma, la strategia, obiettivi, politiche e processi di gestione del rischio di cybersecurity della catena di approvvigionamento.", + "req_index": 2, + "requirement": "Per i requisiti di sicurezza di cui al punto 1, lettera b), sono considerati, ove applicabile, almeno i seguenti ambiti: a) affidabilità dei fornitori, tenendo conto almeno delle loro eventuali vulnerabilità specifiche, della qualità complessiva dei loro prodotti e delle pratiche di sicurezza informatica, specie con riguardo all’oggetto della fornitura, della capacità di garantire l’approvvigionamento, l’assistenza e la manutenzione nel tempo, nonché, ove applicabile, dei risultati delle valutazioni coordinate dei rischi per la sicurezza delle catene di approvvigionamento critiche effettuate dal Gruppo di cooperazione NIS; b) ruoli e responsabilità nell'ambito della fornitura; c) affidabilità delle risorse umane; d) conformità e audit di sicurezza; e) gestione delle vulnerabilità; f) continuità operativa e ripristino in caso di disastro; g) gestione dell'autenticazione, delle identità digitali e del controllo accessi; h) sicurezza fisica; i) formazione del personale e consapevolezza; j) sicurezza dei dati; k) protezione delle reti e delle comunicazioni; l) monitoraggio degli eventi di sicurezza ivi inclusi gli accessi e le attività effettuate; m) gestione e segnalazione degli incidenti; n) sviluppo sicuro del codice e sicurezza fin dalla progettazione e per impostazione predefinita; o) manutenzione ordinaria ed evolutiva ivi inclusi gli aggiornamenti di sicurezza; p) dismissione della fornitura ivi compresa la restituzione e la cancellazione dei dati; q) subappalto, subfornitura o relativi potenziali requisiti di sicurezza lungo la catena di fornitura." + }, + { + "entity": "essenziale", + "function": "Governance", + "subcategory": "GV.SC-02", + "subcategory_text": "I ruoli e le responsabilità in materia di cybersecurity per fornitori, clienti e partner sono stabiliti, comunicati e coordinati internamente ed esternamente.", + "req_index": 1, + "requirement": "Nell'ambito dell'organizzazione per la sicurezza informatica di cui alla misura GV.RR-02, sono definiti e resi noti alle articolazioni competenti del soggetto NIS gli eventuali ruoli e responsabilità in materia di sicurezza informatica assegnati al personale delle terze parti." + }, + { + "entity": "essenziale", + "function": "Governance", + "subcategory": "GV.SC-02", + "subcategory_text": "I ruoli e le responsabilità in materia di cybersecurity per fornitori, clienti e partner sono stabiliti, comunicati e coordinati internamente ed esternamente.", + "req_index": 2, + "requirement": "Il personale di cui al punto 1 avente specifici ruoli e responsabilità è incluso nell’elenco di cui al punto 2 della misura GV.RR-02." + }, + { + "entity": "essenziale", + "function": "Governance", + "subcategory": "GV.SC-04", + "subcategory_text": "I fornitori sono noti e prioritizzati in base alla criticità.", + "req_index": 1, + "requirement": "È mantenuto un inventario aggiornato dei fornitori, le cui forniture hanno un potenziale impatto sulla sicurezza dei sistemi informativi e di rete, che comprende almeno: a) gli estremi di contatto del referente della fornitura; b) la tipologia di fornitura." + }, + { + "entity": "essenziale", + "function": "Governance", + "subcategory": "GV.SC-05", + "subcategory_text": "I requisiti per affrontare i rischi di cybersecurity nella catena di approvvigionamento sono stabiliti, prioritizzati e integrati nei contratti e in altri tipi di accordi con i fornitori e altre terze parti rilevanti.", + "req_index": 1, + "requirement": "Fatte salve motivate e documentate ragioni normative o tecniche, i requisiti di sicurezza di cui alla misura GV.SC-01, punto 1, lettera b) sono inseriti nelle richieste di offerta, bandi di gara, contratti, accordi e convenzioni relativi alle forniture con potenziali impatto sulla sicurezza dei sistemi informativi e di rete." + }, + { + "entity": "essenziale", + "function": "Governance", + "subcategory": "GV.SC-07", + "subcategory_text": "I rischi posti da un fornitore, dai suoi prodotti e servizi e da altre terze parti sono compresi, registrati, prioritizzati, valutati, trattati e monitorati nel corso della relazione.", + "req_index": 1, + "requirement": "Nell’ambito della valutazione del rischio di cui alla misura ID.RA-05, è valutato e documentato il rischio associato alle forniture. A tal fine, sono valutati almeno: a) il livello di accesso del fornitore ai sistemi informativi e di rete del soggetto NIS; b) l'accesso del fornitore alla proprietà intellettuale e ai dati anche sulla base della loro criticità; c) l'impatto di una grave interruzione della fornitura; d) i tempi e i costi di ripristino in caso di indisponibilità dei servizi; e) i ruoli e le responsabilità del fornitore nel governo dei sistemi informativi e di rete." + }, + { + "entity": "essenziale", + "function": "Governance", + "subcategory": "GV.SC-07", + "subcategory_text": "I rischi posti da un fornitore, dai suoi prodotti e servizi e da altre terze parti sono compresi, registrati, prioritizzati, valutati, trattati e monitorati nel corso della relazione.", + "req_index": 2, + "requirement": "È verificata periodicamente e documentata la conformità delle forniture ai requisiti di cui alla misura GV.SC-05." + }, + { + "entity": "essenziale", + "function": "Identificazione", + "subcategory": "ID.AM-01", + "subcategory_text": "Sono mantenuti gli inventari dell'hardware gestito dall'organizzazione.", + "req_index": 1, + "requirement": "È mantenuto un inventario aggiornato degli apparati fisici (hardware) che compongono i sistemi informativi e di rete, ivi inclusi i dispositivi IT, IoT, OT e mobili, approvati da attori interni al soggetto NIS." + }, + { + "entity": "essenziale", + "function": "Identificazione", + "subcategory": "ID.AM-02", + "subcategory_text": "Sono mantenuti gli inventari del software, dei servizi e dei sistemi gestiti dall'organizzazione.", + "req_index": 1, + "requirement": "È mantenuto un inventario aggiornato dei servizi, dei sistemi e delle applicazioni software che compongono i sistemi informativi e di rete, ivi incluse le applicazioni commerciali, open-source e custom, anche accessibili tramite API, approvati da attori interni al soggetto NIS." + }, + { + "entity": "essenziale", + "function": "Identificazione", + "subcategory": "ID.AM-03", + "subcategory_text": "Sono mantenute le rappresentazioni delle comunicazioni di rete, dei flussi di dati di rete interni ed esterni, autorizzati dall'organizzazione.", + "req_index": 1, + "requirement": "È mantenuto un inventario aggiornato dei flussi di rete tra i sistemi informativi e di rete del soggetto NIS e l’esterno, approvati da attori interni al soggetto NIS." + }, + { + "entity": "essenziale", + "function": "Identificazione", + "subcategory": "ID.AM-04", + "subcategory_text": "Sono mantenuti gli inventari dei servizi erogati dai fornitori.", + "req_index": 1, + "requirement": "È mantenuto un inventario aggiornato dei servizi informatici erogati dai fornitori, ivi inclusi i servizi cloud." + }, + { + "entity": "essenziale", + "function": "Identificazione", + "subcategory": "ID.IM-01", + "subcategory_text": "Sono identificati miglioramenti in esito alle valutazioni.", + "req_index": 1, + "requirement": "In accordo agli esiti del riesame di cui al punto 1 della misura GV.PO-02, è definito, attuato, documentato e approvato dagli organi di amministrazioni e direttivi un piano di adeguamento che identifichi gli interventi necessari ad assicurare l’attuazione delle politiche di sicurezza." + }, + { + "entity": "essenziale", + "function": "Identificazione", + "subcategory": "ID.IM-01", + "subcategory_text": "Sono identificati miglioramenti in esito alle valutazioni.", + "req_index": 2, + "requirement": "Gli organi di amministrazione e direttivi sono informati mediante apposite relazioni periodiche sugli esiti dei piani di cui al punto 1." + }, + { + "entity": "essenziale", + "function": "Identificazione", + "subcategory": "ID.IM-01", + "subcategory_text": "Sono identificati miglioramenti in esito alle valutazioni.", + "req_index": 3, + "requirement": "È definito, attuato, aggiornato e documentato un piano per la valutazione dell'efficacia delle misure di gestione del rischio per la sicurezza informatica che comprenda l'indicazione delle misure da valutare e i relativi metodi di valutazione." + }, + { + "entity": "essenziale", + "function": "Identificazione", + "subcategory": "ID.IM-01", + "subcategory_text": "Sono identificati miglioramenti in esito alle valutazioni.", + "req_index": 4, + "requirement": "Gli organi di amministrazione e direttivi sono informati mediante apposite relazioni periodiche sul piano di valutazione dell’efficacia di cui al punto 3." + }, + { + "entity": "essenziale", + "function": "Identificazione", + "subcategory": "ID.IM-04", + "subcategory_text": "I piani di risposta agli incidenti e gli altri piani di cybersecurity che impattano le operazioni sono stabiliti, comunicati, mantenuti e migliorati.", + "req_index": 1, + "requirement": "Per almeno i sistemi informativi e di rete rilevanti è definito, attuato, aggiornato e documentato un piano di continuità operativa, che comprende almeno: a) le finalità e l'ambito di applicazione; b) i ruoli e le responsabilità; c) i contatti principali e i canali di comunicazione (interni ed esterni); d) le condizioni per l'attivazione e la disattivazione del piano; e) le risorse necessarie, ivi compresi i backup e le ridondanze." + }, + { + "entity": "essenziale", + "function": "Identificazione", + "subcategory": "ID.IM-04", + "subcategory_text": "I piani di risposta agli incidenti e gli altri piani di cybersecurity che impattano le operazioni sono stabiliti, comunicati, mantenuti e migliorati.", + "req_index": 2, + "requirement": "Per almeno i sistemi informativi e di rete rilevanti è definito, attuato, aggiornato e documentato un piano di ripristino in caso di disastro, che comprende almeno: a) le finalità e l'ambito di applicazione; b) i ruoli e le responsabilità; c) i contatti principali e i canali di comunicazione (interni ed esterni); d) le condizioni per l'attivazione e la disattivazione del piano; e) le risorse necessarie, ivi compresi i backup e le ridondanze; f) l'ordine di ripristino delle operazioni; g) le procedure di ripristino per operazioni specifiche, compresi gli obiettivi di ripristino." + }, + { + "entity": "essenziale", + "function": "Identificazione", + "subcategory": "ID.IM-04", + "subcategory_text": "I piani di risposta agli incidenti e gli altri piani di cybersecurity che impattano le operazioni sono stabiliti, comunicati, mantenuti e migliorati.", + "req_index": 3, + "requirement": "Per almeno i sistemi informativi e di rete rilevanti è definito, attuato, aggiornato e documentato un piano per la gestione delle crisi che comprende almeno: a) i ruoli e responsabilità del personale e, se opportuno, dei fornitori, specificando l'assegnazione dei ruoli in situazioni di crisi, comprese le procedure specifiche da seguire; b) le modalità di comunicazione tra i soggetti e le autorità competenti." + }, + { + "entity": "essenziale", + "function": "Identificazione", + "subcategory": "ID.IM-04", + "subcategory_text": "I piani di risposta agli incidenti e gli altri piani di cybersecurity che impattano le operazioni sono stabiliti, comunicati, mantenuti e migliorati.", + "req_index": 4, + "requirement": "I piani di cui ai punti 1, 2 e 3 sono approvati dagli organi di amministrazione e direttivi." + }, + { + "entity": "essenziale", + "function": "Identificazione", + "subcategory": "ID.IM-04", + "subcategory_text": "I piani di risposta agli incidenti e gli altri piani di cybersecurity che impattano le operazioni sono stabiliti, comunicati, mantenuti e migliorati.", + "req_index": 5, + "requirement": "I piani di cui ai punti 1, 2 e 3 sono riesaminati e, se opportuno, aggiornati periodicamente e comunque almeno ogni due anni, nonché qualora si verifichino incidenti significativi o mutamenti dell’esposizione alle minacce e ai relativi rischi." + }, + { + "entity": "essenziale", + "function": "Identificazione", + "subcategory": "ID.RA-01", + "subcategory_text": "Le vulnerabilità negli asset sono identificate, confermate e registrate.", + "req_index": 1, + "requirement": "Le informazioni di cui al punto 1 della misura ID.RA-08 sono utilizzate per identificare eventuali vulnerabilità sui i sistemi informativi e di rete." + }, + { + "entity": "essenziale", + "function": "Identificazione", + "subcategory": "ID.RA-01", + "subcategory_text": "Le vulnerabilità negli asset sono identificate, confermate e registrate.", + "req_index": 2, + "requirement": "Per almeno i sistemi informativi e di rete rilevanti, in accordo al piano di gestione delle vulnerabilità di cui alla misura ID.RA-08, fatte salve motivate e documentate ragioni normative o tecniche, sono eseguite periodicamente e comunque prima della loro messa in esercizio, attività per l’identificazione delle vulnerabilità che comprendano almeno vulnerability assessment e/o penetration test." + }, + { + "entity": "essenziale", + "function": "Identificazione", + "subcategory": "ID.RA-01", + "subcategory_text": "Le vulnerabilità negli asset sono identificate, confermate e registrate.", + "req_index": 3, + "requirement": "Le attività di cui al punto 2 sono documentate tramite apposite relazioni che contengono almeno: a) la descrizione generale delle attività effettuate e gli esiti delle stesse; b) la descrizione delle vulnerabilità rilevate e il relativo livello di impatto sulla sicurezza." + }, + { + "entity": "essenziale", + "function": "Identificazione", + "subcategory": "ID.RA-05", + "subcategory_text": "Minacce, vulnerabilità, probabilità e impatti sono utilizzati per comprendere il rischio inerente e per informare la prioritizzazione della risposta al rischio.", + "req_index": 1, + "requirement": "In accordo al piano di gestione dei rischi per la sicurezza informatica di cui alla misura GV.RM-03, è eseguita e documentata la valutazione del rischio posto alla sicurezza dei sistemi informativi e di rete, anche con riferimento alle eventuali dipendenze da fornitori e partner terzi, che comprende almeno: a) l’identificazione del rischio; b) l’analisi del rischio; c) la ponderazione del rischio." + }, + { + "entity": "essenziale", + "function": "Identificazione", + "subcategory": "ID.RA-05", + "subcategory_text": "Minacce, vulnerabilità, probabilità e impatti sono utilizzati per comprendere il rischio inerente e per informare la prioritizzazione della risposta al rischio.", + "req_index": 2, + "requirement": "La valutazione del rischio di cui al punto 1 è eseguita a intervalli pianificati e comunque almeno ogni due anni, nonché qualora si verifichino incidenti significativi, variazioni organizzative o mutamenti dell’esposizione alle minacce e ai relativi rischi." + }, + { + "entity": "essenziale", + "function": "Identificazione", + "subcategory": "ID.RA-05", + "subcategory_text": "Minacce, vulnerabilità, probabilità e impatti sono utilizzati per comprendere il rischio inerente e per informare la prioritizzazione della risposta al rischio.", + "req_index": 3, + "requirement": "La valutazione del rischio cui al punto 1 è approvata dagli organi di amministrazione e direttivi." + }, + { + "entity": "essenziale", + "function": "Identificazione", + "subcategory": "ID.RA-05", + "subcategory_text": "Minacce, vulnerabilità, probabilità e impatti sono utilizzati per comprendere il rischio inerente e per informare la prioritizzazione della risposta al rischio.", + "req_index": 4, + "requirement": "La valutazione del rischio di cui al punto 1 è effettuata considerando almeno le minacce interne ed esterne, le vulnerabilità non risolte e gli impatti conseguenti ad eventuali incidenti." + }, + { + "entity": "essenziale", + "function": "Identificazione", + "subcategory": "ID.RA-06", + "subcategory_text": "Le risposte al rischio sono scelte, prioritizzate, pianificate, monitorate e comunicate.", + "req_index": 1, + "requirement": "È definito, documentato, eseguito e monitorato un piano di trattamento del rischio che comprende almeno: a) le opzioni di trattamento e le misure da attuare in merito al trattamento di ciascun rischio individuato e le relative priorità; b) le articolazioni competenti per l'attuazione delle misure di trattamento dei rischi e le tempistiche per tale attuazione; c) la descrizione e le ragioni che giustificano l'accettazione di eventuali rischi residui al trattamento." + }, + { + "entity": "essenziale", + "function": "Identificazione", + "subcategory": "ID.RA-06", + "subcategory_text": "Le risposte al rischio sono scelte, prioritizzate, pianificate, monitorate e comunicate.", + "req_index": 2, + "requirement": "Qualora per motivate e documentate ragioni normative o tecniche non siano attuati i requisiti di cui alla tabella 2 in appendice al presente allegato, sono adottate, ove applicabile, misure di mitigazione compensative e il piano di cui al punto 1 include la descrizione di tali misure e dell’eventuale rischio residuo." + }, + { + "entity": "essenziale", + "function": "Identificazione", + "subcategory": "ID.RA-06", + "subcategory_text": "Le risposte al rischio sono scelte, prioritizzate, pianificate, monitorate e comunicate.", + "req_index": 3, + "requirement": "Il piano di cui al punto 1, ivi compresa l’accettazione di eventuali rischi residui, è approvato dagli organi di amministrazione e direttivi." + }, + { + "entity": "essenziale", + "function": "Identificazione", + "subcategory": "ID.RA-08", + "subcategory_text": "Sono stabiliti processi per la ricezione, l'analisi e la risposta alle divulgazioni di vulnerabilità.", + "req_index": 1, + "requirement": "Sono monitorati almeno i canali di comunicazione del CSIRT Italia, nonché di eventuali CERT e Information Sharing & Analysis Centre (ISAC) settoriali, al fine di acquisire, analizzare e rispondere alle informazioni sulle vulnerabilità." + }, + { + "entity": "essenziale", + "function": "Identificazione", + "subcategory": "ID.RA-08", + "subcategory_text": "Sono stabiliti processi per la ricezione, l'analisi e la risposta alle divulgazioni di vulnerabilità.", + "req_index": 2, + "requirement": "Le vulnerabilità, ivi comprese quelle identificate ai sensi della misura ID.RA-01, sono prontamente risolte attraverso aggiornamenti di sicurezza o misure di mitigazione, ove disponibili, ovvero accettando e documentando il rischio in accordo al piano di trattamento del rischio informatico di cui alla misura ID.RA-06." + }, + { + "entity": "essenziale", + "function": "Identificazione", + "subcategory": "ID.RA-08", + "subcategory_text": "Sono stabiliti processi per la ricezione, l'analisi e la risposta alle divulgazioni di vulnerabilità.", + "req_index": 3, + "requirement": "È definito, attuato, aggiornato e documentato un piano di gestione delle vulnerabilità che comprende almeno: a) le modalità per l'identificazione delle vulnerabilità di cui alla misura ID.RA-01 e la relativa pianificazione delle attività; b) le modalità per monitorare, ricevere, analizzare e rispondere alle informazioni sulle vulnerabilità; c) le procedure, i ruoli, le responsabilità per lo svolgimento delle attività di cui alle lettere a) e b)." + }, + { + "entity": "essenziale", + "function": "Identificazione", + "subcategory": "ID.RA-08", + "subcategory_text": "Sono stabiliti processi per la ricezione, l'analisi e la risposta alle divulgazioni di vulnerabilità.", + "req_index": 4, + "requirement": "Il piano di cui al punto 3 è approvato dagli organi di amministrazione e direttivi." + }, + { + "entity": "essenziale", + "function": "Identificazione", + "subcategory": "ID.RA-08", + "subcategory_text": "Sono stabiliti processi per la ricezione, l'analisi e la risposta alle divulgazioni di vulnerabilità.", + "req_index": 5, + "requirement": "Ai fini di cui al punto 1, sono monitorati anche i canali dei fornitori del software ritenuto critico." + }, + { + "entity": "essenziale", + "function": "Protezione", + "subcategory": "PR.AA-01", + "subcategory_text": "Le identità e le credenziali degli utenti, dei servizi e dell'hardware autorizzati sono gestite dall'organizzazione.", + "req_index": 1, + "requirement": "Tutte le utenze, ivi incluse quelle con privilegi amministrativi e quelle utilizzate per l’accesso remoto, sono censite, approvate da attori interni al soggetto NIS e, fatte salve motivate e documentate ragioni tecniche, in accordo agli esiti della valutazione del rischio di cui alla misura ID.RA-05, sono individuali per gli utenti." + }, + { + "entity": "essenziale", + "function": "Protezione", + "subcategory": "PR.AA-01", + "subcategory_text": "Le identità e le credenziali degli utenti, dei servizi e dell'hardware autorizzati sono gestite dall'organizzazione.", + "req_index": 2, + "requirement": "Le credenziali (ad esempio nome utente e password) relative alle utenze sono robuste e aggiornate in accordo agli esiti della valutazione del rischio di cui alla misura ID.RA-05." + }, + { + "entity": "essenziale", + "function": "Protezione", + "subcategory": "PR.AA-01", + "subcategory_text": "Le identità e le credenziali degli utenti, dei servizi e dell'hardware autorizzati sono gestite dall'organizzazione.", + "req_index": 3, + "requirement": "Per almeno i sistemi informativi e di rete rilevanti, sono verificate periodicamente le utenze e le relative autorizzazioni, aggiornandole/revocandole in caso di variazioni (ad esempio trasferimento o cessazione di personale)." + }, + { + "entity": "essenziale", + "function": "Protezione", + "subcategory": "PR.AA-01", + "subcategory_text": "Le identità e le credenziali degli utenti, dei servizi e dell'hardware autorizzati sono gestite dall'organizzazione.", + "req_index": 4, + "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 1, 2 e 3." + }, + { + "entity": "essenziale", + "function": "Protezione", + "subcategory": "PR.AA-03", + "subcategory_text": "Utenti, servizi e hardware sono autenticati.", + "req_index": 1, + "requirement": "Le modalità di autenticazione delle utenze per accedere ai sistemi informativi e di rete sono commisurate al rischio. A tal fine sono valutati almeno i rischi connessi: a) ai privilegi delle utenze; b) alla criticità dei sistemi informativi e di rete; c) alla tipologia di operazioni che le utenze possono effettuare sui sistemi informativi e di rete." + }, + { + "entity": "essenziale", + "function": "Protezione", + "subcategory": "PR.AA-03", + "subcategory_text": "Utenti, servizi e hardware sono autenticati.", + "req_index": 2, + "requirement": "Per almeno i sistemi informativi e di rete rilevanti e in accordo agli esiti della valutazione del rischio di cui alla misura ID.RA-05, sono impiegate modalità di autenticazione multifattore." + }, + { + "entity": "essenziale", + "function": "Protezione", + "subcategory": "PR.AA-03", + "subcategory_text": "Utenti, servizi e hardware sono autenticati.", + "req_index": 3, + "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 1 e 2." + }, + { + "entity": "essenziale", + "function": "Protezione", + "subcategory": "PR.AA-05", + "subcategory_text": "I permessi, i diritti e le autorizzazioni di accesso sono definiti in una politica, gestiti, applicati e rivisti e incorporano i principi del minimo privilegio e della separazione dei compiti.", + "req_index": 1, + "requirement": "I permessi sono assegnati alle utenze in accordo ai principi del minimo privilegio e della separazione delle funzioni, tenuto anche conto della necessità di conoscere (need to know)." + }, + { + "entity": "essenziale", + "function": "Protezione", + "subcategory": "PR.AA-05", + "subcategory_text": "I permessi, i diritti e le autorizzazioni di accesso sono definiti in una politica, gestiti, applicati e rivisti e incorporano i principi del minimo privilegio e della separazione dei compiti.", + "req_index": 2, + "requirement": "È assicurata la completa distinzione tra utenze con e senza privilegi amministrativi degli amministratori di sistema alle quali debbono corrispondere credenziali diverse." + }, + { + "entity": "essenziale", + "function": "Protezione", + "subcategory": "PR.AA-05", + "subcategory_text": "I permessi, i diritti e le autorizzazioni di accesso sono definiti in una politica, gestiti, applicati e rivisti e incorporano i principi del minimo privilegio e della separazione dei compiti.", + "req_index": 3, + "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 1e 2." + }, + { + "entity": "essenziale", + "function": "Protezione", + "subcategory": "PR.AA-06", + "subcategory_text": "L'accesso fisico agli asset è gestito, monitorato e applicato in misura appropriata al rischio.", + "req_index": 1, + "requirement": "Per almeno i sistemi informativi e di rete rilevanti, l’accesso fisico è protetto." + }, + { + "entity": "essenziale", + "function": "Protezione", + "subcategory": "PR.AA-06", + "subcategory_text": "L'accesso fisico agli asset è gestito, monitorato e applicato in misura appropriata al rischio.", + "req_index": 2, + "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione al punto 1." + }, + { + "entity": "essenziale", + "function": "Protezione", + "subcategory": "PR.AT-01", + "subcategory_text": "Il personale è sensibilizzato e formato in modo da possedere le conoscenze e le competenze per svolgere compiti di carattere generale tenendo conto dei rischi di cybersecurity.", + "req_index": 1, + "requirement": "È definito, attuato, aggiornato e documentato un piano di formazione in materia di sicurezza informatica del personale, ivi inclusi gli organi di amministrazione e direttivi, che comprende almeno: a) la pianificazione delle attività di formazione previste con l’indicazione dei contenuti della formazione fornita; b) le eventuali modalità di verifica dell'acquisizione dei contenuti." + }, + { + "entity": "essenziale", + "function": "Protezione", + "subcategory": "PR.AT-01", + "subcategory_text": "Il personale è sensibilizzato e formato in modo da possedere le conoscenze e le competenze per svolgere compiti di carattere generale tenendo conto dei rischi di cybersecurity.", + "req_index": 2, + "requirement": "Il piano di formazione di cui al punto 1 è approvato dagli organi di amministrazione e direttivi." + }, + { + "entity": "essenziale", + "function": "Protezione", + "subcategory": "PR.AT-01", + "subcategory_text": "Il personale è sensibilizzato e formato in modo da possedere le conoscenze e le competenze per svolgere compiti di carattere generale tenendo conto dei rischi di cybersecurity.", + "req_index": 3, + "requirement": "È mantenuto un registro aggiornato recante l'elenco dei dipendenti che hanno ricevuto la formazione di cui al punto 1, i relativi contenuti e l'elenco delle verifiche svolte laddove previste." + }, + { + "entity": "essenziale", + "function": "Protezione", + "subcategory": "PR.AT-02", + "subcategory_text": "Gli individui che ricoprono ruoli specializzati sono sensibilizzati e formati in modo da possedere le conoscenze e le competenze per svolgere i pertinenti compiti tenendo conto dei rischi di cybersecurity.", + "req_index": 1, + "requirement": "Il piano di cui alla misura PR.AT-01 prevede una formazione dedicata al personale con ruoli specializzati, ossia che richiedono una serie di capacità e competenze attinenti alla sicurezza, ivi compresi gli amministratori di sistema, che comprende almeno: a) le istruzioni relative alla configurazione e al funzionamento sicuri dei sistemi informativi e di rete; b) le informazioni sulle minacce informatiche note; c) le istruzioni sul comportamento da tenere in caso di eventi rilevanti per la sicurezza." + }, + { + "entity": "essenziale", + "function": "Protezione", + "subcategory": "PR.AT-02", + "subcategory_text": "Gli individui che ricoprono ruoli specializzati sono sensibilizzati e formati in modo da possedere le conoscenze e le competenze per svolgere i pertinenti compiti tenendo conto dei rischi di cybersecurity.", + "req_index": 2, + "requirement": "È mantenuto un registro aggiornato recante l'elenco dei dipendenti che hanno ricevuto la formazione di cui al punto 1, i relativi contenuti e l'elenco delle verifiche svolte laddove previste." + }, + { + "entity": "essenziale", + "function": "Protezione", + "subcategory": "PR.DS-01", + "subcategory_text": "La riservatezza, l'integrità e la disponibilità dei dati a riposo (data-at-rest) sono protette.", + "req_index": 1, + "requirement": "Per almeno i sistemi informativi e di rete rilevanti e in accordo agli esiti della valutazione del rischio di cui alla misura ID.RA-05, fatte salve motivate e documentate ragioni normative o tecniche, i dati memorizzati sui dispositivi portatili, ivi inclusi laptop, smartphone e tablet, e sui supporti removibili, sono cifrati con protocolli e algoritmi allo stato dell’arte e considerati sicuri." + }, + { + "entity": "essenziale", + "function": "Protezione", + "subcategory": "PR.DS-01", + "subcategory_text": "La riservatezza, l'integrità e la disponibilità dei dati a riposo (data-at-rest) sono protette.", + "req_index": 2, + "requirement": "Fatte salve e documentate ragioni normative o tecniche, è disabilitata l'auto esecuzione dei supporti rimovibili ed è effettuata la loro scansione al fine di rilevare codici malevoli prima che siano utilizzati nei sistemi informativi e di rete." + }, + { + "entity": "essenziale", + "function": "Protezione", + "subcategory": "PR.DS-01", + "subcategory_text": "La riservatezza, l'integrità e la disponibilità dei dati a riposo (data-at-rest) sono protette.", + "req_index": 3, + "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 1 e 2." + }, + { + "entity": "essenziale", + "function": "Protezione", + "subcategory": "PR.DS-02", + "subcategory_text": "La riservatezza, l'integrità e la disponibilità dei dati in transito (data-in-transit) sono protette.", + "req_index": 1, + "requirement": "Per almeno i sistemi informativi e di rete rilevanti, ivi inclusi quelli di comunicazione vocale, video e testuale, e in accordo agli esiti della valutazione del rischio di cui alla misura ID.RA-05 fatte salve motivate e documentate ragioni normative o tecniche, sono utilizzati, per la trasmissione dei dati da e verso l’esterno del soggetto NIS, protocolli e algoritmi di cifratura allo stato dell’arte e considerati sicuri." + }, + { + "entity": "essenziale", + "function": "Protezione", + "subcategory": "PR.DS-02", + "subcategory_text": "La riservatezza, l'integrità e la disponibilità dei dati in transito (data-in-transit) sono protette.", + "req_index": 2, + "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione al punto 1." + }, + { + "entity": "essenziale", + "function": "Protezione", + "subcategory": "PR.DS-11", + "subcategory_text": "I backup dei dati sono creati, protetti, mantenuti e verificati.", + "req_index": 1, + "requirement": "In accordo alle esigenze di continuità operativa e di ripristino in caso di disastro individuate nei piani di cui alla misura ID.IM-04, sono effettuati periodicamente i backup dei dati e delle configurazioni e, per almeno i sistemi informativi e di rete rilevanti, sono anche conservate copie di backup offline." + }, + { + "entity": "essenziale", + "function": "Protezione", + "subcategory": "PR.DS-11", + "subcategory_text": "I backup dei dati sono creati, protetti, mantenuti e verificati.", + "req_index": 2, + "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione al punto 1." + }, + { + "entity": "essenziale", + "function": "Protezione", + "subcategory": "PR.DS-11", + "subcategory_text": "I backup dei dati sono creati, protetti, mantenuti e verificati.", + "req_index": 3, + "requirement": "Per almeno i sistemi informativi e di rete rilevanti, è assicurata la riservatezza e l’integrità delle informazioni contenute nei backup mediante adeguata protezione fisica dei supporti ovvero mediante cifratura." + }, + { + "entity": "essenziale", + "function": "Protezione", + "subcategory": "PR.DS-11", + "subcategory_text": "I backup dei dati sono creati, protetti, mantenuti e verificati.", + "req_index": 4, + "requirement": "Per almeno i sistemi informativi e di rete rilevanti, è verificata periodicamente l'utilizzabilità dei backup effettuati mediante test di ripristino." + }, + { + "entity": "essenziale", + "function": "Protezione", + "subcategory": "PR.DS-11", + "subcategory_text": "I backup dei dati sono creati, protetti, mantenuti e verificati.", + "req_index": 5, + "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 3 e 4." + }, + { + "entity": "essenziale", + "function": "Protezione", + "subcategory": "PR.IR-01", + "subcategory_text": "Le reti e gli ambienti sono protetti dall'accesso logico e dall'uso non autorizzati.", + "req_index": 1, + "requirement": "Per almeno i sistemi informativi e di rete rilevanti, sono definite e documentate le eventuali attività consentite da remoto e implementate adeguate misure di sicurezza per l’accesso." + }, + { + "entity": "essenziale", + "function": "Protezione", + "subcategory": "PR.IR-01", + "subcategory_text": "Le reti e gli ambienti sono protetti dall'accesso logico e dall'uso non autorizzati.", + "req_index": 2, + "requirement": "È mantenuto un elenco aggiornato dei sistemi informativi e di rete ai quali è possibile accedere da remoto con la descrizione delle relative modalità di accesso." + }, + { + "entity": "essenziale", + "function": "Protezione", + "subcategory": "PR.IR-01", + "subcategory_text": "Le reti e gli ambienti sono protetti dall'accesso logico e dall'uso non autorizzati.", + "req_index": 3, + "requirement": "Sono presenti, aggiornati, mantenuti e configurati i sistemi perimetrali, quali firewall." + }, + { + "entity": "essenziale", + "function": "Protezione", + "subcategory": "PR.IR-01", + "subcategory_text": "Le reti e gli ambienti sono protetti dall'accesso logico e dall'uso non autorizzati.", + "req_index": 4, + "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 1, 2 e 3." + }, + { + "entity": "essenziale", + "function": "Protezione", + "subcategory": "PR.IR-03", + "subcategory_text": "Sono implementati meccanismi per soddisfare i requisiti di resilienza in situazioni normali e avverse.", + "req_index": 1, + "requirement": "In accordo agli esiti della valutazione del rischio di cui alla misura ID.RA-05, sono utilizzati sistemi di comunicazione di emergenza protetti." + }, + { + "entity": "essenziale", + "function": "Protezione", + "subcategory": "PR.IR-03", + "subcategory_text": "Sono implementati meccanismi per soddisfare i requisiti di resilienza in situazioni normali e avverse.", + "req_index": 2, + "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione al punto 1." + }, + { + "entity": "essenziale", + "function": "Protezione", + "subcategory": "PR.PS-01", + "subcategory_text": "Sono stabilite e applicate pratiche di gestione della configurazione.", + "req_index": 1, + "requirement": "Per almeno i sistemi informativi e di rete rilevanti, sono definite, e documentate in un elenco aggiornato, le loro configurazioni di riferimento sicure (hardened)." + }, + { + "entity": "essenziale", + "function": "Protezione", + "subcategory": "PR.PS-01", + "subcategory_text": "Sono stabilite e applicate pratiche di gestione della configurazione.", + "req_index": 2, + "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione al punto 1." + }, + { + "entity": "essenziale", + "function": "Protezione", + "subcategory": "PR.PS-02", + "subcategory_text": "Il software è mantenuto, sostituito e rimosso in base al rischio.", + "req_index": 1, + "requirement": "Fatte salve motivate e documentate ragioni normative o tecniche, è installato esclusivamente software, ivi compresi i sistemi operativi, per il quale è garantita la disponibilità di aggiornamenti di sicurezza." + }, + { + "entity": "essenziale", + "function": "Protezione", + "subcategory": "PR.PS-02", + "subcategory_text": "Il software è mantenuto, sostituito e rimosso in base al rischio.", + "req_index": 2, + "requirement": "Fatte salve motivate e documentate ragioni normative o tecniche, sono installati, senza ingiustificato ritardo, gli ultimi aggiornamenti di sicurezza rilasciati dal produttore in coerenza con il piano di gestione delle vulnerabilità di cui alla misura ID.RA-08." + }, + { + "entity": "essenziale", + "function": "Protezione", + "subcategory": "PR.PS-02", + "subcategory_text": "Il software è mantenuto, sostituito e rimosso in base al rischio.", + "req_index": 3, + "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 1e 2." + }, + { + "entity": "essenziale", + "function": "Protezione", + "subcategory": "PR.PS-02", + "subcategory_text": "Il software è mantenuto, sostituito e rimosso in base al rischio.", + "req_index": 4, + "requirement": "Fatte salve motivate e documentate ragioni normative o tecniche e in accordo agli esiti della valutazione del rischio di cui alla misura ID.RA-05, l’aggiornamento del software ritenuto critico è verificato in ambiente di test prima dell’effettivo impiego in ambiente operativo." + }, + { + "entity": "essenziale", + "function": "Protezione", + "subcategory": "PR.PS-02", + "subcategory_text": "Il software è mantenuto, sostituito e rimosso in base al rischio.", + "req_index": 5, + "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione al punto 4." + }, + { + "entity": "essenziale", + "function": "Protezione", + "subcategory": "PR.PS-03", + "subcategory_text": "L'hardware è mantenuto, sostituito e rimosso in base al rischio.", + "req_index": 1, + "requirement": "Per almeno i sistemi informativi e di rete rilevanti, sono adottate e documentate procedure per il trasferimento fisico e la dismissione di dispositivi atti alla memorizzazione di dati in modo sicuro." + }, + { + "entity": "essenziale", + "function": "Protezione", + "subcategory": "PR.PS-03", + "subcategory_text": "L'hardware è mantenuto, sostituito e rimosso in base al rischio.", + "req_index": 2, + "requirement": "Per almeno i sistemi informativi e di rete rilevanti, sono mantenuti uno o più registri delle manutenzioni effettuate sull'hardware." + }, + { + "entity": "essenziale", + "function": "Protezione", + "subcategory": "PR.PS-04", + "subcategory_text": "I registri di log sono generati e resi disponibili per il monitoraggio continuo.", + "req_index": 1, + "requirement": "Tutti gli accessi eseguiti da remoto e quelli effettuati con utenze con privilegi amministrativi sono registrati." + }, + { + "entity": "essenziale", + "function": "Protezione", + "subcategory": "PR.PS-04", + "subcategory_text": "I registri di log sono generati e resi disponibili per il monitoraggio continuo.", + "req_index": 2, + "requirement": "Per almeno i sistemi informativi e di rete rilevanti, sono conservati in modo sicuro, e possibilmente centralizzato, almeno i log necessari ai fini del monitoraggio degli eventi di sicurezza, ivi compresi quelli relativi agli accessi di cui al punto 1." + }, + { + "entity": "essenziale", + "function": "Protezione", + "subcategory": "PR.PS-04", + "subcategory_text": "I registri di log sono generati e resi disponibili per il monitoraggio continuo.", + "req_index": 3, + "requirement": "In accordo agli esiti della valutazione rischio di cui alla misura ID.RA-05, sono definite e documentate le tempistiche di conservazione dei log di cui al punto 2." + }, + { + "entity": "essenziale", + "function": "Protezione", + "subcategory": "PR.PS-04", + "subcategory_text": "I registri di log sono generati e resi disponibili per il monitoraggio continuo.", + "req_index": 4, + "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 1 e 2." + }, + { + "entity": "essenziale", + "function": "Protezione", + "subcategory": "PR.PS-06", + "subcategory_text": "Le pratiche di sviluppo sicuro del software sono integrate e le loro prestazioni sono monitorate durante l'intero ciclo di vita del software.", + "req_index": 1, + "requirement": "Sono adottate e documentate pratiche di sviluppo sicuro del codice nello sviluppo del software." + }, + { + "entity": "essenziale", + "function": "Ripristino", + "subcategory": "RC.CO-03", + "subcategory_text": "Le attività di ripristino e i progressi nel ripristino delle capacità operative sono comunicati agli stakeholder interni ed esterni designati.", + "req_index": 1, + "requirement": "Sono adottate e documentate procedure per comunicare alle parti interne interessate, ivi incluse le articolazioni competenti del soggetto NIS, le attività di ripristino a seguito di un incidente." + }, + { + "entity": "essenziale", + "function": "Ripristino", + "subcategory": "RC.RP-01", + "subcategory_text": "La parte del piano di risposta agli incidenti relativa al rispristino viene eseguita una volta avviata dal processo di risposta agli incidenti.", + "req_index": 1, + "requirement": "Nell'ambito del piano per la gestione degli incidenti di cui alla misura RS.MA-01, sono adottate e documentate procedure per il ripristino con riguardo almeno al ripristino del normale funzionamento dei sistemi informativi e di rete coinvolti da incidenti di sicurezza informatica, ivi compresi quelli di cui all’articolo 25 del decreto NIS." + }, + { + "entity": "essenziale", + "function": "Risposta", + "subcategory": "RS.CO-02", + "subcategory_text": "Gli stakeholder interni ed esterni sono informati degli incidenti.", + "req_index": 1, + "requirement": "In accordo al piano per la gestione degli incidenti di cui alla misura RS.MA-01, sono documentate e adottate procedure per comunicare senza ingiustificato ritardo, se ritenuto opportuno e qualora possibile, sentito il CSIRT Italia, ovvero qualora intimato dall’Agenzia per la cybersicurezza nazionale ai sensi dell’articolo 37, comma 3, lettere g) e h), del decreto NIS: a) ai destinatari dei loro servizi, gli incidenti significativi che possono ripercuotersi negativamente sulla fornitura di tali servizi; b) ai destinatari dei servizi che sono potenzialmente interessati da una minaccia informatica significativa, le misure o azioni correttive o di mitigazione che tali destinatari possono adottare in risposta a tale minaccia e la natura di tale minaccia." + }, + { + "entity": "essenziale", + "function": "Risposta", + "subcategory": "RS.CO-02", + "subcategory_text": "Gli stakeholder interni ed esterni sono informati degli incidenti.", + "req_index": 2, + "requirement": "Sono documentate e adottate procedure per informare il pubblico sugli incidenti occorsi, qualora intimato dall’Agenzia per la cybersicurezza nazionale ai sensi dell’art. 37, comma 3, lettera i) del decreto NIS." + }, + { + "entity": "essenziale", + "function": "Risposta", + "subcategory": "RS.MA-01", + "subcategory_text": "Il piano di risposta agli incidenti è eseguito in coordinamento con le terze parti interessate una volta dichiarato un incidente.", + "req_index": 1, + "requirement": "È definito, attuato, aggiornato e documentato un piano per la gestione degli incidenti di sicurezza informatica e la notifica al CSIRT Italia, in accordo a quanto previsto dall’articolo 25 del decreto NIS, che comprende almeno: a) le fasi e le procedure di gestione e notifica degli incidenti con l’indicazione dei relativi ruoli e delle responsabilità; b) le procedure per la predisposizione e la trasmissione delle relazioni di cui all’articolo 25, comma 5, lettere c), d) ed e) del decreto NIS; c) le informazioni di contatto per la segnalazione degli incidenti; d) le modalità di comunicazione interna, anche con riguardo al coinvolgimento degli organi di amministrazione e direttivi, ed esterna; e) la reportistica da utilizzare per la documentazione dell’incidente." + }, + { + "entity": "essenziale", + "function": "Risposta", + "subcategory": "RS.MA-01", + "subcategory_text": "Il piano di risposta agli incidenti è eseguito in coordinamento con le terze parti interessate una volta dichiarato un incidente.", + "req_index": 2, + "requirement": "Il piano di cui al punto 1 è approvato dagli organi di amministrazione e direttivi." + }, + { + "entity": "essenziale", + "function": "Risposta", + "subcategory": "RS.MA-01", + "subcategory_text": "Il piano di risposta agli incidenti è eseguito in coordinamento con le terze parti interessate una volta dichiarato un incidente.", + "req_index": 3, + "requirement": "Il piano di cui al punto 1 è riesaminato e, se opportuno, aggiornato periodicamente e comunque almeno ogni due anni, nonché qualora si verifichino incidenti significativi, integrando le relative lezioni apprese, o mutamenti dell’esposizione alle minacce e ai relativi rischi." + } + ] } \ No newline at end of file diff --git a/public/acn-gap.html b/public/acn-gap.html index 5b305c2..865aabd 100644 --- a/public/acn-gap.html +++ b/public/acn-gap.html @@ -158,8 +158,8 @@ const cat = await api.acnCatalog(); ACN.level = cat.entity_level; const lvlTxt = cat.entity_level === 'essential' - ? 'Soggetto ESSENZIALE' - : 'Soggetto IMPORTANTE'; + ? ''+(lang()==='en'?'ESSENTIAL entity':'Soggetto ESSENZIALE')+'' + : ''+(lang()==='en'?'IMPORTANT entity':'Soggetto IMPORTANTE')+''; el('acn-level-info').innerHTML = lvlTxt + '

' + (lang()==='en'?'Applicable scope: ':'Perimetro applicabile: ') + @@ -228,14 +228,18 @@ } async function openAcn(id, status){ - ACN.id = id; - const res = await api.acnRequirements(id); - ACN.level = res.assessment.entity_level; - if (res.assessment.status === 'completed'){ - await showResults(id); - return; + try { + ACN.id = id; + const res = await api.acnRequirements(id); + ACN.level = res.assessment.entity_level; + if (res.assessment.status === 'completed'){ + await showResults(id); + return; + } + renderWizard(res); + } catch(e){ + alert((e && e.message) || (lang()==='en'?'Could not open the assessment.':'Impossibile aprire l\'assessment.')); } - renderWizard(res); } function renderWizard(res){ @@ -245,8 +249,8 @@ el('acn-wizard').style.display='block'; el('btn-ai-analyze').style.display='none'; el('acn-wizard-level').innerHTML = ACN.level==='essential' - ? 'ESSENZIALE' - : 'IMPORTANTE'; + ? ''+(lang()==='en'?'ESSENTIAL':'ESSENZIALE')+'' + : ''+(lang()==='en'?'IMPORTANT':'IMPORTANTE')+''; ACN.answers = {}; ACN.total = 0; let html = ''; diff --git a/public/guida.html b/public/guida.html index 8ad2e71..ce9a9a1 100644 --- a/public/guida.html +++ b/public/guida.html @@ -458,9 +458,10 @@

Esempio (requisiti di governance). GV.RR-04 richiede che la cybersicurezza - sia integrata nella gestione delle risorse umane: chi accede ai sistemi (utenti e amministratori) deve - avere competenze e affidabilità adeguate al ruolo, valutate e documentate — è il - "controllo di adeguatezza al ruolo" delle figure chiave dell'organigramma. + sia integrata nella gestione delle risorse umane: il personale autorizzato ad accedere + ai sistemi rilevanti e gli amministratori di sistema devono essere individuati previa + valutazione di esperienza, capacità e affidabilità (non necessariamente una certificazione), + e tale valutazione va documentata. GV.PO-01 richiede una policy di gestione del rischio cyber formalizzata, comunicata e applicata.