ea2a291325
Assessment di SECONDO LIVELLO sulla Determinazione ACN 164179/2025 (non le 10 lettere generiche Art.21, gia coperte). Distingue soggetti importanti/essenziali: - IMPORTANTI (All.1): 37 misure, 87 requisiti - ESSENZIALI (All.2): 43 misure, 116 requisiti - application/data/acn_measures.json: dataset canonico estratto dai testi UFFICIALI ACN (Allegati 1+2), testi requisiti INTEGRALI (no troncamenti), flag per-requisito importante/essenziale. Validato 37/87 + 43/116, zero discrepanze vs codici di riferimento. - AcnAssessmentController: catalog/list/create/get/requirements/respond/complete/ report/aiAnalyze. Pre-popola requisiti applicabili per entity_level, scoring per funzione FW (GOVERN/IDENTIFY/PROTECT/DETECT/RESPOND/RECOVER), grounding AI sui 203 requisiti ACN gia in KB. Anti-IDOR, snapshot testo immutabile. - Migrazione 036: acn_assessments + acn_assessment_responses (APPLICATA su host). - Router: acn-gap controllerMap + actionMap. Origine: finding revisore (la Gap Analysis Art.21 non e l'autovalutazione ACN). Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
1225 lines
57 KiB
JSON
1225 lines
57 KiB
JSON
{
|
||
"source": "ACN, Determinazione n. 164179/2025 del 14/04/2025 — Allegati 1 (importanti) e 2 (essenziali)",
|
||
"source_url": "https://www.acn.gov.it/portale/en/nis/modalita-specifiche-base",
|
||
"generated_note": "Dataset canonico estratto dai testi ufficiali ACN (testi requisiti integrali). Flag per-requisito importante/essenziale.",
|
||
"totals": {
|
||
"measures_importante": 37,
|
||
"measures_essenziale": 43,
|
||
"requirements_importante": 87,
|
||
"requirements_essenziale": 116
|
||
},
|
||
"measures": [
|
||
{
|
||
"code": "GV.OC-04",
|
||
"function_code": "GOVERN",
|
||
"function_name": "Governo",
|
||
"category_code": "GV.OC",
|
||
"category_title": "Contesto organizzativo",
|
||
"title": "Gli obiettivi, le capacità e i servizi critici dai quali gli stakeholder dipendono o che si aspettano dall'organizzazione sono compresi e comunicati.",
|
||
"applies_importante": true,
|
||
"applies_essenziale": true,
|
||
"requirements": [
|
||
{
|
||
"index": "1",
|
||
"text": "È mantenuto un elenco aggiornato dei sistemi informativi e di rete rilevanti.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
}
|
||
]
|
||
},
|
||
{
|
||
"code": "GV.PO-01",
|
||
"function_code": "GOVERN",
|
||
"function_name": "Governo",
|
||
"category_code": "GV.PO",
|
||
"category_title": "Politica",
|
||
"title": "La politica per la gestione del rischio di cybersecurity è stabilita in base al contesto organizzativo, alla strategia di cybersecurity e alle priorità, ed è comunicata e applicata.",
|
||
"applies_importante": true,
|
||
"applies_essenziale": true,
|
||
"requirements": [
|
||
{
|
||
"index": "1",
|
||
"text": "Sono adottate e documentate politiche di sicurezza informatica per almeno i seguenti ambiti: a) gestione del rischio; b) ruoli e responsabilità; c) affidabilità delle risorse umane; d) conformità e audit di sicurezza; e) gestione dei rischi per la sicurezza informatica della catena di approvvigionamento; f) gestione degli asset; g) gestione delle vulnerabilità; h) continuità operativa, ripristino in caso di disastro e gestione delle crisi; i) gestione dell'autenticazione, delle identità digitali e del controllo accessi; j) sicurezza fisica; k) formazione del personale e consapevolezza; l) sicurezza dei dati; m) sviluppo, configurazione, manutenzione e dismissione dei sistemi informativi e di rete; n) protezione delle reti e delle comunicazioni; o) monitoraggio degli eventi di sicurezza; p) risposta agli incidenti e ripristino.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "2",
|
||
"text": "Per gli ambiti di cui al punto 1 sono incluse almeno le politiche in relazione ai requisiti indicati nella tabella 1 in appendice al presente allegato.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "3",
|
||
"text": "Le politiche di cui al punto 1 sono approvate dagli organi di amministrazione e direttivi.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
}
|
||
]
|
||
},
|
||
{
|
||
"code": "GV.PO-02",
|
||
"function_code": "GOVERN",
|
||
"function_name": "Governo",
|
||
"category_code": "GV.PO",
|
||
"category_title": "Politica",
|
||
"title": "La politica per la gestione del rischio di cybersecurity è revisionata, aggiornata, comunicata e applicata per riflettere i cambiamenti nei requisiti, nelle minacce, nella tecnologia e nella missione dell'organizzazione.",
|
||
"applies_importante": true,
|
||
"applies_essenziale": true,
|
||
"requirements": [
|
||
{
|
||
"index": "1",
|
||
"text": "Le politiche di cui alla misura GV.PO-01 sono riesaminate e, se opportuno, aggiornate periodicamente e comunque almeno con cadenza annuale, nonché qualora si verifichino evoluzioni del contesto normativo in materia di sicurezza informatica, incidenti significativi, variazioni organizzative o mutamenti dell’esposizione alle minacce e ai relativi rischi.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "2",
|
||
"text": "Ai fini del riesame di cui al punto 1, è verificata almeno la conformità delle politiche di cui alla misura GV.PO-01 alla normativa in materia di sicurezza informatica.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "3",
|
||
"text": "È mantenuto un registro aggiornato contenente gli esiti del riesame di cui al punto 1.",
|
||
"importante": false,
|
||
"essenziale": true
|
||
}
|
||
]
|
||
},
|
||
{
|
||
"code": "GV.RM-03",
|
||
"function_code": "GOVERN",
|
||
"function_name": "Governo",
|
||
"category_code": "GV.RM",
|
||
"category_title": "Strategia di gestione del rischio",
|
||
"title": "Le attività e gli esiti della gestione del rischio di cybersecurity sono parte integrante dei processi di gestione del rischio dell'organizzazione.",
|
||
"applies_importante": true,
|
||
"applies_essenziale": true,
|
||
"requirements": [
|
||
{
|
||
"index": "1",
|
||
"text": "Nell'ambito dei processi di gestione del rischio del soggetto NIS e nel rispetto delle politiche di cui alla misura GV.PO-01, è definito, attuato, aggiornato e documentato un piano di gestione dei rischi per la sicurezza informatica per identificare, analizzare, valutare, trattare e monitorare i rischi.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
}
|
||
]
|
||
},
|
||
{
|
||
"code": "GV.RR-02",
|
||
"function_code": "GOVERN",
|
||
"function_name": "Governo",
|
||
"category_code": "GV.RR",
|
||
"category_title": "Ruoli, responsabilità e correlati poteri",
|
||
"title": "I ruoli, le responsabilità e i correlati poteri relativi alla gestione del rischio di cybersecurity sono stabiliti, comunicati, compresi e applicati.",
|
||
"applies_importante": true,
|
||
"applies_essenziale": true,
|
||
"requirements": [
|
||
{
|
||
"index": "1",
|
||
"text": "È definita, approvata dagli organi di amministrazione e direttivi, e resa nota alle articolazioni competenti del soggetto NIS, l'organizzazione per la sicurezza informatica e ne sono stabiliti ruoli e responsabilità.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "2",
|
||
"text": "È mantenuto un elenco aggiornato del personale dell'organizzazione di cui al punto 1 avente specifici ruoli e responsabilità ed è reso noto alle articolazioni competenti del soggetto NIS.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "3",
|
||
"text": "All’interno dell’organizzazione per la sicurezza informatica di cui al punto 1, sono inclusi il punto di contatto, e almeno un suo sostituto, di cui alla determina adottata ai sensi dell’articolo 7, comma 6 del decreto NIS.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "4",
|
||
"text": "I ruoli e le responsabilità di cui al punto 1 sono riesaminati e, se opportuno, aggiornati periodicamente e comunque almeno ogni due anni, nonché qualora si verifichino incidenti significativi, variazioni organizzative o mutamenti dell’esposizione alle minacce e ai relativi rischi.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
}
|
||
]
|
||
},
|
||
{
|
||
"code": "GV.RR-04",
|
||
"function_code": "GOVERN",
|
||
"function_name": "Governo",
|
||
"category_code": "GV.RR",
|
||
"category_title": "Ruoli, responsabilità e correlati poteri",
|
||
"title": "La cybersecurity è inclusa nelle pratiche delle risorse umane.",
|
||
"applies_importante": true,
|
||
"applies_essenziale": true,
|
||
"requirements": [
|
||
{
|
||
"index": "1",
|
||
"text": "Per almeno i sistemi informativi e di rete rilevanti, il personale autorizzato ad accedervi è individuato previa valutazione dell’esperienza, capacità e affidabilità e deve fornire idonea garanzia del pieno rispetto della normativa in materia di sicurezza informatica.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "2",
|
||
"text": "Gli amministratori di sistema dei sistemi informativi e di rete sono individuati previa valutazione dell’esperienza, capacità e affidabilità e devono fornire idonea garanzia del pieno rispetto della normativa in materia di sicurezza informatica.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "3",
|
||
"text": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 1 e 2.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "4",
|
||
"text": "In accordo agli esiti della valutazione del rischio di cui alla misura ID.RA-05, sono definiti a livello contrattuale gli eventuali obblighi, in materia di sicurezza informatica, che rimangono validi dopo la cessazione o la modifica del rapporto di lavoro dei dipendenti del soggetto NIS (ad esempio prevedendo clausole in materia di riservatezza).",
|
||
"importante": false,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "5",
|
||
"text": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione al punto 4.",
|
||
"importante": false,
|
||
"essenziale": true
|
||
}
|
||
]
|
||
},
|
||
{
|
||
"code": "GV.SC-01",
|
||
"function_code": "GOVERN",
|
||
"function_name": "Governo",
|
||
"category_code": "GV.SC",
|
||
"category_title": "Gestione del rischio di cybersecurity della catena di approvvigionamento",
|
||
"title": "Sono stabiliti e accettati dagli stakeholder dell'organizzazione il programma, la strategia, obiettivi, politiche e processi di gestione del rischio di cybersecurity della catena di approvvigionamento.",
|
||
"applies_importante": true,
|
||
"applies_essenziale": true,
|
||
"requirements": [
|
||
{
|
||
"index": "1",
|
||
"text": "In merito all’affidamento di forniture con potenziali impatti sulla sicurezza dei sistemi informativi e di rete, anche mediante ricorso agli strumenti delle centrali di committenza di cui all’allegato I.1, articolo 1, comma 1, lettera i), del decreto legislativo 31 marzo 2023, n. 36, sono previsti: a) il coinvolgimento dell’organizzazione per la sicurezza informatica di cui alla misura GV.RR-02 nella definizione ed esecuzione dei processi di approvvigionamento a partire dalla fase di identificazione e progettazione della fornitura; b) in accordo agli esiti della valutazione del rischio associato alla fornitura di cui alla misura GV.SC-07, la definizione di requisiti di sicurezza sulla fornitura coerenti con le misure di sicurezza applicate dal soggetto NIS ai sistemi informativi e di rete.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "2",
|
||
"text": "Per i requisiti di sicurezza di cui al punto 1, lettera b), sono considerati, ove applicabile, almeno i seguenti ambiti: a) affidabilità dei fornitori, tenendo conto almeno delle loro eventuali vulnerabilità specifiche, della qualità complessiva dei loro prodotti e delle pratiche di sicurezza informatica, specie con riguardo all’oggetto della fornitura, della capacità di garantire l’approvvigionamento, l’assistenza e la manutenzione nel tempo, nonché, ove applicabile, dei risultati delle valutazioni coordinate dei rischi per la sicurezza delle catene di approvvigionamento critiche effettuate dal Gruppo di cooperazione NIS; b) ruoli e responsabilità nell'ambito della fornitura; c) affidabilità delle risorse umane; d) conformità e audit di sicurezza; e) gestione delle vulnerabilità; f) continuità operativa e ripristino in caso di disastro; g) gestione dell'autenticazione, delle identità digitali e del controllo accessi; h) sicurezza fisica; i) formazione del personale e consapevolezza; j) sicurezza dei dati; k) protezione delle reti e delle comunicazioni; l) monitoraggio degli eventi di sicurezza ivi inclusi gli accessi e le attività effettuate; m) gestione e segnalazione degli incidenti; n) sviluppo sicuro del codice e sicurezza fin dalla progettazione e per impostazione predefinita; o) manutenzione ordinaria ed evolutiva ivi inclusi gli aggiornamenti di sicurezza; p) dismissione della fornitura ivi compresa la restituzione e la cancellazione dei dati; q) subappalto, subfornitura o relativi potenziali requisiti di sicurezza lungo la catena di fornitura.",
|
||
"importante": false,
|
||
"essenziale": true
|
||
}
|
||
]
|
||
},
|
||
{
|
||
"code": "GV.SC-02",
|
||
"function_code": "GOVERN",
|
||
"function_name": "Governo",
|
||
"category_code": "GV.SC",
|
||
"category_title": "Gestione del rischio di cybersecurity della catena di approvvigionamento",
|
||
"title": "I ruoli e le responsabilità in materia di cybersecurity per fornitori, clienti e partner sono stabiliti, comunicati e coordinati internamente ed esternamente.",
|
||
"applies_importante": true,
|
||
"applies_essenziale": true,
|
||
"requirements": [
|
||
{
|
||
"index": "1",
|
||
"text": "Nell'ambito dell'organizzazione per la sicurezza informatica di cui alla misura GV.RR-02, sono definiti e resi noti alle articolazioni competenti del soggetto NIS gli eventuali ruoli e responsabilità in materia di sicurezza informatica assegnati al personale delle terze parti.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "2",
|
||
"text": "Il personale di cui al punto 1 avente specifici ruoli e responsabilità è incluso nell’elenco di cui al punto 2 della misura GV.RR-02.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
}
|
||
]
|
||
},
|
||
{
|
||
"code": "GV.SC-04",
|
||
"function_code": "GOVERN",
|
||
"function_name": "Governo",
|
||
"category_code": "GV.SC",
|
||
"category_title": "Gestione del rischio di cybersecurity della catena di approvvigionamento",
|
||
"title": "I fornitori sono noti e prioritizzati in base alla criticità.",
|
||
"applies_importante": true,
|
||
"applies_essenziale": true,
|
||
"requirements": [
|
||
{
|
||
"index": "1",
|
||
"text": "È mantenuto un inventario aggiornato dei fornitori, le cui forniture hanno un potenziale impatto sulla sicurezza dei sistemi informativi e di rete, che comprende almeno: a) gli estremi di contatto del referente della fornitura; b) la tipologia di fornitura.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
}
|
||
]
|
||
},
|
||
{
|
||
"code": "GV.SC-05",
|
||
"function_code": "GOVERN",
|
||
"function_name": "Governo",
|
||
"category_code": "GV.SC",
|
||
"category_title": "Gestione del rischio di cybersecurity della catena di approvvigionamento",
|
||
"title": "I requisiti per affrontare i rischi di cybersecurity nella catena di approvvigionamento sono stabiliti, prioritizzati e integrati nei contratti e in altri tipi di accordi con i fornitori e altre terze parti rilevanti.",
|
||
"applies_importante": true,
|
||
"applies_essenziale": true,
|
||
"requirements": [
|
||
{
|
||
"index": "1",
|
||
"text": "Fatte salve motivate e documentate ragioni normative o tecniche, i requisiti di sicurezza di cui alla misura GV.SC-01, punto 1, lettera b) sono inseriti nelle richieste di offerta, bandi di gara, contratti, accordi e convenzioni relativi alle forniture con potenziali impatto sulla sicurezza dei sistemi informativi e di rete.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
}
|
||
]
|
||
},
|
||
{
|
||
"code": "GV.SC-07",
|
||
"function_code": "GOVERN",
|
||
"function_name": "Governo",
|
||
"category_code": "GV.SC",
|
||
"category_title": "Gestione del rischio di cybersecurity della catena di approvvigionamento",
|
||
"title": "I rischi posti da un fornitore, dai suoi prodotti e servizi e da altre terze parti sono compresi, registrati, prioritizzati, valutati, trattati e monitorati nel corso della relazione.",
|
||
"applies_importante": true,
|
||
"applies_essenziale": true,
|
||
"requirements": [
|
||
{
|
||
"index": "1",
|
||
"text": "Nell’ambito della valutazione del rischio di cui alla misura ID.RA-05, è valutato e documentato il rischio associato alle forniture. A tal fine, sono valutati almeno: a) il livello di accesso del fornitore ai sistemi informativi e di rete del soggetto NIS; b) l'accesso del fornitore alla proprietà intellettuale e ai dati anche sulla base della loro criticità; c) l'impatto di una grave interruzione della fornitura; d) i tempi e i costi di ripristino in caso di indisponibilità dei servizi; e) i ruoli e le responsabilità del fornitore nel governo dei sistemi informativi e di rete.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "2",
|
||
"text": "È verificata periodicamente e documentata la conformità delle forniture ai requisiti di cui alla misura GV.SC-05.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
}
|
||
]
|
||
},
|
||
{
|
||
"code": "ID.AM-01",
|
||
"function_code": "IDENTIFY",
|
||
"function_name": "Identificazione",
|
||
"category_code": "ID.AM",
|
||
"category_title": "Gestione degli asset",
|
||
"title": "Sono mantenuti gli inventari dell'hardware gestito dall'organizzazione.",
|
||
"applies_importante": true,
|
||
"applies_essenziale": true,
|
||
"requirements": [
|
||
{
|
||
"index": "1",
|
||
"text": "È mantenuto un inventario aggiornato degli apparati fisici (hardware) che compongono i sistemi informativi e di rete, ivi inclusi i dispositivi IT, IoT, OT e mobili, approvati da attori interni al soggetto NIS.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
}
|
||
]
|
||
},
|
||
{
|
||
"code": "ID.AM-02",
|
||
"function_code": "IDENTIFY",
|
||
"function_name": "Identificazione",
|
||
"category_code": "ID.AM",
|
||
"category_title": "Gestione degli asset",
|
||
"title": "Sono mantenuti gli inventari del software, dei servizi e dei sistemi gestiti dall'organizzazione.",
|
||
"applies_importante": true,
|
||
"applies_essenziale": true,
|
||
"requirements": [
|
||
{
|
||
"index": "1",
|
||
"text": "È mantenuto un inventario aggiornato dei servizi, dei sistemi e delle applicazioni software che compongono i sistemi informativi e di rete, ivi incluse le applicazioni commerciali, open-source e custom, anche accessibili tramite API, approvati da attori interni al soggetto NIS.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
}
|
||
]
|
||
},
|
||
{
|
||
"code": "ID.AM-03",
|
||
"function_code": "IDENTIFY",
|
||
"function_name": "Identificazione",
|
||
"category_code": "ID.AM",
|
||
"category_title": "Gestione degli asset",
|
||
"title": "Sono mantenute le rappresentazioni delle comunicazioni di rete, dei flussi di dati di rete interni ed esterni, autorizzati dall'organizzazione.",
|
||
"applies_importante": false,
|
||
"applies_essenziale": true,
|
||
"requirements": [
|
||
{
|
||
"index": "1",
|
||
"text": "È mantenuto un inventario aggiornato dei flussi di rete tra i sistemi informativi e di rete del soggetto NIS e l’esterno, approvati da attori interni al soggetto NIS.",
|
||
"importante": false,
|
||
"essenziale": true
|
||
}
|
||
]
|
||
},
|
||
{
|
||
"code": "ID.AM-04",
|
||
"function_code": "IDENTIFY",
|
||
"function_name": "Identificazione",
|
||
"category_code": "ID.AM",
|
||
"category_title": "Gestione degli asset",
|
||
"title": "Sono mantenuti gli inventari dei servizi erogati dai fornitori.",
|
||
"applies_importante": true,
|
||
"applies_essenziale": true,
|
||
"requirements": [
|
||
{
|
||
"index": "1",
|
||
"text": "È mantenuto un inventario aggiornato dei servizi informatici erogati dai fornitori, ivi inclusi i servizi cloud.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
}
|
||
]
|
||
},
|
||
{
|
||
"code": "ID.IM-01",
|
||
"function_code": "IDENTIFY",
|
||
"function_name": "Identificazione",
|
||
"category_code": "ID.IM",
|
||
"category_title": "Miglioramento",
|
||
"title": "Sono identificati miglioramenti in esito alle valutazioni.",
|
||
"applies_importante": true,
|
||
"applies_essenziale": true,
|
||
"requirements": [
|
||
{
|
||
"index": "1",
|
||
"text": "In accordo agli esiti del riesame di cui al punto 1 della misura GV.PO-02, è definito, attuato, documentato e approvato dagli organi di amministrazioni e direttivi un piano di adeguamento che identifichi gli interventi necessari ad assicurare l’attuazione delle politiche di sicurezza.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "2",
|
||
"text": "Gli organi di amministrazione e direttivi sono informati mediante apposite relazioni periodiche sugli esiti dei piani di cui al punto 1.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "3",
|
||
"text": "È definito, attuato, aggiornato e documentato un piano per la valutazione dell'efficacia delle misure di gestione del rischio per la sicurezza informatica che comprenda l'indicazione delle misure da valutare e i relativi metodi di valutazione.",
|
||
"importante": false,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "4",
|
||
"text": "Gli organi di amministrazione e direttivi sono informati mediante apposite relazioni periodiche sul piano di valutazione dell’efficacia di cui al punto 3.",
|
||
"importante": false,
|
||
"essenziale": true
|
||
}
|
||
]
|
||
},
|
||
{
|
||
"code": "ID.IM-04",
|
||
"function_code": "IDENTIFY",
|
||
"function_name": "Identificazione",
|
||
"category_code": "ID.IM",
|
||
"category_title": "Miglioramento",
|
||
"title": "I piani di risposta agli incidenti e gli altri piani di cybersecurity che impattano le operazioni sono stabiliti, comunicati, mantenuti e migliorati.",
|
||
"applies_importante": true,
|
||
"applies_essenziale": true,
|
||
"requirements": [
|
||
{
|
||
"index": "1",
|
||
"text": "Per almeno i sistemi informativi e di rete rilevanti è definito, attuato, aggiornato e documentato un piano di continuità operativa, che comprende almeno: a) le finalità e l'ambito di applicazione; b) i ruoli e le responsabilità; c) i contatti principali e i canali di comunicazione (interni ed esterni); d) le condizioni per l'attivazione e la disattivazione del piano; e) le risorse necessarie, ivi compresi i backup e le ridondanze.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "2",
|
||
"text": "Per almeno i sistemi informativi e di rete rilevanti è definito, attuato, aggiornato e documentato un piano di ripristino in caso di disastro, che comprende almeno: a) le finalità e l'ambito di applicazione; b) i ruoli e le responsabilità; c) i contatti principali e i canali di comunicazione (interni ed esterni); d) le condizioni per l'attivazione e la disattivazione del piano; e) le risorse necessarie, ivi compresi i backup e le ridondanze; f) l'ordine di ripristino delle operazioni; g) le procedure di ripristino per operazioni specifiche, compresi gli obiettivi di ripristino.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "3",
|
||
"text": "Per almeno i sistemi informativi e di rete rilevanti è definito, attuato, aggiornato e documentato un piano per la gestione delle crisi che comprende almeno: a) i ruoli e responsabilità del personale e, se opportuno, dei fornitori, specificando l'assegnazione dei ruoli in situazioni di crisi, comprese le procedure specifiche da seguire; b) le modalità di comunicazione tra i soggetti e le autorità competenti.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "4",
|
||
"text": "I piani di cui ai punti 1, 2 e 3 sono approvati dagli organi di amministrazione e direttivi.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "5",
|
||
"text": "I piani di cui ai punti 1, 2 e 3 sono riesaminati e, se opportuno, aggiornati periodicamente e comunque almeno ogni due anni, nonché qualora si verifichino incidenti significativi o mutamenti dell’esposizione alle minacce e ai relativi rischi.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
}
|
||
]
|
||
},
|
||
{
|
||
"code": "ID.RA-01",
|
||
"function_code": "IDENTIFY",
|
||
"function_name": "Identificazione",
|
||
"category_code": "ID.RA",
|
||
"category_title": "Valutazione del rischio (Risk Assessment)",
|
||
"title": "Le vulnerabilità negli asset sono identificate, confermate e registrate.",
|
||
"applies_importante": true,
|
||
"applies_essenziale": true,
|
||
"requirements": [
|
||
{
|
||
"index": "1",
|
||
"text": "Le informazioni di cui al punto 1 della misura ID.RA-08 sono utilizzate per identificare eventuali vulnerabilità sui i sistemi informativi e di rete.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "2",
|
||
"text": "Per almeno i sistemi informativi e di rete rilevanti, in accordo al piano di gestione delle vulnerabilità di cui alla misura ID.RA-08, fatte salve motivate e documentate ragioni normative o tecniche, sono eseguite periodicamente e comunque prima della loro messa in esercizio, attività per l’identificazione delle vulnerabilità che comprendano almeno vulnerability assessment e/o penetration test.",
|
||
"importante": false,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "3",
|
||
"text": "Le attività di cui al punto 2 sono documentate tramite apposite relazioni che contengono almeno: a) la descrizione generale delle attività effettuate e gli esiti delle stesse; b) la descrizione delle vulnerabilità rilevate e il relativo livello di impatto sulla sicurezza.",
|
||
"importante": false,
|
||
"essenziale": true
|
||
}
|
||
]
|
||
},
|
||
{
|
||
"code": "ID.RA-05",
|
||
"function_code": "IDENTIFY",
|
||
"function_name": "Identificazione",
|
||
"category_code": "ID.RA",
|
||
"category_title": "Valutazione del rischio (Risk Assessment)",
|
||
"title": "Minacce, vulnerabilità, probabilità e impatti sono utilizzati per comprendere il rischio inerente e per informare la prioritizzazione della risposta al rischio.",
|
||
"applies_importante": true,
|
||
"applies_essenziale": true,
|
||
"requirements": [
|
||
{
|
||
"index": "1",
|
||
"text": "In accordo al piano di gestione dei rischi per la sicurezza informatica di cui alla misura GV.RM-03, è eseguita e documentata la valutazione del rischio posto alla sicurezza dei sistemi informativi e di rete, anche con riferimento alle eventuali dipendenze da fornitori e partner terzi, che comprende almeno: a) l’identificazione del rischio; b) l’analisi del rischio; c) la ponderazione del rischio.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "2",
|
||
"text": "La valutazione del rischio di cui al punto 1 è eseguita a intervalli pianificati e comunque almeno ogni due anni, nonché qualora si verifichino incidenti significativi, variazioni organizzative o mutamenti dell’esposizione alle minacce e ai relativi rischi.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "3",
|
||
"text": "La valutazione del rischio cui al punto 1 è approvata dagli organi di amministrazione e direttivi.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "4",
|
||
"text": "La valutazione del rischio di cui al punto 1 è effettuata considerando almeno le minacce interne ed esterne, le vulnerabilità non risolte e gli impatti conseguenti ad eventuali incidenti.",
|
||
"importante": false,
|
||
"essenziale": true
|
||
}
|
||
]
|
||
},
|
||
{
|
||
"code": "ID.RA-06",
|
||
"function_code": "IDENTIFY",
|
||
"function_name": "Identificazione",
|
||
"category_code": "ID.RA",
|
||
"category_title": "Valutazione del rischio (Risk Assessment)",
|
||
"title": "Le risposte al rischio sono scelte, prioritizzate, pianificate, monitorate e comunicate.",
|
||
"applies_importante": true,
|
||
"applies_essenziale": true,
|
||
"requirements": [
|
||
{
|
||
"index": "1",
|
||
"text": "È definito, documentato, eseguito e monitorato un piano di trattamento del rischio che comprende almeno: a) le opzioni di trattamento e le misure da attuare in merito al trattamento di ciascun rischio individuato e le relative priorità; b) le articolazioni competenti per l'attuazione delle misure di trattamento dei rischi e le tempistiche per tale attuazione; c) la descrizione e le ragioni che giustificano l'accettazione di eventuali rischi residui al trattamento.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "2",
|
||
"text": "Qualora per motivate e documentate ragioni normative o tecniche non siano attuati i requisiti di cui alla tabella 2 in appendice al presente allegato, sono adottate, ove applicabile, misure di mitigazione compensative e il piano di cui al punto 1 include la descrizione di tali misure e dell’eventuale rischio residuo.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "3",
|
||
"text": "Il piano di cui al punto 1, ivi compresa l’accettazione di eventuali rischi residui, è approvato dagli organi di amministrazione e direttivi.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
}
|
||
]
|
||
},
|
||
{
|
||
"code": "ID.RA-08",
|
||
"function_code": "IDENTIFY",
|
||
"function_name": "Identificazione",
|
||
"category_code": "ID.RA",
|
||
"category_title": "Valutazione del rischio (Risk Assessment)",
|
||
"title": "Sono stabiliti processi per la ricezione, l'analisi e la risposta alle divulgazioni di vulnerabilità.",
|
||
"applies_importante": true,
|
||
"applies_essenziale": true,
|
||
"requirements": [
|
||
{
|
||
"index": "1",
|
||
"text": "Sono monitorati almeno i canali di comunicazione del CSIRT Italia, nonché di eventuali CERT e Information Sharing & Analysis Centre (ISAC) settoriali, al fine di acquisire, analizzare e rispondere alle informazioni sulle vulnerabilità.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "2",
|
||
"text": "Le vulnerabilità, ivi comprese quelle identificate ai sensi della misura ID.RA-01, sono prontamente risolte attraverso aggiornamenti di sicurezza o misure di mitigazione, ove disponibili, ovvero accettando e documentando il rischio in accordo al piano di trattamento del rischio informatico di cui alla misura ID.RA-06.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "3",
|
||
"text": "È definito, attuato, aggiornato e documentato un piano di gestione delle vulnerabilità che comprende almeno: a) le modalità per l'identificazione delle vulnerabilità di cui alla misura ID.RA-01 e la relativa pianificazione delle attività; b) le modalità per monitorare, ricevere, analizzare e rispondere alle informazioni sulle vulnerabilità; c) le procedure, i ruoli, le responsabilità per lo svolgimento delle attività di cui alle lettere a) e b).",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "4",
|
||
"text": "Il piano di cui al punto 3 è approvato dagli organi di amministrazione e direttivi.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "5",
|
||
"text": "Ai fini di cui al punto 1, sono monitorati anche i canali dei fornitori del software ritenuto critico.",
|
||
"importante": false,
|
||
"essenziale": true
|
||
}
|
||
]
|
||
},
|
||
{
|
||
"code": "PR.AA-01",
|
||
"function_code": "PROTECT",
|
||
"function_name": "Protezione",
|
||
"category_code": "PR.AA",
|
||
"category_title": "Gestione delle identità, autenticazione e controllo degli accessi",
|
||
"title": "Le identità e le credenziali degli utenti, dei servizi e dell'hardware autorizzati sono gestite dall'organizzazione.",
|
||
"applies_importante": true,
|
||
"applies_essenziale": true,
|
||
"requirements": [
|
||
{
|
||
"index": "1",
|
||
"text": "Tutte le utenze, ivi incluse quelle con privilegi amministrativi e quelle utilizzate per l’accesso remoto, sono censite, approvate da attori interni al soggetto NIS e, fatte salve motivate e documentate ragioni tecniche, in accordo agli esiti della valutazione del rischio di cui alla misura ID.RA-05, sono individuali per gli utenti.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "2",
|
||
"text": "Le credenziali (ad esempio nome utente e password) relative alle utenze sono robuste e aggiornate in accordo agli esiti della valutazione del rischio di cui alla misura ID.RA-05.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "3",
|
||
"text": "Per almeno i sistemi informativi e di rete rilevanti, sono verificate periodicamente le utenze e le relative autorizzazioni, aggiornandole/revocandole in caso di variazioni (ad esempio trasferimento o cessazione di personale).",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "4",
|
||
"text": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 1, 2 e 3.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
}
|
||
]
|
||
},
|
||
{
|
||
"code": "PR.AA-03",
|
||
"function_code": "PROTECT",
|
||
"function_name": "Protezione",
|
||
"category_code": "PR.AA",
|
||
"category_title": "Gestione delle identità, autenticazione e controllo degli accessi",
|
||
"title": "Utenti, servizi e hardware sono autenticati.",
|
||
"applies_importante": true,
|
||
"applies_essenziale": true,
|
||
"requirements": [
|
||
{
|
||
"index": "1",
|
||
"text": "Le modalità di autenticazione delle utenze per accedere ai sistemi informativi e di rete sono commisurate al rischio. A tal fine sono valutati almeno i rischi connessi: a) ai privilegi delle utenze; b) alla criticità dei sistemi informativi e di rete; c) alla tipologia di operazioni che le utenze possono effettuare sui sistemi informativi e di rete.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "2",
|
||
"text": "Per almeno i sistemi informativi e di rete rilevanti e in accordo agli esiti della valutazione del rischio di cui alla misura ID.RA-05, sono impiegate modalità di autenticazione multifattore.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "3",
|
||
"text": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 1 e 2.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
}
|
||
]
|
||
},
|
||
{
|
||
"code": "PR.AA-05",
|
||
"function_code": "PROTECT",
|
||
"function_name": "Protezione",
|
||
"category_code": "PR.AA",
|
||
"category_title": "Gestione delle identità, autenticazione e controllo degli accessi",
|
||
"title": "I permessi, i diritti e le autorizzazioni di accesso sono definiti in una politica, gestiti, applicati e rivisti e incorporano i principi del minimo privilegio e della separazione dei compiti.",
|
||
"applies_importante": true,
|
||
"applies_essenziale": true,
|
||
"requirements": [
|
||
{
|
||
"index": "1",
|
||
"text": "I permessi sono assegnati alle utenze in accordo ai principi del minimo privilegio e della separazione delle funzioni, tenuto anche conto della necessità di conoscere (need to know).",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "2",
|
||
"text": "È assicurata la completa distinzione tra utenze con e senza privilegi amministrativi degli amministratori di sistema alle quali debbono corrispondere credenziali diverse.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "3",
|
||
"text": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 1e 2.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
}
|
||
]
|
||
},
|
||
{
|
||
"code": "PR.AA-06",
|
||
"function_code": "PROTECT",
|
||
"function_name": "Protezione",
|
||
"category_code": "PR.AA",
|
||
"category_title": "Gestione delle identità, autenticazione e controllo degli accessi",
|
||
"title": "L'accesso fisico agli asset è gestito, monitorato e applicato in misura appropriata al rischio.",
|
||
"applies_importante": true,
|
||
"applies_essenziale": true,
|
||
"requirements": [
|
||
{
|
||
"index": "1",
|
||
"text": "Per almeno i sistemi informativi e di rete rilevanti, l’accesso fisico è protetto.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "2",
|
||
"text": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione al punto 1.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
}
|
||
]
|
||
},
|
||
{
|
||
"code": "PR.AT-01",
|
||
"function_code": "PROTECT",
|
||
"function_name": "Protezione",
|
||
"category_code": "PR.AT",
|
||
"category_title": "Consapevolezza e formazione",
|
||
"title": "Il personale è sensibilizzato e formato in modo da possedere le conoscenze e le competenze per svolgere compiti di carattere generale tenendo conto dei rischi di cybersecurity.",
|
||
"applies_importante": true,
|
||
"applies_essenziale": true,
|
||
"requirements": [
|
||
{
|
||
"index": "1",
|
||
"text": "È definito, attuato, aggiornato e documentato un piano di formazione in materia di sicurezza informatica del personale, ivi inclusi gli organi di amministrazione e direttivi, che comprende almeno: a) la pianificazione delle attività di formazione previste con l’indicazione dei contenuti della formazione fornita; b) le eventuali modalità di verifica dell'acquisizione dei contenuti.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "2",
|
||
"text": "Il piano di formazione di cui al punto 1 è approvato dagli organi di amministrazione e direttivi.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "3",
|
||
"text": "È mantenuto un registro aggiornato recante l'elenco dei dipendenti che hanno ricevuto la formazione di cui al punto 1, i relativi contenuti e l'elenco delle verifiche svolte laddove previste.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
}
|
||
]
|
||
},
|
||
{
|
||
"code": "PR.AT-02",
|
||
"function_code": "PROTECT",
|
||
"function_name": "Protezione",
|
||
"category_code": "PR.AT",
|
||
"category_title": "Consapevolezza e formazione",
|
||
"title": "Gli individui che ricoprono ruoli specializzati sono sensibilizzati e formati in modo da possedere le conoscenze e le competenze per svolgere i pertinenti compiti tenendo conto dei rischi di cybersecurity.",
|
||
"applies_importante": false,
|
||
"applies_essenziale": true,
|
||
"requirements": [
|
||
{
|
||
"index": "1",
|
||
"text": "Il piano di cui alla misura PR.AT-01 prevede una formazione dedicata al personale con ruoli specializzati, ossia che richiedono una serie di capacità e competenze attinenti alla sicurezza, ivi compresi gli amministratori di sistema, che comprende almeno: a) le istruzioni relative alla configurazione e al funzionamento sicuri dei sistemi informativi e di rete; b) le informazioni sulle minacce informatiche note; c) le istruzioni sul comportamento da tenere in caso di eventi rilevanti per la sicurezza.",
|
||
"importante": false,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "2",
|
||
"text": "È mantenuto un registro aggiornato recante l'elenco dei dipendenti che hanno ricevuto la formazione di cui al punto 1, i relativi contenuti e l'elenco delle verifiche svolte laddove previste.",
|
||
"importante": false,
|
||
"essenziale": true
|
||
}
|
||
]
|
||
},
|
||
{
|
||
"code": "PR.DS-01",
|
||
"function_code": "PROTECT",
|
||
"function_name": "Protezione",
|
||
"category_code": "PR.DS",
|
||
"category_title": "Sicurezza dei dati",
|
||
"title": "La riservatezza, l'integrità e la disponibilità dei dati a riposo (data-at-rest) sono protette.",
|
||
"applies_importante": true,
|
||
"applies_essenziale": true,
|
||
"requirements": [
|
||
{
|
||
"index": "1",
|
||
"text": "Per almeno i sistemi informativi e di rete rilevanti e in accordo agli esiti della valutazione del rischio di cui alla misura ID.RA-05, fatte salve motivate e documentate ragioni normative o tecniche, i dati memorizzati sui dispositivi portatili, ivi inclusi laptop, smartphone e tablet, e sui supporti removibili, sono cifrati con protocolli e algoritmi allo stato dell’arte e considerati sicuri.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "2",
|
||
"text": "Fatte salve e documentate ragioni normative o tecniche, è disabilitata l'auto esecuzione dei supporti rimovibili ed è effettuata la loro scansione al fine di rilevare codici malevoli prima che siano utilizzati nei sistemi informativi e di rete.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "3",
|
||
"text": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 1 e 2.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
}
|
||
]
|
||
},
|
||
{
|
||
"code": "PR.DS-02",
|
||
"function_code": "PROTECT",
|
||
"function_name": "Protezione",
|
||
"category_code": "PR.DS",
|
||
"category_title": "Sicurezza dei dati",
|
||
"title": "La riservatezza, l'integrità e la disponibilità dei dati in transito (data-in-transit) sono protette.",
|
||
"applies_importante": true,
|
||
"applies_essenziale": true,
|
||
"requirements": [
|
||
{
|
||
"index": "1",
|
||
"text": "Per almeno i sistemi informativi e di rete rilevanti, ivi inclusi quelli di comunicazione vocale, video e testuale, e in accordo agli esiti della valutazione del rischio di cui alla misura ID.RA-05 fatte salve motivate e documentate ragioni normative o tecniche, sono utilizzati, per la trasmissione dei dati da e verso l’esterno del soggetto NIS, protocolli e algoritmi di cifratura allo stato dell’arte e considerati sicuri.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "2",
|
||
"text": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione al punto 1.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
}
|
||
]
|
||
},
|
||
{
|
||
"code": "PR.DS-11",
|
||
"function_code": "PROTECT",
|
||
"function_name": "Protezione",
|
||
"category_code": "PR.DS",
|
||
"category_title": "Sicurezza dei dati",
|
||
"title": "I backup dei dati sono creati, protetti, mantenuti e verificati.",
|
||
"applies_importante": true,
|
||
"applies_essenziale": true,
|
||
"requirements": [
|
||
{
|
||
"index": "1",
|
||
"text": "In accordo alle esigenze di continuità operativa e di ripristino in caso di disastro individuate nei piani di cui alla misura ID.IM-04, sono effettuati periodicamente i backup dei dati e delle configurazioni e, per almeno i sistemi informativi e di rete rilevanti, sono anche conservate copie di backup offline.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "2",
|
||
"text": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione al punto 1.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "3",
|
||
"text": "Per almeno i sistemi informativi e di rete rilevanti, è assicurata la riservatezza e l’integrità delle informazioni contenute nei backup mediante adeguata protezione fisica dei supporti ovvero mediante cifratura.",
|
||
"importante": false,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "4",
|
||
"text": "Per almeno i sistemi informativi e di rete rilevanti, è verificata periodicamente l'utilizzabilità dei backup effettuati mediante test di ripristino.",
|
||
"importante": false,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "5",
|
||
"text": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 3 e 4.",
|
||
"importante": false,
|
||
"essenziale": true
|
||
}
|
||
]
|
||
},
|
||
{
|
||
"code": "PR.IR-01",
|
||
"function_code": "PROTECT",
|
||
"function_name": "Protezione",
|
||
"category_code": "PR.IR",
|
||
"category_title": "Resilienza dell'infrastruttura tecnologica",
|
||
"title": "Le reti e gli ambienti sono protetti dall'accesso logico e dall'uso non autorizzati.",
|
||
"applies_importante": true,
|
||
"applies_essenziale": true,
|
||
"requirements": [
|
||
{
|
||
"index": "1",
|
||
"text": "Per almeno i sistemi informativi e di rete rilevanti, sono definite e documentate le eventuali attività consentite da remoto e implementate adeguate misure di sicurezza per l’accesso.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "2",
|
||
"text": "È mantenuto un elenco aggiornato dei sistemi informativi e di rete ai quali è possibile accedere da remoto con la descrizione delle relative modalità di accesso.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "3",
|
||
"text": "Sono presenti, aggiornati, mantenuti e configurati i sistemi perimetrali, quali firewall.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "4",
|
||
"text": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 1, 2 e 3.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
}
|
||
]
|
||
},
|
||
{
|
||
"code": "PR.IR-03",
|
||
"function_code": "PROTECT",
|
||
"function_name": "Protezione",
|
||
"category_code": "PR.IR",
|
||
"category_title": "Resilienza dell'infrastruttura tecnologica",
|
||
"title": "Sono implementati meccanismi per soddisfare i requisiti di resilienza in situazioni normali e avverse.",
|
||
"applies_importante": false,
|
||
"applies_essenziale": true,
|
||
"requirements": [
|
||
{
|
||
"index": "1",
|
||
"text": "In accordo agli esiti della valutazione del rischio di cui alla misura ID.RA-05, sono utilizzati sistemi di comunicazione di emergenza protetti.",
|
||
"importante": false,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "2",
|
||
"text": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione al punto 1.",
|
||
"importante": false,
|
||
"essenziale": true
|
||
}
|
||
]
|
||
},
|
||
{
|
||
"code": "PR.PS-01",
|
||
"function_code": "PROTECT",
|
||
"function_name": "Protezione",
|
||
"category_code": "PR.PS",
|
||
"category_title": "Sicurezza delle piattaforme",
|
||
"title": "Sono stabilite e applicate pratiche di gestione della configurazione.",
|
||
"applies_importante": false,
|
||
"applies_essenziale": true,
|
||
"requirements": [
|
||
{
|
||
"index": "1",
|
||
"text": "Per almeno i sistemi informativi e di rete rilevanti, sono definite, e documentate in un elenco aggiornato, le loro configurazioni di riferimento sicure (hardened).",
|
||
"importante": false,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "2",
|
||
"text": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione al punto 1.",
|
||
"importante": false,
|
||
"essenziale": true
|
||
}
|
||
]
|
||
},
|
||
{
|
||
"code": "PR.PS-02",
|
||
"function_code": "PROTECT",
|
||
"function_name": "Protezione",
|
||
"category_code": "PR.PS",
|
||
"category_title": "Sicurezza delle piattaforme",
|
||
"title": "Il software è mantenuto, sostituito e rimosso in base al rischio.",
|
||
"applies_importante": true,
|
||
"applies_essenziale": true,
|
||
"requirements": [
|
||
{
|
||
"index": "1",
|
||
"text": "Fatte salve motivate e documentate ragioni normative o tecniche, è installato esclusivamente software, ivi compresi i sistemi operativi, per il quale è garantita la disponibilità di aggiornamenti di sicurezza.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "2",
|
||
"text": "Fatte salve motivate e documentate ragioni normative o tecniche, sono installati, senza ingiustificato ritardo, gli ultimi aggiornamenti di sicurezza rilasciati dal produttore in coerenza con il piano di gestione delle vulnerabilità di cui alla misura ID.RA-08.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "3",
|
||
"text": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 1e 2.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "4",
|
||
"text": "Fatte salve motivate e documentate ragioni normative o tecniche e in accordo agli esiti della valutazione del rischio di cui alla misura ID.RA-05, l’aggiornamento del software ritenuto critico è verificato in ambiente di test prima dell’effettivo impiego in ambiente operativo.",
|
||
"importante": false,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "5",
|
||
"text": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione al punto 4.",
|
||
"importante": false,
|
||
"essenziale": true
|
||
}
|
||
]
|
||
},
|
||
{
|
||
"code": "PR.PS-03",
|
||
"function_code": "PROTECT",
|
||
"function_name": "Protezione",
|
||
"category_code": "PR.PS",
|
||
"category_title": "Sicurezza delle piattaforme",
|
||
"title": "L'hardware è mantenuto, sostituito e rimosso in base al rischio.",
|
||
"applies_importante": false,
|
||
"applies_essenziale": true,
|
||
"requirements": [
|
||
{
|
||
"index": "1",
|
||
"text": "Per almeno i sistemi informativi e di rete rilevanti, sono adottate e documentate procedure per il trasferimento fisico e la dismissione di dispositivi atti alla memorizzazione di dati in modo sicuro.",
|
||
"importante": false,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "2",
|
||
"text": "Per almeno i sistemi informativi e di rete rilevanti, sono mantenuti uno o più registri delle manutenzioni effettuate sull'hardware.",
|
||
"importante": false,
|
||
"essenziale": true
|
||
}
|
||
]
|
||
},
|
||
{
|
||
"code": "PR.PS-04",
|
||
"function_code": "PROTECT",
|
||
"function_name": "Protezione",
|
||
"category_code": "PR.PS",
|
||
"category_title": "Sicurezza delle piattaforme",
|
||
"title": "I registri di log sono generati e resi disponibili per il monitoraggio continuo.",
|
||
"applies_importante": true,
|
||
"applies_essenziale": true,
|
||
"requirements": [
|
||
{
|
||
"index": "1",
|
||
"text": "Tutti gli accessi eseguiti da remoto e quelli effettuati con utenze con privilegi amministrativi sono registrati.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "2",
|
||
"text": "Per almeno i sistemi informativi e di rete rilevanti, sono conservati in modo sicuro, e possibilmente centralizzato, almeno i log necessari ai fini del monitoraggio degli eventi di sicurezza, ivi compresi quelli relativi agli accessi di cui al punto 1.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "3",
|
||
"text": "In accordo agli esiti della valutazione rischio di cui alla misura ID.RA-05, sono definite e documentate le tempistiche di conservazione dei log di cui al punto 2.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "4",
|
||
"text": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 1 e 2.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
}
|
||
]
|
||
},
|
||
{
|
||
"code": "PR.PS-06",
|
||
"function_code": "PROTECT",
|
||
"function_name": "Protezione",
|
||
"category_code": "PR.PS",
|
||
"category_title": "Sicurezza delle piattaforme",
|
||
"title": "Le pratiche di sviluppo sicuro del software sono integrate e le loro prestazioni sono monitorate durante l'intero ciclo di vita del software.",
|
||
"applies_importante": true,
|
||
"applies_essenziale": true,
|
||
"requirements": [
|
||
{
|
||
"index": "1",
|
||
"text": "Sono adottate e documentate pratiche di sviluppo sicuro del codice nello sviluppo del software.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
}
|
||
]
|
||
},
|
||
{
|
||
"code": "DE.CM-01",
|
||
"function_code": "DETECT",
|
||
"function_name": "Rilevamento",
|
||
"category_code": "DE.CM",
|
||
"category_title": "Monitoraggio continuo",
|
||
"title": "Le reti e i servizi di rete sono monitorati per individuare eventi potenzialmente avversi.",
|
||
"applies_importante": true,
|
||
"applies_essenziale": true,
|
||
"requirements": [
|
||
{
|
||
"index": "1",
|
||
"text": "Per almeno i sistemi informativi e di rete rilevanti, sono presenti, aggiornati, mantenuti e configurati in modo adeguato strumenti tecnici per rilevare tempestivamente gli incidenti significativi.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "2",
|
||
"text": "Sono definiti e documentati i livelli di servizio attesi (SL) dei servizi e delle attività del soggetto NIS anche ai fini di rilevare tempestivamente gli incidenti significativi.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "3",
|
||
"text": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 1 e 2.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "4",
|
||
"text": "Per almeno i sistemi informativi e di rete rilevanti, sono utilizzati strumenti di analisi e filtraggio sul flusso di traffico in ingresso (ivi inclusa la posta elettronica).",
|
||
"importante": false,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "5",
|
||
"text": "Per almeno i sistemi informativi e di rete rilevanti, ai fini di cui al punto 1, sono monitorati gli accessi da remoto, le attività dei sistemi perimetrali (ad esempio router e firewall), gli eventi amministrativi di rilievo, nonché gli accessi eseguiti o falliti alle risorse di rete, alle postazioni terminali e agli applicativi al fine di rilevare gli eventi di sicurezza informatica.",
|
||
"importante": false,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "6",
|
||
"text": "Per almeno i sistemi informativi e di rete rilevanti, ai fini di cui al punto 1, sono definiti, monitorati e documentati parametri quali-quantitativi per rilevare gli accessi non autorizzati o con abuso dei privilegi concessi.",
|
||
"importante": false,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "7",
|
||
"text": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 4, 5 e 6.",
|
||
"importante": false,
|
||
"essenziale": true
|
||
}
|
||
]
|
||
},
|
||
{
|
||
"code": "DE.CM-09",
|
||
"function_code": "DETECT",
|
||
"function_name": "Rilevamento",
|
||
"category_code": "DE.CM",
|
||
"category_title": "Monitoraggio continuo",
|
||
"title": "L'hardware e il software di elaborazione, gli ambienti di runtime e i loro dati sono monitorati per individuare eventi potenzialmente avversi.",
|
||
"applies_importante": true,
|
||
"applies_essenziale": true,
|
||
"requirements": [
|
||
{
|
||
"index": "1",
|
||
"text": "Fatte salve motivate e documentate ragioni normative o tecniche, sono presenti, aggiornati, mantenuti e configurati in modo adeguato, sistemi di protezione delle postazioni terminali per il rilevamento del codice malevolo.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "2",
|
||
"text": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione al punto 1.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
}
|
||
]
|
||
},
|
||
{
|
||
"code": "RS.CO-02",
|
||
"function_code": "RESPOND",
|
||
"function_name": "Risposta",
|
||
"category_code": "RS.CO",
|
||
"category_title": "Segnalazione e comunicazione della risposta agli incidenti",
|
||
"title": "Gli stakeholder interni ed esterni sono informati degli incidenti.",
|
||
"applies_importante": true,
|
||
"applies_essenziale": true,
|
||
"requirements": [
|
||
{
|
||
"index": "1",
|
||
"text": "In accordo al piano per la gestione degli incidenti di cui alla misura RS.MA-01, sono documentate e adottate procedure per comunicare senza ingiustificato ritardo, se ritenuto opportuno e qualora possibile, sentito il CSIRT Italia, ovvero qualora intimato dall’Agenzia per la cybersicurezza nazionale ai sensi dell’articolo 37, comma 3, lettere g) e h), del decreto NIS: a) ai destinatari dei loro servizi, gli incidenti significativi che possono ripercuotersi negativamente sulla fornitura di tali servizi; b) ai destinatari dei servizi che sono potenzialmente interessati da una minaccia informatica significativa, le misure o azioni correttive o di mitigazione che tali destinatari possono adottare in risposta a tale minaccia e la natura di tale minaccia.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "2",
|
||
"text": "Sono documentate e adottate procedure per informare il pubblico sugli incidenti occorsi, qualora intimato dall’Agenzia per la cybersicurezza nazionale ai sensi dell’art. 37, comma 3, lettera i) del decreto NIS.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
}
|
||
]
|
||
},
|
||
{
|
||
"code": "RS.MA-01",
|
||
"function_code": "RESPOND",
|
||
"function_name": "Risposta",
|
||
"category_code": "RS.MA",
|
||
"category_title": "Gestione degli incidenti",
|
||
"title": "Il piano di risposta agli incidenti è eseguito in coordinamento con le terze parti interessate una volta dichiarato un incidente.",
|
||
"applies_importante": true,
|
||
"applies_essenziale": true,
|
||
"requirements": [
|
||
{
|
||
"index": "1",
|
||
"text": "È definito, attuato, aggiornato e documentato un piano per la gestione degli incidenti di sicurezza informatica e la notifica al CSIRT Italia, in accordo a quanto previsto dall’articolo 25 del decreto NIS, che comprende almeno: a) le fasi e le procedure di gestione e notifica degli incidenti con l’indicazione dei relativi ruoli e delle responsabilità; b) le procedure per la predisposizione e la trasmissione delle relazioni di cui all’articolo 25, comma 5, lettere c), d) ed e) del decreto NIS; c) le informazioni di contatto per la segnalazione degli incidenti; d) le modalità di comunicazione interna, anche con riguardo al coinvolgimento degli organi di amministrazione e direttivi, ed esterna; e) la reportistica da utilizzare per la documentazione dell’incidente.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "2",
|
||
"text": "Il piano di cui al punto 1 è approvato dagli organi di amministrazione e direttivi.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
},
|
||
{
|
||
"index": "3",
|
||
"text": "Il piano di cui al punto 1 è riesaminato e, se opportuno, aggiornato periodicamente e comunque almeno ogni due anni, nonché qualora si verifichino incidenti significativi, integrando le relative lezioni apprese, o mutamenti dell’esposizione alle minacce e ai relativi rischi.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
}
|
||
]
|
||
},
|
||
{
|
||
"code": "RC.CO-03",
|
||
"function_code": "RECOVER",
|
||
"function_name": "Ripristino",
|
||
"category_code": "RC.CO",
|
||
"category_title": "Comunicazione sul ripristino dagli incidenti",
|
||
"title": "Le attività di ripristino e i progressi nel ripristino delle capacità operative sono comunicati agli stakeholder interni ed esterni designati.",
|
||
"applies_importante": false,
|
||
"applies_essenziale": true,
|
||
"requirements": [
|
||
{
|
||
"index": "1",
|
||
"text": "Sono adottate e documentate procedure per comunicare alle parti interne interessate, ivi incluse le articolazioni competenti del soggetto NIS, le attività di ripristino a seguito di un incidente.",
|
||
"importante": false,
|
||
"essenziale": true
|
||
}
|
||
]
|
||
},
|
||
{
|
||
"code": "RC.RP-01",
|
||
"function_code": "RECOVER",
|
||
"function_name": "Ripristino",
|
||
"category_code": "RC.RP",
|
||
"category_title": "Esecuzione del piano di ripristino dagli incidenti",
|
||
"title": "La parte del piano di risposta agli incidenti relativa al rispristino viene eseguita una volta avviata dal processo di risposta agli incidenti.",
|
||
"applies_importante": true,
|
||
"applies_essenziale": true,
|
||
"requirements": [
|
||
{
|
||
"index": "1",
|
||
"text": "Nell'ambito del piano per la gestione degli incidenti di cui alla misura RS.MA-01, sono adottate e documentate procedure per il ripristino con riguardo almeno al ripristino del normale funzionamento dei sistemi informativi e di rete coinvolti da incidenti di sicurezza informatica, ivi compresi quelli di cui all’articolo 25 del decreto NIS.",
|
||
"importante": true,
|
||
"essenziale": true
|
||
}
|
||
]
|
||
}
|
||
]
|
||
} |