{ "importante": [ { "entity": "importante", "function": "Governance", "subcategory": "GV.OC-4", "subcategory_text": "Gli obiettivi, le capacità e i servizi critici dai quali gli stakeholder dipendono o che", "req_index": 1, "requirement": "È mantenuto un elenco aggiornato dei sistemi informativi e di rete rilevanti." }, { "entity": "importante", "function": "Governance", "subcategory": "GV.RM-03", "subcategory_text": "Le attività e gli esiti della gestione del rischio di cybersecurity sono parte", "req_index": 1, "requirement": "Nell'ambito dei processi di gestione del rischio del soggetto NIS e nel rispetto delle" }, { "entity": "importante", "function": "Governance", "subcategory": "GV.RR-02", "subcategory_text": "I ruoli, le responsabilità e i correlati poteri relativi alla gestione del rischio di", "req_index": 1, "requirement": "È definita, approvata dagli organi di amministrazione e direttivi, e resa nota alle" }, { "entity": "importante", "function": "Governance", "subcategory": "GV.RR-02", "subcategory_text": "I ruoli, le responsabilità e i correlati poteri relativi alla gestione del rischio di", "req_index": 2, "requirement": "È mantenuto un elenco aggiornato del personale dell'organizzazione di cui al punto 1" }, { "entity": "importante", "function": "Governance", "subcategory": "GV.RR-02", "subcategory_text": "I ruoli, le responsabilità e i correlati poteri relativi alla gestione del rischio di", "req_index": 3, "requirement": "All’interno dell’organizzazione per la sicurezza informatica di cui al punto 1, sono inclusi" }, { "entity": "importante", "function": "Governance", "subcategory": "GV.RR-02", "subcategory_text": "I ruoli, le responsabilità e i correlati poteri relativi alla gestione del rischio di", "req_index": 4, "requirement": "I ruoli e le responsabilità di cui al punto 1 sono riesaminati e, se opportuno, aggiornati" }, { "entity": "importante", "function": "Governance", "subcategory": "GV.RR-04", "subcategory_text": "La cybersecurity è incluso nelle pratiche delle risorse umane.", "req_index": 1, "requirement": "Per almeno i sistemi informativi e di rete rilevanti, il personale autorizzato ad accedervi è" }, { "entity": "importante", "function": "Governance", "subcategory": "GV.RR-04", "subcategory_text": "La cybersecurity è incluso nelle pratiche delle risorse umane.", "req_index": 2, "requirement": "Gli amministratori di sistema dei sistemi informativi e di rete sono individuati previa" }, { "entity": "importante", "function": "Governance", "subcategory": "GV.RR-04", "subcategory_text": "La cybersecurity è incluso nelle pratiche delle risorse umane.", "req_index": 3, "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" }, { "entity": "importante", "function": "Governance", "subcategory": "GV.PO-01", "subcategory_text": "La politica per la gestione del rischio di cybersecurity è stabilita in base al contesto", "req_index": 1, "requirement": "Sono adottate e documentate politiche di sicurezza informatica per almeno i seguenti" }, { "entity": "importante", "function": "Governance", "subcategory": "GV.PO-01", "subcategory_text": "La politica per la gestione del rischio di cybersecurity è stabilita in base al contesto", "req_index": 2, "requirement": "Per gli ambiti di cui al punto 1 sono incluse almeno le politiche in relazione ai requisiti" }, { "entity": "importante", "function": "Governance", "subcategory": "GV.PO-01", "subcategory_text": "La politica per la gestione del rischio di cybersecurity è stabilita in base al contesto", "req_index": 3, "requirement": "Le politiche di cui al punto 1 sono approvate dagli organi di amministrazione e direttivi." }, { "entity": "importante", "function": "Governance", "subcategory": "GV.PO-02", "subcategory_text": "La politica per la gestione del rischio di cybersecurity è revisionata, aggiornata,", "req_index": 1, "requirement": "Le politiche di cui alla misura GV.PO-01 sono riesaminate e, se opportuno, aggiornate" }, { "entity": "importante", "function": "Governance", "subcategory": "GV.PO-02", "subcategory_text": "La politica per la gestione del rischio di cybersecurity è revisionata, aggiornata,", "req_index": 2, "requirement": "Ai fini del riesame di cui al punto 1, è verificata almeno la conformità delle politiche di" }, { "entity": "importante", "function": "Governance", "subcategory": "GV.SC-01", "subcategory_text": "Sono stabiliti e accettati dagli stakeholder dell'organizzazione il programma, la", "req_index": 1, "requirement": "In merito all’affidamento di forniture con potenziali impatti sulla sicurezza dei sistemi" }, { "entity": "importante", "function": "Governance", "subcategory": "GV.SC-02", "subcategory_text": "I ruoli e le responsabilità in materia di cybersecurity per fornitori, clienti e partner", "req_index": 1, "requirement": "Nell'ambito dell'organizzazione per la sicurezza informatica di cui alla misura GV.RR-02," }, { "entity": "importante", "function": "Governance", "subcategory": "GV.SC-02", "subcategory_text": "I ruoli e le responsabilità in materia di cybersecurity per fornitori, clienti e partner", "req_index": 2, "requirement": "Il personale di cui al punto 1 avente specifici ruoli e responsabilità è incluso nell’elenco di" }, { "entity": "importante", "function": "Governance", "subcategory": "GV.SC-04", "subcategory_text": "I fornitori sono noti e prioritizzati in base alla criticità.", "req_index": 1, "requirement": "È mantenuto un inventario aggiornato dei fornitori, le cui forniture hanno un potenziale" }, { "entity": "importante", "function": "Governance", "subcategory": "GV.SC-05", "subcategory_text": "I requisiti per affrontare i rischi di cybersecurity nella catena di", "req_index": 1, "requirement": "Fatte salve motivate e documentate ragioni normative o tecniche, i requisiti di sicurezza di" }, { "entity": "importante", "function": "Governance", "subcategory": "GV.SC-07", "subcategory_text": "I rischi posti da un fornitore, dai suoi prodotti e servizi e da altre terze parti sono", "req_index": 1, "requirement": "Nell’ambito della valutazione del rischio di cui alla misura ID.RA-05, è valutato e" }, { "entity": "importante", "function": "Governance", "subcategory": "GV.SC-07", "subcategory_text": "I rischi posti da un fornitore, dai suoi prodotti e servizi e da altre terze parti sono", "req_index": 2, "requirement": "È verificata periodicamente e documentata la conformità delle forniture ai requisiti di cui" }, { "entity": "importante", "function": "Identificazione", "subcategory": "ID.AM-01", "subcategory_text": "Sono mantenuti gli inventari dell'hardware gestito dall'organizzazione.", "req_index": 1, "requirement": "È mantenuto un inventario aggiornato degli apparati fisici (hardware) che compongono i" }, { "entity": "importante", "function": "Identificazione", "subcategory": "ID.AM-02", "subcategory_text": "Sono mantenuti gli inventari del software, dei servizi e dei sistemi gestiti", "req_index": 1, "requirement": "È mantenuto un inventario aggiornato dei servizi, dei sistemi e delle applicazioni software" }, { "entity": "importante", "function": "Identificazione", "subcategory": "ID.AM-04", "subcategory_text": "Sono mantenuti gli inventari dei servizi erogati dai fornitori.", "req_index": 1, "requirement": "È mantenuto un inventario aggiornato dei servizi informatici erogati dai fornitori, ivi" }, { "entity": "importante", "function": "Identificazione", "subcategory": "ID.RA-01", "subcategory_text": ". Le vulnerabilità negli asset sono identificate, confermate e registrate.", "req_index": 1, "requirement": "Le informazioni di cui al punto 1 della misura ID.RA-08 sono utilizzate per identificare" }, { "entity": "importante", "function": "Identificazione", "subcategory": "ID.RA-05", "subcategory_text": "Minacce, vulnerabilità, probabilità e impatti sono utilizzati per comprendere il", "req_index": 1, "requirement": "In accordo al piano di gestione dei rischi per la sicurezza informatica di cui alla misura" }, { "entity": "importante", "function": "Identificazione", "subcategory": "ID.RA-05", "subcategory_text": "Minacce, vulnerabilità, probabilità e impatti sono utilizzati per comprendere il", "req_index": 2, "requirement": "La valutazione del rischio di cui al punto 1 è eseguita a intervalli pianificati e comunque" }, { "entity": "importante", "function": "Identificazione", "subcategory": "ID.RA-05", "subcategory_text": "Minacce, vulnerabilità, probabilità e impatti sono utilizzati per comprendere il", "req_index": 3, "requirement": "La valutazione del rischio cui al punto 1 è approvata dagli organi di amministrazione e" }, { "entity": "importante", "function": "Identificazione", "subcategory": "ID.RA-06", "subcategory_text": "Le risposte al rischio sono scelte, prioritizzate, pianificate, monitorate e", "req_index": 1, "requirement": "È definito, documentato, eseguito e monitorato un piano di trattamento del rischio che" }, { "entity": "importante", "function": "Identificazione", "subcategory": "ID.RA-06", "subcategory_text": "Le risposte al rischio sono scelte, prioritizzate, pianificate, monitorate e", "req_index": 2, "requirement": "Qualora per motivate e documentate ragioni normative o tecniche non siano attuati i" }, { "entity": "importante", "function": "Identificazione", "subcategory": "ID.RA-06", "subcategory_text": "Le risposte al rischio sono scelte, prioritizzate, pianificate, monitorate e", "req_index": 3, "requirement": "Il piano di cui al punto 1, ivi compresa l’accettazione di eventuali rischi residui, è" }, { "entity": "importante", "function": "Identificazione", "subcategory": "ID.RA-08", "subcategory_text": "Sono stabiliti processi per la ricezione, l'analisi e la risposta alle divulgazioni di", "req_index": 1, "requirement": "Sono monitorati almeno i canali di comunicazione del CSIRT Italia, nonché di eventuali" }, { "entity": "importante", "function": "Identificazione", "subcategory": "ID.RA-08", "subcategory_text": "Sono stabiliti processi per la ricezione, l'analisi e la risposta alle divulgazioni di", "req_index": 2, "requirement": "Le vulnerabilità, ivi comprese quelle identificate ai sensi della misura ID.RA-01, sono" }, { "entity": "importante", "function": "Identificazione", "subcategory": "ID.RA-08", "subcategory_text": "Sono stabiliti processi per la ricezione, l'analisi e la risposta alle divulgazioni di", "req_index": 3, "requirement": "È definito, attuato, aggiornato e documentato un piano di gestione delle vulnerabilità che" }, { "entity": "importante", "function": "Identificazione", "subcategory": "ID.RA-08", "subcategory_text": "Sono stabiliti processi per la ricezione, l'analisi e la risposta alle divulgazioni di", "req_index": 4, "requirement": "Il piano di cui al punto 3 è approvato dagli organi di amministrazione e direttivi." }, { "entity": "importante", "function": "Identificazione", "subcategory": "ID.IM-01", "subcategory_text": "Sono identificati miglioramenti in esito alle valutazioni.", "req_index": 1, "requirement": "In accordo agli esiti del riesame di cui al punto 1 della misura GV.PO-02, è definito," }, { "entity": "importante", "function": "Identificazione", "subcategory": "ID.IM-01", "subcategory_text": "Sono identificati miglioramenti in esito alle valutazioni.", "req_index": 2, "requirement": "Gli organi di amministrazione e direttivi sono informati mediante apposite relazioni" }, { "entity": "importante", "function": "Identificazione", "subcategory": "ID.IM-04", "subcategory_text": "I piani di risposta agli incidenti e gli altri piani di cybersecurity che impattano le", "req_index": 1, "requirement": "Per almeno i sistemi informativi e di rete rilevanti è definito, attuato, aggiornato e" }, { "entity": "importante", "function": "Identificazione", "subcategory": "ID.IM-04", "subcategory_text": "I piani di risposta agli incidenti e gli altri piani di cybersecurity che impattano le", "req_index": 2, "requirement": "Per almeno i sistemi informativi e di rete rilevanti è definito, attuato, aggiornato e" }, { "entity": "importante", "function": "Identificazione", "subcategory": "ID.IM-04", "subcategory_text": "I piani di risposta agli incidenti e gli altri piani di cybersecurity che impattano le", "req_index": 3, "requirement": "Per almeno i sistemi informativi e di rete rilevanti è definito, attuato, aggiornato e" }, { "entity": "importante", "function": "Identificazione", "subcategory": "ID.IM-04", "subcategory_text": "I piani di risposta agli incidenti e gli altri piani di cybersecurity che impattano le", "req_index": 4, "requirement": "I piani di cui ai punti 1, 2 e 3 sono approvati dagli organi di amministrazione e direttivi." }, { "entity": "importante", "function": "Identificazione", "subcategory": "ID.IM-04", "subcategory_text": "I piani di risposta agli incidenti e gli altri piani di cybersecurity che impattano le", "req_index": 5, "requirement": "I piani di cui ai punti 1, 2 e 3 sono riesaminati e, se opportuno, aggiornati periodicamente" }, { "entity": "importante", "function": "Protezione", "subcategory": "PR.AA-01", "subcategory_text": "Le identità e le credenziali degli utenti, dei servizi e dell'hardware autorizzati sono", "req_index": 1, "requirement": "Tutte le utenze, ivi incluse quelle con privilegi amministrativi e quelle utilizzate per" }, { "entity": "importante", "function": "Protezione", "subcategory": "PR.AA-01", "subcategory_text": "Le identità e le credenziali degli utenti, dei servizi e dell'hardware autorizzati sono", "req_index": 2, "requirement": "Le credenziali (ad esempio nome utente e password) relative alle utenze sono robuste e" }, { "entity": "importante", "function": "Protezione", "subcategory": "PR.AA-01", "subcategory_text": "Le identità e le credenziali degli utenti, dei servizi e dell'hardware autorizzati sono", "req_index": 3, "requirement": "Per almeno i sistemi informativi e di rete rilevanti, sono verificate periodicamente le utenze" }, { "entity": "importante", "function": "Protezione", "subcategory": "PR.AA-01", "subcategory_text": "Le identità e le credenziali degli utenti, dei servizi e dell'hardware autorizzati sono", "req_index": 4, "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" }, { "entity": "importante", "function": "Protezione", "subcategory": "PR.AA-03", "subcategory_text": "Utenti, servizi e hardware sono autenticati.", "req_index": 1, "requirement": "Le modalità di autenticazione delle utenze per accedere ai sistemi informativi e di rete sono" }, { "entity": "importante", "function": "Protezione", "subcategory": "PR.AA-03", "subcategory_text": "Utenti, servizi e hardware sono autenticati.", "req_index": 2, "requirement": "Per almeno i sistemi informativi e di rete rilevanti e in accordo agli esiti della valutazione" }, { "entity": "importante", "function": "Protezione", "subcategory": "PR.AA-03", "subcategory_text": "Utenti, servizi e hardware sono autenticati.", "req_index": 3, "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" }, { "entity": "importante", "function": "Protezione", "subcategory": "PR.AA-05", "subcategory_text": "I permessi, i diritti e le autorizzazioni di accesso sono definiti in una politica,", "req_index": 1, "requirement": "I permessi sono assegnati alle utenze in accordo ai principi del minimo privilegio e della" }, { "entity": "importante", "function": "Protezione", "subcategory": "PR.AA-05", "subcategory_text": "I permessi, i diritti e le autorizzazioni di accesso sono definiti in una politica,", "req_index": 2, "requirement": "È assicurata la completa distinzione tra utenze con e senza privilegi amministrativi degli" }, { "entity": "importante", "function": "Protezione", "subcategory": "PR.AA-05", "subcategory_text": "I permessi, i diritti e le autorizzazioni di accesso sono definiti in una politica,", "req_index": 3, "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" }, { "entity": "importante", "function": "Protezione", "subcategory": "PR.AA-06", "subcategory_text": "L'accesso fisico agli asset è gestito, monitorato e applicato in misura appropriata", "req_index": 1, "requirement": "Per almeno i sistemi informativi e di rete rilevanti, l’accesso fisico è protetto." }, { "entity": "importante", "function": "Protezione", "subcategory": "PR.AA-06", "subcategory_text": "L'accesso fisico agli asset è gestito, monitorato e applicato in misura appropriata", "req_index": 2, "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" }, { "entity": "importante", "function": "Protezione", "subcategory": "PR.AT-01", "subcategory_text": "Il personale è sensibilizzato e formato in modo da possedere le conoscenze e le", "req_index": 1, "requirement": "È definito, attuato, aggiornato e documentato un piano di formazione in materia di" }, { "entity": "importante", "function": "Protezione", "subcategory": "PR.AT-01", "subcategory_text": "Il personale è sensibilizzato e formato in modo da possedere le conoscenze e le", "req_index": 2, "requirement": "Il piano di formazione di cui al punto 1 è approvato dagli organi di amministrazione e" }, { "entity": "importante", "function": "Protezione", "subcategory": "PR.AT-01", "subcategory_text": "Il personale è sensibilizzato e formato in modo da possedere le conoscenze e le", "req_index": 3, "requirement": "È mantenuto un registro aggiornato recante l'elenco dei dipendenti che hanno ricevuto la" }, { "entity": "importante", "function": "Protezione", "subcategory": "PR.DS-01", "subcategory_text": "La riservatezza, l'integrità e la disponibilità dei dati a riposo (data-at-rest) sono", "req_index": 1, "requirement": "Per almeno i sistemi informativi e di rete rilevanti e in accordo agli esiti della valutazione" }, { "entity": "importante", "function": "Protezione", "subcategory": "PR.DS-01", "subcategory_text": "La riservatezza, l'integrità e la disponibilità dei dati a riposo (data-at-rest) sono", "req_index": 2, "requirement": "Fatte salve e documentate ragioni normative o tecniche, è disabilitata l'auto esecuzione dei" }, { "entity": "importante", "function": "Protezione", "subcategory": "PR.DS-01", "subcategory_text": "La riservatezza, l'integrità e la disponibilità dei dati a riposo (data-at-rest) sono", "req_index": 3, "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" }, { "entity": "importante", "function": "Protezione", "subcategory": "PR.DS-02", "subcategory_text": "La riservatezza, l'integrità e la disponibilità dei dati in transito (data-in-transit)", "req_index": 1, "requirement": "Per almeno i sistemi informativi e di rete rilevanti, ivi inclusi quelli di comunicazione" }, { "entity": "importante", "function": "Protezione", "subcategory": "PR.DS-02", "subcategory_text": "La riservatezza, l'integrità e la disponibilità dei dati in transito (data-in-transit)", "req_index": 2, "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" }, { "entity": "importante", "function": "Protezione", "subcategory": "PR.DS-11", "subcategory_text": "I backup dei dati sono creati, protetti, mantenuti e verificati.", "req_index": 1, "requirement": "In accordo alle esigenze di continuità operativa e di ripristino in caso di disastro individuate" }, { "entity": "importante", "function": "Protezione", "subcategory": "PR.DS-11", "subcategory_text": "I backup dei dati sono creati, protetti, mantenuti e verificati.", "req_index": 2, "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" }, { "entity": "importante", "function": "Protezione", "subcategory": "PR.PS-02", "subcategory_text": "Il software è mantenuto, sostituito e rimosso in base al rischio.", "req_index": 1, "requirement": "Fatte salve motivate e documentate ragioni normative o tecniche, è installato" }, { "entity": "importante", "function": "Protezione", "subcategory": "PR.PS-02", "subcategory_text": "Il software è mantenuto, sostituito e rimosso in base al rischio.", "req_index": 2, "requirement": "Fatte salve motivate e documentate ragioni normative o tecniche, sono installati, senza" }, { "entity": "importante", "function": "Protezione", "subcategory": "PR.PS-02", "subcategory_text": "Il software è mantenuto, sostituito e rimosso in base al rischio.", "req_index": 3, "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" }, { "entity": "importante", "function": "Protezione", "subcategory": "PR.PS-04", "subcategory_text": "I registri di log sono generati e resi disponibili per il monitoraggio continuo.", "req_index": 1, "requirement": "Tutti gli accessi eseguiti da remoto e quelli effettuati con utenze con privilegi" }, { "entity": "importante", "function": "Protezione", "subcategory": "PR.PS-04", "subcategory_text": "I registri di log sono generati e resi disponibili per il monitoraggio continuo.", "req_index": 2, "requirement": "Per almeno i sistemi informativi e di rete rilevanti, sono conservati in modo sicuro, e" }, { "entity": "importante", "function": "Protezione", "subcategory": "PR.PS-04", "subcategory_text": "I registri di log sono generati e resi disponibili per il monitoraggio continuo.", "req_index": 3, "requirement": "In accordo agli esiti della valutazione rischio di cui alla misura ID.RA-05, sono definite e" }, { "entity": "importante", "function": "Protezione", "subcategory": "PR.PS-04", "subcategory_text": "I registri di log sono generati e resi disponibili per il monitoraggio continuo.", "req_index": 4, "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" }, { "entity": "importante", "function": "Protezione", "subcategory": "PR.PS-06", "subcategory_text": "Le pratiche di sviluppo sicuro del software sono integrate e le loro prestazioni sono", "req_index": 1, "requirement": "Sono adottate e documentate pratiche di sviluppo sicuro del codice nello sviluppo del" }, { "entity": "importante", "function": "Protezione", "subcategory": "PR.IR-01", "subcategory_text": "Le reti e gli ambienti sono protetti dall'accesso logico e dall'uso non autorizzati.", "req_index": 1, "requirement": "Per almeno i sistemi informativi e di rete rilevanti, sono definite e documentate le eventuali" }, { "entity": "importante", "function": "Protezione", "subcategory": "PR.IR-01", "subcategory_text": "Le reti e gli ambienti sono protetti dall'accesso logico e dall'uso non autorizzati.", "req_index": 2, "requirement": "È mantenuto un elenco aggiornato dei sistemi informativi e di rete ai quali è possibile" }, { "entity": "importante", "function": "Protezione", "subcategory": "PR.IR-01", "subcategory_text": "Le reti e gli ambienti sono protetti dall'accesso logico e dall'uso non autorizzati.", "req_index": 3, "requirement": "Sono presenti, aggiornati, mantenuti e configurati i sistemi perimetrali, quali firewall." }, { "entity": "importante", "function": "Protezione", "subcategory": "PR.IR-01", "subcategory_text": "Le reti e gli ambienti sono protetti dall'accesso logico e dall'uso non autorizzati.", "req_index": 4, "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" }, { "entity": "importante", "function": "Rilevazione", "subcategory": "DE.CM-01", "subcategory_text": "Le reti e i servizi di rete sono monitorati per individuare eventi potenzialmente", "req_index": 1, "requirement": "Per almeno i sistemi informativi e di rete rilevanti, sono presenti, aggiornati, mantenuti e" }, { "entity": "importante", "function": "Rilevazione", "subcategory": "DE.CM-01", "subcategory_text": "Le reti e i servizi di rete sono monitorati per individuare eventi potenzialmente", "req_index": 2, "requirement": "Sono definiti e documentati i livelli di servizio attesi (SL) dei servizi e delle attività del" }, { "entity": "importante", "function": "Rilevazione", "subcategory": "DE.CM-01", "subcategory_text": "Le reti e i servizi di rete sono monitorati per individuare eventi potenzialmente", "req_index": 3, "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" }, { "entity": "importante", "function": "Rilevazione", "subcategory": "DE.CM-09", "subcategory_text": "L'hardware e il software di elaborazione, gli ambienti di runtime e i loro dati sono", "req_index": 1, "requirement": "Fatte salve motivate e documentate ragioni normative o tecniche, sono presenti, aggiornati," }, { "entity": "importante", "function": "Rilevazione", "subcategory": "DE.CM-09", "subcategory_text": "L'hardware e il software di elaborazione, gli ambienti di runtime e i loro dati sono", "req_index": 2, "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" }, { "entity": "importante", "function": "Risposta", "subcategory": "RS.MA-01", "subcategory_text": "Il piano di risposta agli incidenti è eseguito in coordinamento con le terze parti", "req_index": 1, "requirement": "È definito, attuato, aggiornato e documentato un piano per la gestione degli incidenti di" }, { "entity": "importante", "function": "Risposta", "subcategory": "RS.MA-01", "subcategory_text": "Il piano di risposta agli incidenti è eseguito in coordinamento con le terze parti", "req_index": 2, "requirement": "Il piano di cui al punto 1 è approvato dagli organi di amministrazione e direttivi." }, { "entity": "importante", "function": "Risposta", "subcategory": "RS.MA-01", "subcategory_text": "Il piano di risposta agli incidenti è eseguito in coordinamento con le terze parti", "req_index": 3, "requirement": "Il piano di cui al punto 1 è riesaminato e, se opportuno, aggiornato periodicamente e" }, { "entity": "importante", "function": "Risposta", "subcategory": "RS.CO-02", "subcategory_text": "Gli stakeholder interni ed esterni sono informati degli incidenti.", "req_index": 1, "requirement": "In accordo al piano per la gestione degli incidenti di cui alla misura RS.MA-01, sono" }, { "entity": "importante", "function": "Risposta", "subcategory": "RS.CO-02", "subcategory_text": "Gli stakeholder interni ed esterni sono informati degli incidenti.", "req_index": 2, "requirement": "Sono documentate e adottate procedure per informare il pubblico sugli incidenti occorsi," }, { "entity": "importante", "function": "Ripristino", "subcategory": "RC.RP-01", "subcategory_text": "La parte del piano di risposta agli incidenti relativa al rispristino viene eseguita", "req_index": 1, "requirement": "Nell'ambito del piano per la gestione degli incidenti di cui alla misura RS.MA-01, sono" } ], "essenziale": [ { "entity": "essenziale", "function": "Governance", "subcategory": "GV.OC-4", "subcategory_text": "Gli obiettivi, le capacità e i servizi critici dai quali gli stakeholder dipendono o che", "req_index": 1, "requirement": "È mantenuto un elenco aggiornato dei sistemi informativi e di rete rilevanti." }, { "entity": "essenziale", "function": "Governance", "subcategory": "GV.RM-03", "subcategory_text": "Le attività e gli esiti della gestione del rischio di cybersecurity sono parte", "req_index": 1, "requirement": "Nell'ambito dei processi di gestione del rischio del soggetto NIS e nel rispetto delle" }, { "entity": "essenziale", "function": "Governance", "subcategory": "GV.RR-02", "subcategory_text": "I ruoli, le responsabilità e i correlati poteri relativi alla gestione del rischio di", "req_index": 1, "requirement": "È definita, approvata dagli organi di amministrazione e direttivi, e resa nota alle" }, { "entity": "essenziale", "function": "Governance", "subcategory": "GV.RR-02", "subcategory_text": "I ruoli, le responsabilità e i correlati poteri relativi alla gestione del rischio di", "req_index": 2, "requirement": "È mantenuto un elenco aggiornato del personale dell'organizzazione di cui al punto 1" }, { "entity": "essenziale", "function": "Governance", "subcategory": "GV.RR-02", "subcategory_text": "I ruoli, le responsabilità e i correlati poteri relativi alla gestione del rischio di", "req_index": 3, "requirement": "All’interno dell’organizzazione per la sicurezza informatica di cui al punto 1, sono inclusi" }, { "entity": "essenziale", "function": "Governance", "subcategory": "GV.RR-02", "subcategory_text": "I ruoli, le responsabilità e i correlati poteri relativi alla gestione del rischio di", "req_index": 4, "requirement": "I ruoli e le responsabilità di cui al punto 1 sono riesaminati e, se opportuno, aggiornati" }, { "entity": "essenziale", "function": "Governance", "subcategory": "GV.RR-04", "subcategory_text": "La cybersecurity è inclusa nelle pratiche delle risorse umane.", "req_index": 1, "requirement": "Per almeno i sistemi informativi e di rete rilevanti, il personale autorizzato ad accedervi è" }, { "entity": "essenziale", "function": "Governance", "subcategory": "GV.RR-04", "subcategory_text": "La cybersecurity è inclusa nelle pratiche delle risorse umane.", "req_index": 2, "requirement": "Gli amministratori di sistema dei sistemi informativi e di rete sono individuati previa" }, { "entity": "essenziale", "function": "Governance", "subcategory": "GV.RR-04", "subcategory_text": "La cybersecurity è inclusa nelle pratiche delle risorse umane.", "req_index": 3, "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" }, { "entity": "essenziale", "function": "Governance", "subcategory": "GV.RR-04", "subcategory_text": "La cybersecurity è inclusa nelle pratiche delle risorse umane.", "req_index": 4, "requirement": "In accordo agli esiti della valutazione del rischio di cui alla misura ID.RA-05, sono definiti" }, { "entity": "essenziale", "function": "Governance", "subcategory": "GV.RR-04", "subcategory_text": "La cybersecurity è inclusa nelle pratiche delle risorse umane.", "req_index": 5, "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" }, { "entity": "essenziale", "function": "Governance", "subcategory": "GV.PO-01", "subcategory_text": "La politica per la gestione del rischio di cybersecurity è stabilita in base al contesto", "req_index": 1, "requirement": "Sono adottate e documentate politiche di sicurezza informatica per almeno i seguenti" }, { "entity": "essenziale", "function": "Governance", "subcategory": "GV.PO-01", "subcategory_text": "La politica per la gestione del rischio di cybersecurity è stabilita in base al contesto", "req_index": 2, "requirement": "Per gli ambiti di cui al punto 1 sono incluse almeno le politiche in relazione ai requisiti" }, { "entity": "essenziale", "function": "Governance", "subcategory": "GV.PO-01", "subcategory_text": "La politica per la gestione del rischio di cybersecurity è stabilita in base al contesto", "req_index": 3, "requirement": "Le politiche di cui al punto 1 sono approvate dagli organi di amministrazione e direttivi." }, { "entity": "essenziale", "function": "Governance", "subcategory": "GV.PO-02", "subcategory_text": "La politica per la gestione del rischio di cybersecurity è revisionata, aggiornata,", "req_index": 1, "requirement": "Le politiche di cui alla misura GV.PO-01 sono riesaminate e, se opportuno, aggiornate" }, { "entity": "essenziale", "function": "Governance", "subcategory": "GV.PO-02", "subcategory_text": "La politica per la gestione del rischio di cybersecurity è revisionata, aggiornata,", "req_index": 2, "requirement": "Ai fini del riesame di cui al punto 1, è verificata almeno la conformità delle politiche di" }, { "entity": "essenziale", "function": "Governance", "subcategory": "GV.PO-02", "subcategory_text": "La politica per la gestione del rischio di cybersecurity è revisionata, aggiornata,", "req_index": 3, "requirement": "È mantenuto un registro aggiornato contenente gli esiti del riesame di cui al punto 1." }, { "entity": "essenziale", "function": "Governance", "subcategory": "GV.SC-01", "subcategory_text": "Sono stabiliti e accettati dagli stakeholder dell'organizzazione il programma, la", "req_index": 1, "requirement": "In merito all’affidamento di forniture con potenziali impatti sulla sicurezza dei sistemi" }, { "entity": "essenziale", "function": "Governance", "subcategory": "GV.SC-01", "subcategory_text": "Sono stabiliti e accettati dagli stakeholder dell'organizzazione il programma, la", "req_index": 2, "requirement": "Per i requisiti di sicurezza di cui al punto 1, lettera b), sono considerati, ove applicabile," }, { "entity": "essenziale", "function": "Governance", "subcategory": "GV.SC-02", "subcategory_text": "I ruoli e le responsabilità in materia di cybersecurity per fornitori, clienti e partner", "req_index": 1, "requirement": "Nell'ambito dell'organizzazione per la sicurezza informatica di cui alla misura GV.RR-02," }, { "entity": "essenziale", "function": "Governance", "subcategory": "GV.SC-02", "subcategory_text": "I ruoli e le responsabilità in materia di cybersecurity per fornitori, clienti e partner", "req_index": 2, "requirement": "Il personale di cui al punto 1 avente specifici ruoli e responsabilità è incluso nell’elenco di" }, { "entity": "essenziale", "function": "Governance", "subcategory": "GV.SC-04", "subcategory_text": "I fornitori sono noti e prioritizzati in base alla criticità.", "req_index": 1, "requirement": "È mantenuto un inventario aggiornato dei fornitori, le cui forniture hanno un potenziale" }, { "entity": "essenziale", "function": "Governance", "subcategory": "GV.SC-05", "subcategory_text": "I requisiti per affrontare i rischi di cybersecurity nella catena di", "req_index": 1, "requirement": "Fatte salve motivate e documentate ragioni normative o tecniche, i requisiti di sicurezza di" }, { "entity": "essenziale", "function": "Governance", "subcategory": "GV.SC-07", "subcategory_text": "I rischi posti da un fornitore, dai suoi prodotti e servizi e da altre terze parti sono", "req_index": 1, "requirement": "Nell’ambito della valutazione del rischio di cui alla misura ID.RA-05, è valutato e" }, { "entity": "essenziale", "function": "Governance", "subcategory": "GV.SC-07", "subcategory_text": "I rischi posti da un fornitore, dai suoi prodotti e servizi e da altre terze parti sono", "req_index": 2, "requirement": "È verificata periodicamente e documentata la conformità delle forniture ai requisiti di cui" }, { "entity": "essenziale", "function": "Identificazione", "subcategory": "ID.AM-01", "subcategory_text": "Sono mantenuti gli inventari dell'hardware gestito dall'organizzazione.", "req_index": 1, "requirement": "È mantenuto un inventario aggiornato degli apparati fisici (hardware) che compongono i" }, { "entity": "essenziale", "function": "Identificazione", "subcategory": "ID.AM-02", "subcategory_text": "Sono mantenuti gli inventari del software, dei servizi e dei sistemi gestiti", "req_index": 1, "requirement": "È mantenuto un inventario aggiornato dei servizi, dei sistemi e delle applicazioni software" }, { "entity": "essenziale", "function": "Identificazione", "subcategory": "ID.AM-03", "subcategory_text": "Sono mantenute le rappresentazioni delle comunicazioni di rete, dei flussi di dati", "req_index": 1, "requirement": "È mantenuto un inventario aggiornato dei flussi di rete tra i sistemi informativi e di rete" }, { "entity": "essenziale", "function": "Identificazione", "subcategory": "ID.AM-04", "subcategory_text": "Sono mantenuti gli inventari dei servizi erogati dai fornitori.", "req_index": 1, "requirement": "È mantenuto un inventario aggiornato dei servizi informatici erogati dai fornitori, ivi" }, { "entity": "essenziale", "function": "Identificazione", "subcategory": "ID.RA-01", "subcategory_text": ". Le vulnerabilità negli asset sono identificate, confermate e registrate.", "req_index": 1, "requirement": "Le informazioni di cui al punto 1 della misura ID.RA-08 sono utilizzate per identificare" }, { "entity": "essenziale", "function": "Identificazione", "subcategory": "ID.RA-01", "subcategory_text": ". Le vulnerabilità negli asset sono identificate, confermate e registrate.", "req_index": 2, "requirement": "Per almeno i sistemi informativi e di rete rilevanti, in accordo al piano di gestione delle" }, { "entity": "essenziale", "function": "Identificazione", "subcategory": "ID.RA-01", "subcategory_text": ". Le vulnerabilità negli asset sono identificate, confermate e registrate.", "req_index": 3, "requirement": "Le attività di cui al punto 2 sono documentate tramite apposite relazioni che contengono" }, { "entity": "essenziale", "function": "Identificazione", "subcategory": "ID.RA-05", "subcategory_text": "Minacce, vulnerabilità, probabilità e impatti sono utilizzati per comprendere il", "req_index": 1, "requirement": "In accordo al piano di gestione dei rischi per la sicurezza informatica di cui alla misura" }, { "entity": "essenziale", "function": "Identificazione", "subcategory": "ID.RA-05", "subcategory_text": "Minacce, vulnerabilità, probabilità e impatti sono utilizzati per comprendere il", "req_index": 2, "requirement": "La valutazione del rischio di cui al punto 1 è eseguita a intervalli pianificati e comunque" }, { "entity": "essenziale", "function": "Identificazione", "subcategory": "ID.RA-05", "subcategory_text": "Minacce, vulnerabilità, probabilità e impatti sono utilizzati per comprendere il", "req_index": 3, "requirement": "La valutazione del rischio cui al punto 1 è approvata dagli organi di amministrazione e" }, { "entity": "essenziale", "function": "Identificazione", "subcategory": "ID.RA-05", "subcategory_text": "Minacce, vulnerabilità, probabilità e impatti sono utilizzati per comprendere il", "req_index": 4, "requirement": "La valutazione del rischio di cui al punto 1 è effettuata considerando almeno le minacce" }, { "entity": "essenziale", "function": "Identificazione", "subcategory": "ID.RA-06", "subcategory_text": "Le risposte al rischio sono scelte, prioritizzate, pianificate, monitorate e", "req_index": 1, "requirement": "È definito, documentato, eseguito e monitorato un piano di trattamento del rischio che" }, { "entity": "essenziale", "function": "Identificazione", "subcategory": "ID.RA-06", "subcategory_text": "Le risposte al rischio sono scelte, prioritizzate, pianificate, monitorate e", "req_index": 2, "requirement": "Qualora per motivate e documentate ragioni normative o tecniche non siano attuati i" }, { "entity": "essenziale", "function": "Identificazione", "subcategory": "ID.RA-06", "subcategory_text": "Le risposte al rischio sono scelte, prioritizzate, pianificate, monitorate e", "req_index": 3, "requirement": "Il piano di cui al punto 1, ivi compresa l’accettazione di eventuali rischi residui, è" }, { "entity": "essenziale", "function": "Identificazione", "subcategory": "ID.RA-08", "subcategory_text": "Sono stabiliti processi per la ricezione, l'analisi e la risposta alle divulgazioni di", "req_index": 1, "requirement": "Sono monitorati almeno i canali di comunicazione del CSIRT Italia, nonché di eventuali" }, { "entity": "essenziale", "function": "Identificazione", "subcategory": "ID.RA-08", "subcategory_text": "Sono stabiliti processi per la ricezione, l'analisi e la risposta alle divulgazioni di", "req_index": 2, "requirement": "Le vulnerabilità, ivi comprese quelle identificate ai sensi della misura ID.RA-01, sono" }, { "entity": "essenziale", "function": "Identificazione", "subcategory": "ID.RA-08", "subcategory_text": "Sono stabiliti processi per la ricezione, l'analisi e la risposta alle divulgazioni di", "req_index": 3, "requirement": "È definito, attuato, aggiornato e documentato un piano di gestione delle vulnerabilità che" }, { "entity": "essenziale", "function": "Identificazione", "subcategory": "ID.RA-08", "subcategory_text": "Sono stabiliti processi per la ricezione, l'analisi e la risposta alle divulgazioni di", "req_index": 4, "requirement": "Il piano di cui al punto 3 è approvato dagli organi di amministrazione e direttivi." }, { "entity": "essenziale", "function": "Identificazione", "subcategory": "ID.RA-08", "subcategory_text": "Sono stabiliti processi per la ricezione, l'analisi e la risposta alle divulgazioni di", "req_index": 5, "requirement": "Ai fini di cui al punto 1, sono monitorati anche i canali dei fornitori del software ritenuto" }, { "entity": "essenziale", "function": "Identificazione", "subcategory": "ID.IM-01", "subcategory_text": "Sono identificati miglioramenti in esito alle valutazioni.", "req_index": 1, "requirement": "In accordo agli esiti del riesame di cui al punto 1 della misura GV.PO-02, è definito," }, { "entity": "essenziale", "function": "Identificazione", "subcategory": "ID.IM-01", "subcategory_text": "Sono identificati miglioramenti in esito alle valutazioni.", "req_index": 2, "requirement": "Gli organi di amministrazione e direttivi sono informati mediante apposite relazioni" }, { "entity": "essenziale", "function": "Identificazione", "subcategory": "ID.IM-01", "subcategory_text": "Sono identificati miglioramenti in esito alle valutazioni.", "req_index": 3, "requirement": "È definito, attuato, aggiornato e documentato un piano per la valutazione dell'efficacia" }, { "entity": "essenziale", "function": "Identificazione", "subcategory": "ID.IM-01", "subcategory_text": "Sono identificati miglioramenti in esito alle valutazioni.", "req_index": 4, "requirement": "Gli organi di amministrazione e direttivi sono informati mediante apposite relazioni" }, { "entity": "essenziale", "function": "Identificazione", "subcategory": "ID.IM-04", "subcategory_text": "I piani di risposta agli incidenti e gli altri piani di cybersecurity che impattano le", "req_index": 1, "requirement": "Per almeno i sistemi informativi e di rete rilevanti è definito, attuato, aggiornato e" }, { "entity": "essenziale", "function": "Identificazione", "subcategory": "ID.IM-04", "subcategory_text": "I piani di risposta agli incidenti e gli altri piani di cybersecurity che impattano le", "req_index": 2, "requirement": "Per almeno i sistemi informativi e di rete rilevanti è definito, attuato, aggiornato e" }, { "entity": "essenziale", "function": "Identificazione", "subcategory": "ID.IM-04", "subcategory_text": "I piani di risposta agli incidenti e gli altri piani di cybersecurity che impattano le", "req_index": 3, "requirement": "Per almeno i sistemi informativi e di rete rilevanti è definito, attuato, aggiornato e" }, { "entity": "essenziale", "function": "Identificazione", "subcategory": "ID.IM-04", "subcategory_text": "I piani di risposta agli incidenti e gli altri piani di cybersecurity che impattano le", "req_index": 4, "requirement": "I piani di cui ai punti 1, 2 e 3 sono approvati dagli organi di amministrazione e direttivi." }, { "entity": "essenziale", "function": "Identificazione", "subcategory": "ID.IM-04", "subcategory_text": "I piani di risposta agli incidenti e gli altri piani di cybersecurity che impattano le", "req_index": 5, "requirement": "I piani di cui ai punti 1, 2 e 3 sono riesaminati e, se opportuno, aggiornati periodicamente" }, { "entity": "essenziale", "function": "Protezione", "subcategory": "PR.AA-01", "subcategory_text": "Le identità e le credenziali degli utenti, dei servizi e dell'hardware autorizzati sono", "req_index": 1, "requirement": "Tutte le utenze, ivi incluse quelle con privilegi amministrativi e quelle utilizzate per" }, { "entity": "essenziale", "function": "Protezione", "subcategory": "PR.AA-01", "subcategory_text": "Le identità e le credenziali degli utenti, dei servizi e dell'hardware autorizzati sono", "req_index": 2, "requirement": "Le credenziali (ad esempio nome utente e password) relative alle utenze sono robuste e" }, { "entity": "essenziale", "function": "Protezione", "subcategory": "PR.AA-01", "subcategory_text": "Le identità e le credenziali degli utenti, dei servizi e dell'hardware autorizzati sono", "req_index": 3, "requirement": "Per almeno i sistemi informativi e di rete rilevanti, sono verificate periodicamente le utenze" }, { "entity": "essenziale", "function": "Protezione", "subcategory": "PR.AA-01", "subcategory_text": "Le identità e le credenziali degli utenti, dei servizi e dell'hardware autorizzati sono", "req_index": 4, "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" }, { "entity": "essenziale", "function": "Protezione", "subcategory": "PR.AA-03", "subcategory_text": "Utenti, servizi e hardware sono autenticati.", "req_index": 1, "requirement": "Le modalità di autenticazione delle utenze per accedere ai sistemi informativi e di rete sono" }, { "entity": "essenziale", "function": "Protezione", "subcategory": "PR.AA-03", "subcategory_text": "Utenti, servizi e hardware sono autenticati.", "req_index": 2, "requirement": "Per almeno i sistemi informativi e di rete rilevanti e in accordo agli esiti della valutazione" }, { "entity": "essenziale", "function": "Protezione", "subcategory": "PR.AA-03", "subcategory_text": "Utenti, servizi e hardware sono autenticati.", "req_index": 3, "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" }, { "entity": "essenziale", "function": "Protezione", "subcategory": "PR.AA-05", "subcategory_text": "I permessi, i diritti e le autorizzazioni di accesso sono definiti in una politica,", "req_index": 1, "requirement": "I permessi sono assegnati alle utenze in accordo ai principi del minimo privilegio e della" }, { "entity": "essenziale", "function": "Protezione", "subcategory": "PR.AA-05", "subcategory_text": "I permessi, i diritti e le autorizzazioni di accesso sono definiti in una politica,", "req_index": 2, "requirement": "È assicurata la completa distinzione tra utenze con e senza privilegi amministrativi degli" }, { "entity": "essenziale", "function": "Protezione", "subcategory": "PR.AA-05", "subcategory_text": "I permessi, i diritti e le autorizzazioni di accesso sono definiti in una politica,", "req_index": 3, "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" }, { "entity": "essenziale", "function": "Protezione", "subcategory": "PR.AA-06", "subcategory_text": "L'accesso fisico agli asset è gestito, monitorato e applicato in misura appropriata", "req_index": 1, "requirement": "Per almeno i sistemi informativi e di rete rilevanti, l’accesso fisico è protetto." }, { "entity": "essenziale", "function": "Protezione", "subcategory": "PR.AA-06", "subcategory_text": "L'accesso fisico agli asset è gestito, monitorato e applicato in misura appropriata", "req_index": 2, "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" }, { "entity": "essenziale", "function": "Protezione", "subcategory": "PR.AT-01", "subcategory_text": "Il personale è sensibilizzato e formato in modo da possedere le conoscenze e le", "req_index": 1, "requirement": "È definito, attuato, aggiornato e documentato un piano di formazione in materia di" }, { "entity": "essenziale", "function": "Protezione", "subcategory": "PR.AT-01", "subcategory_text": "Il personale è sensibilizzato e formato in modo da possedere le conoscenze e le", "req_index": 2, "requirement": "Il piano di formazione di cui al punto 1 è approvato dagli organi di amministrazione e" }, { "entity": "essenziale", "function": "Protezione", "subcategory": "PR.AT-01", "subcategory_text": "Il personale è sensibilizzato e formato in modo da possedere le conoscenze e le", "req_index": 3, "requirement": "È mantenuto un registro aggiornato recante l'elenco dei dipendenti che hanno ricevuto la" }, { "entity": "essenziale", "function": "Protezione", "subcategory": "PR.AT-02", "subcategory_text": ". Gli individui che ricoprono ruoli specializzati sono sensibilizzati e formati in", "req_index": 1, "requirement": "Il piano di cui alla misura PR.AT-01 prevede una formazione dedicata al personale con" }, { "entity": "essenziale", "function": "Protezione", "subcategory": "PR.AT-02", "subcategory_text": ". Gli individui che ricoprono ruoli specializzati sono sensibilizzati e formati in", "req_index": 2, "requirement": "È mantenuto un registro aggiornato recante l'elenco dei dipendenti che hanno ricevuto la" }, { "entity": "essenziale", "function": "Protezione", "subcategory": "PR.DS-01", "subcategory_text": "La riservatezza, l'integrità e la disponibilità dei dati a riposo (data-at-rest) sono", "req_index": 1, "requirement": "Per almeno i sistemi informativi e di rete rilevanti e in accordo agli esiti della valutazione" }, { "entity": "essenziale", "function": "Protezione", "subcategory": "PR.DS-01", "subcategory_text": "La riservatezza, l'integrità e la disponibilità dei dati a riposo (data-at-rest) sono", "req_index": 2, "requirement": "Fatte salve e documentate ragioni normative o tecniche, è disabilitata l'auto esecuzione dei" }, { "entity": "essenziale", "function": "Protezione", "subcategory": "PR.DS-01", "subcategory_text": "La riservatezza, l'integrità e la disponibilità dei dati a riposo (data-at-rest) sono", "req_index": 3, "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" }, { "entity": "essenziale", "function": "Protezione", "subcategory": "PR.DS-02", "subcategory_text": "La riservatezza, l'integrità e la disponibilità dei dati in transito (data-in-transit)", "req_index": 1, "requirement": "Per almeno i sistemi informativi e di rete rilevanti, ivi inclusi quelli di comunicazione" }, { "entity": "essenziale", "function": "Protezione", "subcategory": "PR.DS-02", "subcategory_text": "La riservatezza, l'integrità e la disponibilità dei dati in transito (data-in-transit)", "req_index": 2, "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" }, { "entity": "essenziale", "function": "Protezione", "subcategory": "PR.DS-11", "subcategory_text": "I backup dei dati sono creati, protetti, mantenuti e verificati.", "req_index": 1, "requirement": "In accordo alle esigenze di continuità operativa e di ripristino in caso di disastro individuate" }, { "entity": "essenziale", "function": "Protezione", "subcategory": "PR.DS-11", "subcategory_text": "I backup dei dati sono creati, protetti, mantenuti e verificati.", "req_index": 2, "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" }, { "entity": "essenziale", "function": "Protezione", "subcategory": "PR.DS-11", "subcategory_text": "I backup dei dati sono creati, protetti, mantenuti e verificati.", "req_index": 3, "requirement": "Per almeno i sistemi informativi e di rete rilevanti, è assicurata la riservatezza e l’integrità" }, { "entity": "essenziale", "function": "Protezione", "subcategory": "PR.DS-11", "subcategory_text": "I backup dei dati sono creati, protetti, mantenuti e verificati.", "req_index": 4, "requirement": "Per almeno i sistemi informativi e di rete rilevanti, è verificata periodicamente" }, { "entity": "essenziale", "function": "Protezione", "subcategory": "PR.DS-11", "subcategory_text": "I backup dei dati sono creati, protetti, mantenuti e verificati.", "req_index": 5, "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" }, { "entity": "essenziale", "function": "Protezione", "subcategory": "PR.PS-01", "subcategory_text": "Sono stabilite e applicate pratiche di gestione della configurazione.", "req_index": 1, "requirement": "Per almeno i sistemi informativi e di rete rilevanti, sono definite, e documentate in un" }, { "entity": "essenziale", "function": "Protezione", "subcategory": "PR.PS-01", "subcategory_text": "Sono stabilite e applicate pratiche di gestione della configurazione.", "req_index": 2, "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" }, { "entity": "essenziale", "function": "Protezione", "subcategory": "PR.PS-02", "subcategory_text": "Il software è mantenuto, sostituito e rimosso in base al rischio.", "req_index": 1, "requirement": "Fatte salve motivate e documentate ragioni normative o tecniche, è installato" }, { "entity": "essenziale", "function": "Protezione", "subcategory": "PR.PS-02", "subcategory_text": "Il software è mantenuto, sostituito e rimosso in base al rischio.", "req_index": 2, "requirement": "Fatte salve motivate e documentate ragioni normative o tecniche, sono installati, senza" }, { "entity": "essenziale", "function": "Protezione", "subcategory": "PR.PS-02", "subcategory_text": "Il software è mantenuto, sostituito e rimosso in base al rischio.", "req_index": 3, "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" }, { "entity": "essenziale", "function": "Protezione", "subcategory": "PR.PS-02", "subcategory_text": "Il software è mantenuto, sostituito e rimosso in base al rischio.", "req_index": 4, "requirement": "Fatte salve motivate e documentate ragioni normative o tecniche e in accordo agli esiti" }, { "entity": "essenziale", "function": "Protezione", "subcategory": "PR.PS-02", "subcategory_text": "Il software è mantenuto, sostituito e rimosso in base al rischio.", "req_index": 5, "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" }, { "entity": "essenziale", "function": "Protezione", "subcategory": "PR.PS-03", "subcategory_text": "L'hardware è mantenuto, sostituito e rimosso in base al rischio.", "req_index": 1, "requirement": "Per almeno i sistemi informativi e di rete rilevanti, sono adottate e documentate procedure" }, { "entity": "essenziale", "function": "Protezione", "subcategory": "PR.PS-03", "subcategory_text": "L'hardware è mantenuto, sostituito e rimosso in base al rischio.", "req_index": 2, "requirement": "Per almeno i sistemi informativi e di rete rilevanti, sono mantenuti uno o più registri delle" }, { "entity": "essenziale", "function": "Protezione", "subcategory": "PR.PS-04", "subcategory_text": "I registri di log sono generati e resi disponibili per il monitoraggio continuo.", "req_index": 1, "requirement": "Tutti gli accessi eseguiti da remoto e quelli effettuati con utenze con privilegi" }, { "entity": "essenziale", "function": "Protezione", "subcategory": "PR.PS-04", "subcategory_text": "I registri di log sono generati e resi disponibili per il monitoraggio continuo.", "req_index": 2, "requirement": "Per almeno i sistemi informativi e di rete rilevanti, sono conservati in modo sicuro, e" }, { "entity": "essenziale", "function": "Protezione", "subcategory": "PR.PS-04", "subcategory_text": "I registri di log sono generati e resi disponibili per il monitoraggio continuo.", "req_index": 3, "requirement": "In accordo agli esiti della valutazione rischio di cui alla misura ID.RA-05, sono definite e" }, { "entity": "essenziale", "function": "Protezione", "subcategory": "PR.PS-04", "subcategory_text": "I registri di log sono generati e resi disponibili per il monitoraggio continuo.", "req_index": 4, "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" }, { "entity": "essenziale", "function": "Protezione", "subcategory": "PR.PS-06", "subcategory_text": "Le pratiche di sviluppo sicuro del software sono integrate e le loro prestazioni sono", "req_index": 1, "requirement": "Sono adottate e documentate pratiche di sviluppo sicuro del codice nello sviluppo del" }, { "entity": "essenziale", "function": "Protezione", "subcategory": "PR.IR-01", "subcategory_text": "Le reti e gli ambienti sono protetti dall'accesso logico e dall'uso non autorizzati.", "req_index": 1, "requirement": "Per almeno i sistemi informativi e di rete rilevanti, sono definite e documentate le eventuali" }, { "entity": "essenziale", "function": "Protezione", "subcategory": "PR.IR-01", "subcategory_text": "Le reti e gli ambienti sono protetti dall'accesso logico e dall'uso non autorizzati.", "req_index": 2, "requirement": "È mantenuto un elenco aggiornato dei sistemi informativi e di rete ai quali è possibile" }, { "entity": "essenziale", "function": "Protezione", "subcategory": "PR.IR-01", "subcategory_text": "Le reti e gli ambienti sono protetti dall'accesso logico e dall'uso non autorizzati.", "req_index": 3, "requirement": "Sono presenti, aggiornati, mantenuti e configurati i sistemi perimetrali, quali firewall." }, { "entity": "essenziale", "function": "Protezione", "subcategory": "PR.IR-01", "subcategory_text": "Le reti e gli ambienti sono protetti dall'accesso logico e dall'uso non autorizzati.", "req_index": 4, "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" }, { "entity": "essenziale", "function": "Protezione", "subcategory": "PR.IR-03", "subcategory_text": "Sono implementati meccanismi per soddisfare i requisiti di resilienza in situazioni", "req_index": 1, "requirement": "In accordo agli esiti della valutazione del rischio di cui alla misura ID.RA-05, sono" }, { "entity": "essenziale", "function": "Protezione", "subcategory": "PR.IR-03", "subcategory_text": "Sono implementati meccanismi per soddisfare i requisiti di resilienza in situazioni", "req_index": 2, "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" }, { "entity": "essenziale", "function": "Rilevazione", "subcategory": "DE.CM-01", "subcategory_text": "Le reti e i servizi di rete sono monitorati per individuare eventi potenzialmente", "req_index": 1, "requirement": "Per almeno i sistemi informativi e di rete rilevanti, sono presenti, aggiornati, mantenuti e" }, { "entity": "essenziale", "function": "Rilevazione", "subcategory": "DE.CM-01", "subcategory_text": "Le reti e i servizi di rete sono monitorati per individuare eventi potenzialmente", "req_index": 2, "requirement": "Sono definiti e documentati i livelli di servizio attesi (SL) dei servizi e delle attività del" }, { "entity": "essenziale", "function": "Rilevazione", "subcategory": "DE.CM-01", "subcategory_text": "Le reti e i servizi di rete sono monitorati per individuare eventi potenzialmente", "req_index": 3, "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" }, { "entity": "essenziale", "function": "Rilevazione", "subcategory": "DE.CM-01", "subcategory_text": "Le reti e i servizi di rete sono monitorati per individuare eventi potenzialmente", "req_index": 4, "requirement": "Per almeno i sistemi informativi e di rete rilevanti, sono utilizzati strumenti di analisi e" }, { "entity": "essenziale", "function": "Rilevazione", "subcategory": "DE.CM-01", "subcategory_text": "Le reti e i servizi di rete sono monitorati per individuare eventi potenzialmente", "req_index": 5, "requirement": "Per almeno i sistemi informativi e di rete rilevanti, ai fini di cui al punto 1, sono monitorati" }, { "entity": "essenziale", "function": "Rilevazione", "subcategory": "DE.CM-01", "subcategory_text": "Le reti e i servizi di rete sono monitorati per individuare eventi potenzialmente", "req_index": 6, "requirement": "Per almeno i sistemi informativi e di rete rilevanti, ai fini di cui al punto 1, sono definiti," }, { "entity": "essenziale", "function": "Rilevazione", "subcategory": "DE.CM-01", "subcategory_text": "Le reti e i servizi di rete sono monitorati per individuare eventi potenzialmente", "req_index": 7, "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" }, { "entity": "essenziale", "function": "Rilevazione", "subcategory": "DE.CM-09", "subcategory_text": "L'hardware e il software di elaborazione, gli ambienti di runtime e i loro dati sono", "req_index": 1, "requirement": "Fatte salve motivate e documentate ragioni normative o tecniche, sono presenti, aggiornati," }, { "entity": "essenziale", "function": "Rilevazione", "subcategory": "DE.CM-09", "subcategory_text": "L'hardware e il software di elaborazione, gli ambienti di runtime e i loro dati sono", "req_index": 2, "requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le" }, { "entity": "essenziale", "function": "Risposta", "subcategory": "RS.MA-01", "subcategory_text": "Il piano di risposta agli incidenti è eseguito in coordinamento con le terze parti", "req_index": 1, "requirement": "È definito, attuato, aggiornato e documentato un piano per la gestione degli incidenti di" }, { "entity": "essenziale", "function": "Risposta", "subcategory": "RS.MA-01", "subcategory_text": "Il piano di risposta agli incidenti è eseguito in coordinamento con le terze parti", "req_index": 2, "requirement": "Il piano di cui al punto 1 è approvato dagli organi di amministrazione e direttivi." }, { "entity": "essenziale", "function": "Risposta", "subcategory": "RS.MA-01", "subcategory_text": "Il piano di risposta agli incidenti è eseguito in coordinamento con le terze parti", "req_index": 3, "requirement": "Il piano di cui al punto 1 è riesaminato e, se opportuno, aggiornato periodicamente e" }, { "entity": "essenziale", "function": "Risposta", "subcategory": "RS.CO-02", "subcategory_text": "Gli stakeholder interni ed esterni sono informati degli incidenti.", "req_index": 1, "requirement": "In accordo al piano per la gestione degli incidenti di cui alla misura RS.MA-01, sono" }, { "entity": "essenziale", "function": "Risposta", "subcategory": "RS.CO-02", "subcategory_text": "Gli stakeholder interni ed esterni sono informati degli incidenti.", "req_index": 2, "requirement": "Sono documentate e adottate procedure per informare il pubblico sugli incidenti occorsi," }, { "entity": "essenziale", "function": "Ripristino", "subcategory": "RC.RP-01", "subcategory_text": "La parte del piano di risposta agli incidenti relativa al rispristino viene eseguita", "req_index": 1, "requirement": "Nell'ambito del piano per la gestione degli incidenti di cui alla misura RS.MA-01, sono" }, { "entity": "essenziale", "function": "Ripristino", "subcategory": "RC.CO-03", "subcategory_text": "Le attività di ripristino e i progressi nel ripristino delle capacità operative sono", "req_index": 1, "requirement": "Sono adottate e documentate procedure per comunicare alle parti interne interessate, ivi" } ] }