d6924a30c1
#1 CRITICO aiAnalyze: askWithRag ritorna ['answer','sources','rag_used'], non una stringa. Ora estrae 'answer' (ai_summary) e salva 'sources' in ai_recommendations. Prima salvava il JSON intero in ai_summary. #2 ALTO corpus RAG: acn_requirements.json aveva 188/203 testi TRONCATI alla prima riga PDF (es. GV.PO-01#1: 84 char invece di 838). Rigenerato dai testi INTEGRALI di acn_measures.json (87+116, zero troncamenti). Ri-ingest Qdrant. #3 MEDIO catalog(): org non classificata dava entity_level=null + warning PHP $totals[null] + TypeError frontend. Ora 422 ENTITY_LEVEL_REQUIRED come create(). #4 MEDIO guida cap-5 GV.RR-04: "figure chiave dell'organigramma" era errato e auto-contraddittorio -> "personale autorizzato + amministratori di sistema, valutazione esperienza/capacita/affidabilita" (allineato testo ACN). #5 BASSI: openAcn try/catch (no unhandled rejection su Riprendi); badge importante/essenziale IT/EN; overall_score=null (non 0.0) se tutti N/A. Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
1630 lines
105 KiB
JSON
1630 lines
105 KiB
JSON
{
|
||
"importante": [
|
||
{
|
||
"entity": "importante",
|
||
"function": "Rilevazione",
|
||
"subcategory": "DE.CM-01",
|
||
"subcategory_text": "Le reti e i servizi di rete sono monitorati per individuare eventi potenzialmente avversi.",
|
||
"req_index": 1,
|
||
"requirement": "Per almeno i sistemi informativi e di rete rilevanti, sono presenti, aggiornati, mantenuti e configurati in modo adeguato strumenti tecnici per rilevare tempestivamente gli incidenti significativi."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Rilevazione",
|
||
"subcategory": "DE.CM-01",
|
||
"subcategory_text": "Le reti e i servizi di rete sono monitorati per individuare eventi potenzialmente avversi.",
|
||
"req_index": 2,
|
||
"requirement": "Sono definiti e documentati i livelli di servizio attesi (SL) dei servizi e delle attività del soggetto NIS anche ai fini di rilevare tempestivamente gli incidenti significativi."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Rilevazione",
|
||
"subcategory": "DE.CM-01",
|
||
"subcategory_text": "Le reti e i servizi di rete sono monitorati per individuare eventi potenzialmente avversi.",
|
||
"req_index": 3,
|
||
"requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 1 e 2."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Rilevazione",
|
||
"subcategory": "DE.CM-09",
|
||
"subcategory_text": "L'hardware e il software di elaborazione, gli ambienti di runtime e i loro dati sono monitorati per individuare eventi potenzialmente avversi.",
|
||
"req_index": 1,
|
||
"requirement": "Fatte salve motivate e documentate ragioni normative o tecniche, sono presenti, aggiornati, mantenuti e configurati in modo adeguato, sistemi di protezione delle postazioni terminali per il rilevamento del codice malevolo."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Rilevazione",
|
||
"subcategory": "DE.CM-09",
|
||
"subcategory_text": "L'hardware e il software di elaborazione, gli ambienti di runtime e i loro dati sono monitorati per individuare eventi potenzialmente avversi.",
|
||
"req_index": 2,
|
||
"requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione al punto 1."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Governance",
|
||
"subcategory": "GV.OC-04",
|
||
"subcategory_text": "Gli obiettivi, le capacità e i servizi critici dai quali gli stakeholder dipendono o che si aspettano dall'organizzazione sono compresi e comunicati.",
|
||
"req_index": 1,
|
||
"requirement": "È mantenuto un elenco aggiornato dei sistemi informativi e di rete rilevanti."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Governance",
|
||
"subcategory": "GV.PO-01",
|
||
"subcategory_text": "La politica per la gestione del rischio di cybersecurity è stabilita in base al contesto organizzativo, alla strategia di cybersecurity e alle priorità, ed è comunicata e applicata.",
|
||
"req_index": 1,
|
||
"requirement": "Sono adottate e documentate politiche di sicurezza informatica per almeno i seguenti ambiti: a) gestione del rischio; b) ruoli e responsabilità; c) affidabilità delle risorse umane; d) conformità e audit di sicurezza; e) gestione dei rischi per la sicurezza informatica della catena di approvvigionamento; f) gestione degli asset; g) gestione delle vulnerabilità; h) continuità operativa, ripristino in caso di disastro e gestione delle crisi; i) gestione dell'autenticazione, delle identità digitali e del controllo accessi; j) sicurezza fisica; k) formazione del personale e consapevolezza; l) sicurezza dei dati; m) sviluppo, configurazione, manutenzione e dismissione dei sistemi informativi e di rete; n) protezione delle reti e delle comunicazioni; o) monitoraggio degli eventi di sicurezza; p) risposta agli incidenti e ripristino."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Governance",
|
||
"subcategory": "GV.PO-01",
|
||
"subcategory_text": "La politica per la gestione del rischio di cybersecurity è stabilita in base al contesto organizzativo, alla strategia di cybersecurity e alle priorità, ed è comunicata e applicata.",
|
||
"req_index": 2,
|
||
"requirement": "Per gli ambiti di cui al punto 1 sono incluse almeno le politiche in relazione ai requisiti indicati nella tabella 1 in appendice al presente allegato."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Governance",
|
||
"subcategory": "GV.PO-01",
|
||
"subcategory_text": "La politica per la gestione del rischio di cybersecurity è stabilita in base al contesto organizzativo, alla strategia di cybersecurity e alle priorità, ed è comunicata e applicata.",
|
||
"req_index": 3,
|
||
"requirement": "Le politiche di cui al punto 1 sono approvate dagli organi di amministrazione e direttivi."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Governance",
|
||
"subcategory": "GV.PO-02",
|
||
"subcategory_text": "La politica per la gestione del rischio di cybersecurity è revisionata, aggiornata, comunicata e applicata per riflettere i cambiamenti nei requisiti, nelle minacce, nella tecnologia e nella missione dell'organizzazione.",
|
||
"req_index": 1,
|
||
"requirement": "Le politiche di cui alla misura GV.PO-01 sono riesaminate e, se opportuno, aggiornate periodicamente e comunque almeno con cadenza annuale, nonché qualora si verifichino evoluzioni del contesto normativo in materia di sicurezza informatica, incidenti significativi, variazioni organizzative o mutamenti dell’esposizione alle minacce e ai relativi rischi."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Governance",
|
||
"subcategory": "GV.PO-02",
|
||
"subcategory_text": "La politica per la gestione del rischio di cybersecurity è revisionata, aggiornata, comunicata e applicata per riflettere i cambiamenti nei requisiti, nelle minacce, nella tecnologia e nella missione dell'organizzazione.",
|
||
"req_index": 2,
|
||
"requirement": "Ai fini del riesame di cui al punto 1, è verificata almeno la conformità delle politiche di cui alla misura GV.PO-01 alla normativa in materia di sicurezza informatica."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Governance",
|
||
"subcategory": "GV.RM-03",
|
||
"subcategory_text": "Le attività e gli esiti della gestione del rischio di cybersecurity sono parte integrante dei processi di gestione del rischio dell'organizzazione.",
|
||
"req_index": 1,
|
||
"requirement": "Nell'ambito dei processi di gestione del rischio del soggetto NIS e nel rispetto delle politiche di cui alla misura GV.PO-01, è definito, attuato, aggiornato e documentato un piano di gestione dei rischi per la sicurezza informatica per identificare, analizzare, valutare, trattare e monitorare i rischi."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Governance",
|
||
"subcategory": "GV.RR-02",
|
||
"subcategory_text": "I ruoli, le responsabilità e i correlati poteri relativi alla gestione del rischio di cybersecurity sono stabiliti, comunicati, compresi e applicati.",
|
||
"req_index": 1,
|
||
"requirement": "È definita, approvata dagli organi di amministrazione e direttivi, e resa nota alle articolazioni competenti del soggetto NIS, l'organizzazione per la sicurezza informatica e ne sono stabiliti ruoli e responsabilità."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Governance",
|
||
"subcategory": "GV.RR-02",
|
||
"subcategory_text": "I ruoli, le responsabilità e i correlati poteri relativi alla gestione del rischio di cybersecurity sono stabiliti, comunicati, compresi e applicati.",
|
||
"req_index": 2,
|
||
"requirement": "È mantenuto un elenco aggiornato del personale dell'organizzazione di cui al punto 1 avente specifici ruoli e responsabilità ed è reso noto alle articolazioni competenti del soggetto NIS."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Governance",
|
||
"subcategory": "GV.RR-02",
|
||
"subcategory_text": "I ruoli, le responsabilità e i correlati poteri relativi alla gestione del rischio di cybersecurity sono stabiliti, comunicati, compresi e applicati.",
|
||
"req_index": 3,
|
||
"requirement": "All’interno dell’organizzazione per la sicurezza informatica di cui al punto 1, sono inclusi il punto di contatto, e almeno un suo sostituto, di cui alla determina adottata ai sensi dell’articolo 7, comma 6 del decreto NIS."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Governance",
|
||
"subcategory": "GV.RR-02",
|
||
"subcategory_text": "I ruoli, le responsabilità e i correlati poteri relativi alla gestione del rischio di cybersecurity sono stabiliti, comunicati, compresi e applicati.",
|
||
"req_index": 4,
|
||
"requirement": "I ruoli e le responsabilità di cui al punto 1 sono riesaminati e, se opportuno, aggiornati periodicamente e comunque almeno ogni due anni, nonché qualora si verifichino incidenti significativi, variazioni organizzative o mutamenti dell’esposizione alle minacce e ai relativi rischi."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Governance",
|
||
"subcategory": "GV.RR-04",
|
||
"subcategory_text": "La cybersecurity è inclusa nelle pratiche delle risorse umane.",
|
||
"req_index": 1,
|
||
"requirement": "Per almeno i sistemi informativi e di rete rilevanti, il personale autorizzato ad accedervi è individuato previa valutazione dell’esperienza, capacità e affidabilità e deve fornire idonea garanzia del pieno rispetto della normativa in materia di sicurezza informatica."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Governance",
|
||
"subcategory": "GV.RR-04",
|
||
"subcategory_text": "La cybersecurity è inclusa nelle pratiche delle risorse umane.",
|
||
"req_index": 2,
|
||
"requirement": "Gli amministratori di sistema dei sistemi informativi e di rete sono individuati previa valutazione dell’esperienza, capacità e affidabilità e devono fornire idonea garanzia del pieno rispetto della normativa in materia di sicurezza informatica."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Governance",
|
||
"subcategory": "GV.RR-04",
|
||
"subcategory_text": "La cybersecurity è inclusa nelle pratiche delle risorse umane.",
|
||
"req_index": 3,
|
||
"requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 1 e 2."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Governance",
|
||
"subcategory": "GV.SC-01",
|
||
"subcategory_text": "Sono stabiliti e accettati dagli stakeholder dell'organizzazione il programma, la strategia, obiettivi, politiche e processi di gestione del rischio di cybersecurity della catena di approvvigionamento.",
|
||
"req_index": 1,
|
||
"requirement": "In merito all’affidamento di forniture con potenziali impatti sulla sicurezza dei sistemi informativi e di rete, anche mediante ricorso agli strumenti delle centrali di committenza di cui all’allegato I.1, articolo 1, comma 1, lettera i), del decreto legislativo 31 marzo 2023, n. 36, sono previsti: a) il coinvolgimento dell’organizzazione per la sicurezza informatica di cui alla misura GV.RR-02 nella definizione ed esecuzione dei processi di approvvigionamento a partire dalla fase di identificazione e progettazione della fornitura; b) in accordo agli esiti della valutazione del rischio associato alla fornitura di cui alla misura GV.SC-07, la definizione di requisiti di sicurezza sulla fornitura coerenti con le misure di sicurezza applicate dal soggetto NIS ai sistemi informativi e di rete."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Governance",
|
||
"subcategory": "GV.SC-02",
|
||
"subcategory_text": "I ruoli e le responsabilità in materia di cybersecurity per fornitori, clienti e partner sono stabiliti, comunicati e coordinati internamente ed esternamente.",
|
||
"req_index": 1,
|
||
"requirement": "Nell'ambito dell'organizzazione per la sicurezza informatica di cui alla misura GV.RR-02, sono definiti e resi noti alle articolazioni competenti del soggetto NIS gli eventuali ruoli e responsabilità in materia di sicurezza informatica assegnati al personale delle terze parti."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Governance",
|
||
"subcategory": "GV.SC-02",
|
||
"subcategory_text": "I ruoli e le responsabilità in materia di cybersecurity per fornitori, clienti e partner sono stabiliti, comunicati e coordinati internamente ed esternamente.",
|
||
"req_index": 2,
|
||
"requirement": "Il personale di cui al punto 1 avente specifici ruoli e responsabilità è incluso nell’elenco di cui al punto 2 della misura GV.RR-02."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Governance",
|
||
"subcategory": "GV.SC-04",
|
||
"subcategory_text": "I fornitori sono noti e prioritizzati in base alla criticità.",
|
||
"req_index": 1,
|
||
"requirement": "È mantenuto un inventario aggiornato dei fornitori, le cui forniture hanno un potenziale impatto sulla sicurezza dei sistemi informativi e di rete, che comprende almeno: a) gli estremi di contatto del referente della fornitura; b) la tipologia di fornitura."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Governance",
|
||
"subcategory": "GV.SC-05",
|
||
"subcategory_text": "I requisiti per affrontare i rischi di cybersecurity nella catena di approvvigionamento sono stabiliti, prioritizzati e integrati nei contratti e in altri tipi di accordi con i fornitori e altre terze parti rilevanti.",
|
||
"req_index": 1,
|
||
"requirement": "Fatte salve motivate e documentate ragioni normative o tecniche, i requisiti di sicurezza di cui alla misura GV.SC-01, punto 1, lettera b) sono inseriti nelle richieste di offerta, bandi di gara, contratti, accordi e convenzioni relativi alle forniture con potenziali impatto sulla sicurezza dei sistemi informativi e di rete."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Governance",
|
||
"subcategory": "GV.SC-07",
|
||
"subcategory_text": "I rischi posti da un fornitore, dai suoi prodotti e servizi e da altre terze parti sono compresi, registrati, prioritizzati, valutati, trattati e monitorati nel corso della relazione.",
|
||
"req_index": 1,
|
||
"requirement": "Nell’ambito della valutazione del rischio di cui alla misura ID.RA-05, è valutato e documentato il rischio associato alle forniture. A tal fine, sono valutati almeno: a) il livello di accesso del fornitore ai sistemi informativi e di rete del soggetto NIS; b) l'accesso del fornitore alla proprietà intellettuale e ai dati anche sulla base della loro criticità; c) l'impatto di una grave interruzione della fornitura; d) i tempi e i costi di ripristino in caso di indisponibilità dei servizi; e) i ruoli e le responsabilità del fornitore nel governo dei sistemi informativi e di rete."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Governance",
|
||
"subcategory": "GV.SC-07",
|
||
"subcategory_text": "I rischi posti da un fornitore, dai suoi prodotti e servizi e da altre terze parti sono compresi, registrati, prioritizzati, valutati, trattati e monitorati nel corso della relazione.",
|
||
"req_index": 2,
|
||
"requirement": "È verificata periodicamente e documentata la conformità delle forniture ai requisiti di cui alla misura GV.SC-05."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Identificazione",
|
||
"subcategory": "ID.AM-01",
|
||
"subcategory_text": "Sono mantenuti gli inventari dell'hardware gestito dall'organizzazione.",
|
||
"req_index": 1,
|
||
"requirement": "È mantenuto un inventario aggiornato degli apparati fisici (hardware) che compongono i sistemi informativi e di rete, ivi inclusi i dispositivi IT, IoT, OT e mobili, approvati da attori interni al soggetto NIS."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Identificazione",
|
||
"subcategory": "ID.AM-02",
|
||
"subcategory_text": "Sono mantenuti gli inventari del software, dei servizi e dei sistemi gestiti dall'organizzazione.",
|
||
"req_index": 1,
|
||
"requirement": "È mantenuto un inventario aggiornato dei servizi, dei sistemi e delle applicazioni software che compongono i sistemi informativi e di rete, ivi incluse le applicazioni commerciali, open-source e custom, anche accessibili tramite API, approvati da attori interni al soggetto NIS."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Identificazione",
|
||
"subcategory": "ID.AM-04",
|
||
"subcategory_text": "Sono mantenuti gli inventari dei servizi erogati dai fornitori.",
|
||
"req_index": 1,
|
||
"requirement": "È mantenuto un inventario aggiornato dei servizi informatici erogati dai fornitori, ivi inclusi i servizi cloud."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Identificazione",
|
||
"subcategory": "ID.IM-01",
|
||
"subcategory_text": "Sono identificati miglioramenti in esito alle valutazioni.",
|
||
"req_index": 1,
|
||
"requirement": "In accordo agli esiti del riesame di cui al punto 1 della misura GV.PO-02, è definito, attuato, documentato e approvato dagli organi di amministrazioni e direttivi un piano di adeguamento che identifichi gli interventi necessari ad assicurare l’attuazione delle politiche di sicurezza."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Identificazione",
|
||
"subcategory": "ID.IM-01",
|
||
"subcategory_text": "Sono identificati miglioramenti in esito alle valutazioni.",
|
||
"req_index": 2,
|
||
"requirement": "Gli organi di amministrazione e direttivi sono informati mediante apposite relazioni periodiche sugli esiti dei piani di cui al punto 1."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Identificazione",
|
||
"subcategory": "ID.IM-04",
|
||
"subcategory_text": "I piani di risposta agli incidenti e gli altri piani di cybersecurity che impattano le operazioni sono stabiliti, comunicati, mantenuti e migliorati.",
|
||
"req_index": 1,
|
||
"requirement": "Per almeno i sistemi informativi e di rete rilevanti è definito, attuato, aggiornato e documentato un piano di continuità operativa, che comprende almeno: a) le finalità e l'ambito di applicazione; b) i ruoli e le responsabilità; c) i contatti principali e i canali di comunicazione (interni ed esterni); d) le condizioni per l'attivazione e la disattivazione del piano; e) le risorse necessarie, ivi compresi i backup e le ridondanze."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Identificazione",
|
||
"subcategory": "ID.IM-04",
|
||
"subcategory_text": "I piani di risposta agli incidenti e gli altri piani di cybersecurity che impattano le operazioni sono stabiliti, comunicati, mantenuti e migliorati.",
|
||
"req_index": 2,
|
||
"requirement": "Per almeno i sistemi informativi e di rete rilevanti è definito, attuato, aggiornato e documentato un piano di ripristino in caso di disastro, che comprende almeno: a) le finalità e l'ambito di applicazione; b) i ruoli e le responsabilità; c) i contatti principali e i canali di comunicazione (interni ed esterni); d) le condizioni per l'attivazione e la disattivazione del piano; e) le risorse necessarie, ivi compresi i backup e le ridondanze; f) l'ordine di ripristino delle operazioni; g) le procedure di ripristino per operazioni specifiche, compresi gli obiettivi di ripristino."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Identificazione",
|
||
"subcategory": "ID.IM-04",
|
||
"subcategory_text": "I piani di risposta agli incidenti e gli altri piani di cybersecurity che impattano le operazioni sono stabiliti, comunicati, mantenuti e migliorati.",
|
||
"req_index": 3,
|
||
"requirement": "Per almeno i sistemi informativi e di rete rilevanti è definito, attuato, aggiornato e documentato un piano per la gestione delle crisi che comprende almeno: a) i ruoli e responsabilità del personale e, se opportuno, dei fornitori, specificando l'assegnazione dei ruoli in situazioni di crisi, comprese le procedure specifiche da seguire; b) le modalità di comunicazione tra i soggetti e le autorità competenti."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Identificazione",
|
||
"subcategory": "ID.IM-04",
|
||
"subcategory_text": "I piani di risposta agli incidenti e gli altri piani di cybersecurity che impattano le operazioni sono stabiliti, comunicati, mantenuti e migliorati.",
|
||
"req_index": 4,
|
||
"requirement": "I piani di cui ai punti 1, 2 e 3 sono approvati dagli organi di amministrazione e direttivi."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Identificazione",
|
||
"subcategory": "ID.IM-04",
|
||
"subcategory_text": "I piani di risposta agli incidenti e gli altri piani di cybersecurity che impattano le operazioni sono stabiliti, comunicati, mantenuti e migliorati.",
|
||
"req_index": 5,
|
||
"requirement": "I piani di cui ai punti 1, 2 e 3 sono riesaminati e, se opportuno, aggiornati periodicamente e comunque almeno ogni due anni, nonché qualora si verifichino incidenti significativi o mutamenti dell’esposizione alle minacce e ai relativi rischi."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Identificazione",
|
||
"subcategory": "ID.RA-01",
|
||
"subcategory_text": "Le vulnerabilità negli asset sono identificate, confermate e registrate.",
|
||
"req_index": 1,
|
||
"requirement": "Le informazioni di cui al punto 1 della misura ID.RA-08 sono utilizzate per identificare eventuali vulnerabilità sui i sistemi informativi e di rete."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Identificazione",
|
||
"subcategory": "ID.RA-05",
|
||
"subcategory_text": "Minacce, vulnerabilità, probabilità e impatti sono utilizzati per comprendere il rischio inerente e per informare la prioritizzazione della risposta al rischio.",
|
||
"req_index": 1,
|
||
"requirement": "In accordo al piano di gestione dei rischi per la sicurezza informatica di cui alla misura GV.RM-03, è eseguita e documentata la valutazione del rischio posto alla sicurezza dei sistemi informativi e di rete, anche con riferimento alle eventuali dipendenze da fornitori e partner terzi, che comprende almeno: a) l’identificazione del rischio; b) l’analisi del rischio; c) la ponderazione del rischio."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Identificazione",
|
||
"subcategory": "ID.RA-05",
|
||
"subcategory_text": "Minacce, vulnerabilità, probabilità e impatti sono utilizzati per comprendere il rischio inerente e per informare la prioritizzazione della risposta al rischio.",
|
||
"req_index": 2,
|
||
"requirement": "La valutazione del rischio di cui al punto 1 è eseguita a intervalli pianificati e comunque almeno ogni due anni, nonché qualora si verifichino incidenti significativi, variazioni organizzative o mutamenti dell’esposizione alle minacce e ai relativi rischi."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Identificazione",
|
||
"subcategory": "ID.RA-05",
|
||
"subcategory_text": "Minacce, vulnerabilità, probabilità e impatti sono utilizzati per comprendere il rischio inerente e per informare la prioritizzazione della risposta al rischio.",
|
||
"req_index": 3,
|
||
"requirement": "La valutazione del rischio cui al punto 1 è approvata dagli organi di amministrazione e direttivi."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Identificazione",
|
||
"subcategory": "ID.RA-06",
|
||
"subcategory_text": "Le risposte al rischio sono scelte, prioritizzate, pianificate, monitorate e comunicate.",
|
||
"req_index": 1,
|
||
"requirement": "È definito, documentato, eseguito e monitorato un piano di trattamento del rischio che comprende almeno: a) le opzioni di trattamento e le misure da attuare in merito al trattamento di ciascun rischio individuato e le relative priorità; b) le articolazioni competenti per l'attuazione delle misure di trattamento dei rischi e le tempistiche per tale attuazione; c) la descrizione e le ragioni che giustificano l'accettazione di eventuali rischi residui al trattamento."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Identificazione",
|
||
"subcategory": "ID.RA-06",
|
||
"subcategory_text": "Le risposte al rischio sono scelte, prioritizzate, pianificate, monitorate e comunicate.",
|
||
"req_index": 2,
|
||
"requirement": "Qualora per motivate e documentate ragioni normative o tecniche non siano attuati i requisiti di cui alla tabella 2 in appendice al presente allegato, sono adottate, ove applicabile, misure di mitigazione compensative e il piano di cui al punto 1 include la descrizione di tali misure e dell’eventuale rischio residuo."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Identificazione",
|
||
"subcategory": "ID.RA-06",
|
||
"subcategory_text": "Le risposte al rischio sono scelte, prioritizzate, pianificate, monitorate e comunicate.",
|
||
"req_index": 3,
|
||
"requirement": "Il piano di cui al punto 1, ivi compresa l’accettazione di eventuali rischi residui, è approvato dagli organi di amministrazione e direttivi."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Identificazione",
|
||
"subcategory": "ID.RA-08",
|
||
"subcategory_text": "Sono stabiliti processi per la ricezione, l'analisi e la risposta alle divulgazioni di vulnerabilità.",
|
||
"req_index": 1,
|
||
"requirement": "Sono monitorati almeno i canali di comunicazione del CSIRT Italia, nonché di eventuali CERT e Information Sharing & Analysis Centre (ISAC) settoriali, al fine di acquisire, analizzare e rispondere alle informazioni sulle vulnerabilità."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Identificazione",
|
||
"subcategory": "ID.RA-08",
|
||
"subcategory_text": "Sono stabiliti processi per la ricezione, l'analisi e la risposta alle divulgazioni di vulnerabilità.",
|
||
"req_index": 2,
|
||
"requirement": "Le vulnerabilità, ivi comprese quelle identificate ai sensi della misura ID.RA-01, sono prontamente risolte attraverso aggiornamenti di sicurezza o misure di mitigazione, ove disponibili, ovvero accettando e documentando il rischio in accordo al piano di trattamento del rischio informatico di cui alla misura ID.RA-06."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Identificazione",
|
||
"subcategory": "ID.RA-08",
|
||
"subcategory_text": "Sono stabiliti processi per la ricezione, l'analisi e la risposta alle divulgazioni di vulnerabilità.",
|
||
"req_index": 3,
|
||
"requirement": "È definito, attuato, aggiornato e documentato un piano di gestione delle vulnerabilità che comprende almeno: a) le modalità per l'identificazione delle vulnerabilità di cui alla misura ID.RA-01 e la relativa pianificazione delle attività; b) le modalità per monitorare, ricevere, analizzare e rispondere alle informazioni sulle vulnerabilità; c) le procedure, i ruoli, le responsabilità per lo svolgimento delle attività di cui alle lettere a) e b)."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Identificazione",
|
||
"subcategory": "ID.RA-08",
|
||
"subcategory_text": "Sono stabiliti processi per la ricezione, l'analisi e la risposta alle divulgazioni di vulnerabilità.",
|
||
"req_index": 4,
|
||
"requirement": "Il piano di cui al punto 3 è approvato dagli organi di amministrazione e direttivi."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.AA-01",
|
||
"subcategory_text": "Le identità e le credenziali degli utenti, dei servizi e dell'hardware autorizzati sono gestite dall'organizzazione.",
|
||
"req_index": 1,
|
||
"requirement": "Tutte le utenze, ivi incluse quelle con privilegi amministrativi e quelle utilizzate per l’accesso remoto, sono censite, approvate da attori interni al soggetto NIS e, fatte salve motivate e documentate ragioni tecniche, in accordo agli esiti della valutazione del rischio di cui alla misura ID.RA-05, sono individuali per gli utenti."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.AA-01",
|
||
"subcategory_text": "Le identità e le credenziali degli utenti, dei servizi e dell'hardware autorizzati sono gestite dall'organizzazione.",
|
||
"req_index": 2,
|
||
"requirement": "Le credenziali (ad esempio nome utente e password) relative alle utenze sono robuste e aggiornate in accordo agli esiti della valutazione del rischio di cui alla misura ID.RA-05."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.AA-01",
|
||
"subcategory_text": "Le identità e le credenziali degli utenti, dei servizi e dell'hardware autorizzati sono gestite dall'organizzazione.",
|
||
"req_index": 3,
|
||
"requirement": "Per almeno i sistemi informativi e di rete rilevanti, sono verificate periodicamente le utenze e le relative autorizzazioni, aggiornandole/revocandole in caso di variazioni (ad esempio trasferimento o cessazione di personale)."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.AA-01",
|
||
"subcategory_text": "Le identità e le credenziali degli utenti, dei servizi e dell'hardware autorizzati sono gestite dall'organizzazione.",
|
||
"req_index": 4,
|
||
"requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 1, 2 e 3."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.AA-03",
|
||
"subcategory_text": "Utenti, servizi e hardware sono autenticati.",
|
||
"req_index": 1,
|
||
"requirement": "Le modalità di autenticazione delle utenze per accedere ai sistemi informativi e di rete sono commisurate al rischio. A tal fine sono valutati almeno i rischi connessi: a) ai privilegi delle utenze; b) alla criticità dei sistemi informativi e di rete; c) alla tipologia di operazioni che le utenze possono effettuare sui sistemi informativi e di rete."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.AA-03",
|
||
"subcategory_text": "Utenti, servizi e hardware sono autenticati.",
|
||
"req_index": 2,
|
||
"requirement": "Per almeno i sistemi informativi e di rete rilevanti e in accordo agli esiti della valutazione del rischio di cui alla misura ID.RA-05, sono impiegate modalità di autenticazione multifattore."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.AA-03",
|
||
"subcategory_text": "Utenti, servizi e hardware sono autenticati.",
|
||
"req_index": 3,
|
||
"requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 1 e 2."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.AA-05",
|
||
"subcategory_text": "I permessi, i diritti e le autorizzazioni di accesso sono definiti in una politica, gestiti, applicati e rivisti e incorporano i principi del minimo privilegio e della separazione dei compiti.",
|
||
"req_index": 1,
|
||
"requirement": "I permessi sono assegnati alle utenze in accordo ai principi del minimo privilegio e della separazione delle funzioni, tenuto anche conto della necessità di conoscere (need to know)."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.AA-05",
|
||
"subcategory_text": "I permessi, i diritti e le autorizzazioni di accesso sono definiti in una politica, gestiti, applicati e rivisti e incorporano i principi del minimo privilegio e della separazione dei compiti.",
|
||
"req_index": 2,
|
||
"requirement": "È assicurata la completa distinzione tra utenze con e senza privilegi amministrativi degli amministratori di sistema alle quali debbono corrispondere credenziali diverse."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.AA-05",
|
||
"subcategory_text": "I permessi, i diritti e le autorizzazioni di accesso sono definiti in una politica, gestiti, applicati e rivisti e incorporano i principi del minimo privilegio e della separazione dei compiti.",
|
||
"req_index": 3,
|
||
"requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 1e 2."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.AA-06",
|
||
"subcategory_text": "L'accesso fisico agli asset è gestito, monitorato e applicato in misura appropriata al rischio.",
|
||
"req_index": 1,
|
||
"requirement": "Per almeno i sistemi informativi e di rete rilevanti, l’accesso fisico è protetto."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.AA-06",
|
||
"subcategory_text": "L'accesso fisico agli asset è gestito, monitorato e applicato in misura appropriata al rischio.",
|
||
"req_index": 2,
|
||
"requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione al punto 1."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.AT-01",
|
||
"subcategory_text": "Il personale è sensibilizzato e formato in modo da possedere le conoscenze e le competenze per svolgere compiti di carattere generale tenendo conto dei rischi di cybersecurity.",
|
||
"req_index": 1,
|
||
"requirement": "È definito, attuato, aggiornato e documentato un piano di formazione in materia di sicurezza informatica del personale, ivi inclusi gli organi di amministrazione e direttivi, che comprende almeno: a) la pianificazione delle attività di formazione previste con l’indicazione dei contenuti della formazione fornita; b) le eventuali modalità di verifica dell'acquisizione dei contenuti."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.AT-01",
|
||
"subcategory_text": "Il personale è sensibilizzato e formato in modo da possedere le conoscenze e le competenze per svolgere compiti di carattere generale tenendo conto dei rischi di cybersecurity.",
|
||
"req_index": 2,
|
||
"requirement": "Il piano di formazione di cui al punto 1 è approvato dagli organi di amministrazione e direttivi."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.AT-01",
|
||
"subcategory_text": "Il personale è sensibilizzato e formato in modo da possedere le conoscenze e le competenze per svolgere compiti di carattere generale tenendo conto dei rischi di cybersecurity.",
|
||
"req_index": 3,
|
||
"requirement": "È mantenuto un registro aggiornato recante l'elenco dei dipendenti che hanno ricevuto la formazione di cui al punto 1, i relativi contenuti e l'elenco delle verifiche svolte laddove previste."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.DS-01",
|
||
"subcategory_text": "La riservatezza, l'integrità e la disponibilità dei dati a riposo (data-at-rest) sono protette.",
|
||
"req_index": 1,
|
||
"requirement": "Per almeno i sistemi informativi e di rete rilevanti e in accordo agli esiti della valutazione del rischio di cui alla misura ID.RA-05, fatte salve motivate e documentate ragioni normative o tecniche, i dati memorizzati sui dispositivi portatili, ivi inclusi laptop, smartphone e tablet, e sui supporti removibili, sono cifrati con protocolli e algoritmi allo stato dell’arte e considerati sicuri."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.DS-01",
|
||
"subcategory_text": "La riservatezza, l'integrità e la disponibilità dei dati a riposo (data-at-rest) sono protette.",
|
||
"req_index": 2,
|
||
"requirement": "Fatte salve e documentate ragioni normative o tecniche, è disabilitata l'auto esecuzione dei supporti rimovibili ed è effettuata la loro scansione al fine di rilevare codici malevoli prima che siano utilizzati nei sistemi informativi e di rete."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.DS-01",
|
||
"subcategory_text": "La riservatezza, l'integrità e la disponibilità dei dati a riposo (data-at-rest) sono protette.",
|
||
"req_index": 3,
|
||
"requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 1 e 2."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.DS-02",
|
||
"subcategory_text": "La riservatezza, l'integrità e la disponibilità dei dati in transito (data-in-transit) sono protette.",
|
||
"req_index": 1,
|
||
"requirement": "Per almeno i sistemi informativi e di rete rilevanti, ivi inclusi quelli di comunicazione vocale, video e testuale, e in accordo agli esiti della valutazione del rischio di cui alla misura ID.RA-05 fatte salve motivate e documentate ragioni normative o tecniche, sono utilizzati, per la trasmissione dei dati da e verso l’esterno del soggetto NIS, protocolli e algoritmi di cifratura allo stato dell’arte e considerati sicuri."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.DS-02",
|
||
"subcategory_text": "La riservatezza, l'integrità e la disponibilità dei dati in transito (data-in-transit) sono protette.",
|
||
"req_index": 2,
|
||
"requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione al punto 1."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.DS-11",
|
||
"subcategory_text": "I backup dei dati sono creati, protetti, mantenuti e verificati.",
|
||
"req_index": 1,
|
||
"requirement": "In accordo alle esigenze di continuità operativa e di ripristino in caso di disastro individuate nei piani di cui alla misura ID.IM-04, sono effettuati periodicamente i backup dei dati e delle configurazioni e, per almeno i sistemi informativi e di rete rilevanti, sono anche conservate copie di backup offline."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.DS-11",
|
||
"subcategory_text": "I backup dei dati sono creati, protetti, mantenuti e verificati.",
|
||
"req_index": 2,
|
||
"requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione al punto 1."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.IR-01",
|
||
"subcategory_text": "Le reti e gli ambienti sono protetti dall'accesso logico e dall'uso non autorizzati.",
|
||
"req_index": 1,
|
||
"requirement": "Per almeno i sistemi informativi e di rete rilevanti, sono definite e documentate le eventuali attività consentite da remoto e implementate adeguate misure di sicurezza per l’accesso."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.IR-01",
|
||
"subcategory_text": "Le reti e gli ambienti sono protetti dall'accesso logico e dall'uso non autorizzati.",
|
||
"req_index": 2,
|
||
"requirement": "È mantenuto un elenco aggiornato dei sistemi informativi e di rete ai quali è possibile accedere da remoto con la descrizione delle relative modalità di accesso."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.IR-01",
|
||
"subcategory_text": "Le reti e gli ambienti sono protetti dall'accesso logico e dall'uso non autorizzati.",
|
||
"req_index": 3,
|
||
"requirement": "Sono presenti, aggiornati, mantenuti e configurati i sistemi perimetrali, quali firewall."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.IR-01",
|
||
"subcategory_text": "Le reti e gli ambienti sono protetti dall'accesso logico e dall'uso non autorizzati.",
|
||
"req_index": 4,
|
||
"requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 1, 2 e 3."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.PS-02",
|
||
"subcategory_text": "Il software è mantenuto, sostituito e rimosso in base al rischio.",
|
||
"req_index": 1,
|
||
"requirement": "Fatte salve motivate e documentate ragioni normative o tecniche, è installato esclusivamente software, ivi compresi i sistemi operativi, per il quale è garantita la disponibilità di aggiornamenti di sicurezza."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.PS-02",
|
||
"subcategory_text": "Il software è mantenuto, sostituito e rimosso in base al rischio.",
|
||
"req_index": 2,
|
||
"requirement": "Fatte salve motivate e documentate ragioni normative o tecniche, sono installati, senza ingiustificato ritardo, gli ultimi aggiornamenti di sicurezza rilasciati dal produttore in coerenza con il piano di gestione delle vulnerabilità di cui alla misura ID.RA-08."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.PS-02",
|
||
"subcategory_text": "Il software è mantenuto, sostituito e rimosso in base al rischio.",
|
||
"req_index": 3,
|
||
"requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 1e 2."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.PS-04",
|
||
"subcategory_text": "I registri di log sono generati e resi disponibili per il monitoraggio continuo.",
|
||
"req_index": 1,
|
||
"requirement": "Tutti gli accessi eseguiti da remoto e quelli effettuati con utenze con privilegi amministrativi sono registrati."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.PS-04",
|
||
"subcategory_text": "I registri di log sono generati e resi disponibili per il monitoraggio continuo.",
|
||
"req_index": 2,
|
||
"requirement": "Per almeno i sistemi informativi e di rete rilevanti, sono conservati in modo sicuro, e possibilmente centralizzato, almeno i log necessari ai fini del monitoraggio degli eventi di sicurezza, ivi compresi quelli relativi agli accessi di cui al punto 1."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.PS-04",
|
||
"subcategory_text": "I registri di log sono generati e resi disponibili per il monitoraggio continuo.",
|
||
"req_index": 3,
|
||
"requirement": "In accordo agli esiti della valutazione rischio di cui alla misura ID.RA-05, sono definite e documentate le tempistiche di conservazione dei log di cui al punto 2."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.PS-04",
|
||
"subcategory_text": "I registri di log sono generati e resi disponibili per il monitoraggio continuo.",
|
||
"req_index": 4,
|
||
"requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 1 e 2."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.PS-06",
|
||
"subcategory_text": "Le pratiche di sviluppo sicuro del software sono integrate e le loro prestazioni sono monitorate durante l'intero ciclo di vita del software.",
|
||
"req_index": 1,
|
||
"requirement": "Sono adottate e documentate pratiche di sviluppo sicuro del codice nello sviluppo del software."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Ripristino",
|
||
"subcategory": "RC.RP-01",
|
||
"subcategory_text": "La parte del piano di risposta agli incidenti relativa al rispristino viene eseguita una volta avviata dal processo di risposta agli incidenti.",
|
||
"req_index": 1,
|
||
"requirement": "Nell'ambito del piano per la gestione degli incidenti di cui alla misura RS.MA-01, sono adottate e documentate procedure per il ripristino con riguardo almeno al ripristino del normale funzionamento dei sistemi informativi e di rete coinvolti da incidenti di sicurezza informatica, ivi compresi quelli di cui all’articolo 25 del decreto NIS."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Risposta",
|
||
"subcategory": "RS.CO-02",
|
||
"subcategory_text": "Gli stakeholder interni ed esterni sono informati degli incidenti.",
|
||
"req_index": 1,
|
||
"requirement": "In accordo al piano per la gestione degli incidenti di cui alla misura RS.MA-01, sono documentate e adottate procedure per comunicare senza ingiustificato ritardo, se ritenuto opportuno e qualora possibile, sentito il CSIRT Italia, ovvero qualora intimato dall’Agenzia per la cybersicurezza nazionale ai sensi dell’articolo 37, comma 3, lettere g) e h), del decreto NIS: a) ai destinatari dei loro servizi, gli incidenti significativi che possono ripercuotersi negativamente sulla fornitura di tali servizi; b) ai destinatari dei servizi che sono potenzialmente interessati da una minaccia informatica significativa, le misure o azioni correttive o di mitigazione che tali destinatari possono adottare in risposta a tale minaccia e la natura di tale minaccia."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Risposta",
|
||
"subcategory": "RS.CO-02",
|
||
"subcategory_text": "Gli stakeholder interni ed esterni sono informati degli incidenti.",
|
||
"req_index": 2,
|
||
"requirement": "Sono documentate e adottate procedure per informare il pubblico sugli incidenti occorsi, qualora intimato dall’Agenzia per la cybersicurezza nazionale ai sensi dell’art. 37, comma 3, lettera i) del decreto NIS."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Risposta",
|
||
"subcategory": "RS.MA-01",
|
||
"subcategory_text": "Il piano di risposta agli incidenti è eseguito in coordinamento con le terze parti interessate una volta dichiarato un incidente.",
|
||
"req_index": 1,
|
||
"requirement": "È definito, attuato, aggiornato e documentato un piano per la gestione degli incidenti di sicurezza informatica e la notifica al CSIRT Italia, in accordo a quanto previsto dall’articolo 25 del decreto NIS, che comprende almeno: a) le fasi e le procedure di gestione e notifica degli incidenti con l’indicazione dei relativi ruoli e delle responsabilità; b) le procedure per la predisposizione e la trasmissione delle relazioni di cui all’articolo 25, comma 5, lettere c), d) ed e) del decreto NIS; c) le informazioni di contatto per la segnalazione degli incidenti; d) le modalità di comunicazione interna, anche con riguardo al coinvolgimento degli organi di amministrazione e direttivi, ed esterna; e) la reportistica da utilizzare per la documentazione dell’incidente."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Risposta",
|
||
"subcategory": "RS.MA-01",
|
||
"subcategory_text": "Il piano di risposta agli incidenti è eseguito in coordinamento con le terze parti interessate una volta dichiarato un incidente.",
|
||
"req_index": 2,
|
||
"requirement": "Il piano di cui al punto 1 è approvato dagli organi di amministrazione e direttivi."
|
||
},
|
||
{
|
||
"entity": "importante",
|
||
"function": "Risposta",
|
||
"subcategory": "RS.MA-01",
|
||
"subcategory_text": "Il piano di risposta agli incidenti è eseguito in coordinamento con le terze parti interessate una volta dichiarato un incidente.",
|
||
"req_index": 3,
|
||
"requirement": "Il piano di cui al punto 1 è riesaminato e, se opportuno, aggiornato periodicamente e comunque almeno ogni due anni, nonché qualora si verifichino incidenti significativi, integrando le relative lezioni apprese, o mutamenti dell’esposizione alle minacce e ai relativi rischi."
|
||
}
|
||
],
|
||
"essenziale": [
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Rilevazione",
|
||
"subcategory": "DE.CM-01",
|
||
"subcategory_text": "Le reti e i servizi di rete sono monitorati per individuare eventi potenzialmente avversi.",
|
||
"req_index": 1,
|
||
"requirement": "Per almeno i sistemi informativi e di rete rilevanti, sono presenti, aggiornati, mantenuti e configurati in modo adeguato strumenti tecnici per rilevare tempestivamente gli incidenti significativi."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Rilevazione",
|
||
"subcategory": "DE.CM-01",
|
||
"subcategory_text": "Le reti e i servizi di rete sono monitorati per individuare eventi potenzialmente avversi.",
|
||
"req_index": 2,
|
||
"requirement": "Sono definiti e documentati i livelli di servizio attesi (SL) dei servizi e delle attività del soggetto NIS anche ai fini di rilevare tempestivamente gli incidenti significativi."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Rilevazione",
|
||
"subcategory": "DE.CM-01",
|
||
"subcategory_text": "Le reti e i servizi di rete sono monitorati per individuare eventi potenzialmente avversi.",
|
||
"req_index": 3,
|
||
"requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 1 e 2."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Rilevazione",
|
||
"subcategory": "DE.CM-01",
|
||
"subcategory_text": "Le reti e i servizi di rete sono monitorati per individuare eventi potenzialmente avversi.",
|
||
"req_index": 4,
|
||
"requirement": "Per almeno i sistemi informativi e di rete rilevanti, sono utilizzati strumenti di analisi e filtraggio sul flusso di traffico in ingresso (ivi inclusa la posta elettronica)."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Rilevazione",
|
||
"subcategory": "DE.CM-01",
|
||
"subcategory_text": "Le reti e i servizi di rete sono monitorati per individuare eventi potenzialmente avversi.",
|
||
"req_index": 5,
|
||
"requirement": "Per almeno i sistemi informativi e di rete rilevanti, ai fini di cui al punto 1, sono monitorati gli accessi da remoto, le attività dei sistemi perimetrali (ad esempio router e firewall), gli eventi amministrativi di rilievo, nonché gli accessi eseguiti o falliti alle risorse di rete, alle postazioni terminali e agli applicativi al fine di rilevare gli eventi di sicurezza informatica."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Rilevazione",
|
||
"subcategory": "DE.CM-01",
|
||
"subcategory_text": "Le reti e i servizi di rete sono monitorati per individuare eventi potenzialmente avversi.",
|
||
"req_index": 6,
|
||
"requirement": "Per almeno i sistemi informativi e di rete rilevanti, ai fini di cui al punto 1, sono definiti, monitorati e documentati parametri quali-quantitativi per rilevare gli accessi non autorizzati o con abuso dei privilegi concessi."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Rilevazione",
|
||
"subcategory": "DE.CM-01",
|
||
"subcategory_text": "Le reti e i servizi di rete sono monitorati per individuare eventi potenzialmente avversi.",
|
||
"req_index": 7,
|
||
"requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 4, 5 e 6."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Rilevazione",
|
||
"subcategory": "DE.CM-09",
|
||
"subcategory_text": "L'hardware e il software di elaborazione, gli ambienti di runtime e i loro dati sono monitorati per individuare eventi potenzialmente avversi.",
|
||
"req_index": 1,
|
||
"requirement": "Fatte salve motivate e documentate ragioni normative o tecniche, sono presenti, aggiornati, mantenuti e configurati in modo adeguato, sistemi di protezione delle postazioni terminali per il rilevamento del codice malevolo."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Rilevazione",
|
||
"subcategory": "DE.CM-09",
|
||
"subcategory_text": "L'hardware e il software di elaborazione, gli ambienti di runtime e i loro dati sono monitorati per individuare eventi potenzialmente avversi.",
|
||
"req_index": 2,
|
||
"requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione al punto 1."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Governance",
|
||
"subcategory": "GV.OC-04",
|
||
"subcategory_text": "Gli obiettivi, le capacità e i servizi critici dai quali gli stakeholder dipendono o che si aspettano dall'organizzazione sono compresi e comunicati.",
|
||
"req_index": 1,
|
||
"requirement": "È mantenuto un elenco aggiornato dei sistemi informativi e di rete rilevanti."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Governance",
|
||
"subcategory": "GV.PO-01",
|
||
"subcategory_text": "La politica per la gestione del rischio di cybersecurity è stabilita in base al contesto organizzativo, alla strategia di cybersecurity e alle priorità, ed è comunicata e applicata.",
|
||
"req_index": 1,
|
||
"requirement": "Sono adottate e documentate politiche di sicurezza informatica per almeno i seguenti ambiti: a) gestione del rischio; b) ruoli e responsabilità; c) affidabilità delle risorse umane; d) conformità e audit di sicurezza; e) gestione dei rischi per la sicurezza informatica della catena di approvvigionamento; f) gestione degli asset; g) gestione delle vulnerabilità; h) continuità operativa, ripristino in caso di disastro e gestione delle crisi; i) gestione dell'autenticazione, delle identità digitali e del controllo accessi; j) sicurezza fisica; k) formazione del personale e consapevolezza; l) sicurezza dei dati; m) sviluppo, configurazione, manutenzione e dismissione dei sistemi informativi e di rete; n) protezione delle reti e delle comunicazioni; o) monitoraggio degli eventi di sicurezza; p) risposta agli incidenti e ripristino."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Governance",
|
||
"subcategory": "GV.PO-01",
|
||
"subcategory_text": "La politica per la gestione del rischio di cybersecurity è stabilita in base al contesto organizzativo, alla strategia di cybersecurity e alle priorità, ed è comunicata e applicata.",
|
||
"req_index": 2,
|
||
"requirement": "Per gli ambiti di cui al punto 1 sono incluse almeno le politiche in relazione ai requisiti indicati nella tabella 1 in appendice al presente allegato."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Governance",
|
||
"subcategory": "GV.PO-01",
|
||
"subcategory_text": "La politica per la gestione del rischio di cybersecurity è stabilita in base al contesto organizzativo, alla strategia di cybersecurity e alle priorità, ed è comunicata e applicata.",
|
||
"req_index": 3,
|
||
"requirement": "Le politiche di cui al punto 1 sono approvate dagli organi di amministrazione e direttivi."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Governance",
|
||
"subcategory": "GV.PO-02",
|
||
"subcategory_text": "La politica per la gestione del rischio di cybersecurity è revisionata, aggiornata, comunicata e applicata per riflettere i cambiamenti nei requisiti, nelle minacce, nella tecnologia e nella missione dell'organizzazione.",
|
||
"req_index": 1,
|
||
"requirement": "Le politiche di cui alla misura GV.PO-01 sono riesaminate e, se opportuno, aggiornate periodicamente e comunque almeno con cadenza annuale, nonché qualora si verifichino evoluzioni del contesto normativo in materia di sicurezza informatica, incidenti significativi, variazioni organizzative o mutamenti dell’esposizione alle minacce e ai relativi rischi."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Governance",
|
||
"subcategory": "GV.PO-02",
|
||
"subcategory_text": "La politica per la gestione del rischio di cybersecurity è revisionata, aggiornata, comunicata e applicata per riflettere i cambiamenti nei requisiti, nelle minacce, nella tecnologia e nella missione dell'organizzazione.",
|
||
"req_index": 2,
|
||
"requirement": "Ai fini del riesame di cui al punto 1, è verificata almeno la conformità delle politiche di cui alla misura GV.PO-01 alla normativa in materia di sicurezza informatica."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Governance",
|
||
"subcategory": "GV.PO-02",
|
||
"subcategory_text": "La politica per la gestione del rischio di cybersecurity è revisionata, aggiornata, comunicata e applicata per riflettere i cambiamenti nei requisiti, nelle minacce, nella tecnologia e nella missione dell'organizzazione.",
|
||
"req_index": 3,
|
||
"requirement": "È mantenuto un registro aggiornato contenente gli esiti del riesame di cui al punto 1."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Governance",
|
||
"subcategory": "GV.RM-03",
|
||
"subcategory_text": "Le attività e gli esiti della gestione del rischio di cybersecurity sono parte integrante dei processi di gestione del rischio dell'organizzazione.",
|
||
"req_index": 1,
|
||
"requirement": "Nell'ambito dei processi di gestione del rischio del soggetto NIS e nel rispetto delle politiche di cui alla misura GV.PO-01, è definito, attuato, aggiornato e documentato un piano di gestione dei rischi per la sicurezza informatica per identificare, analizzare, valutare, trattare e monitorare i rischi."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Governance",
|
||
"subcategory": "GV.RR-02",
|
||
"subcategory_text": "I ruoli, le responsabilità e i correlati poteri relativi alla gestione del rischio di cybersecurity sono stabiliti, comunicati, compresi e applicati.",
|
||
"req_index": 1,
|
||
"requirement": "È definita, approvata dagli organi di amministrazione e direttivi, e resa nota alle articolazioni competenti del soggetto NIS, l'organizzazione per la sicurezza informatica e ne sono stabiliti ruoli e responsabilità."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Governance",
|
||
"subcategory": "GV.RR-02",
|
||
"subcategory_text": "I ruoli, le responsabilità e i correlati poteri relativi alla gestione del rischio di cybersecurity sono stabiliti, comunicati, compresi e applicati.",
|
||
"req_index": 2,
|
||
"requirement": "È mantenuto un elenco aggiornato del personale dell'organizzazione di cui al punto 1 avente specifici ruoli e responsabilità ed è reso noto alle articolazioni competenti del soggetto NIS."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Governance",
|
||
"subcategory": "GV.RR-02",
|
||
"subcategory_text": "I ruoli, le responsabilità e i correlati poteri relativi alla gestione del rischio di cybersecurity sono stabiliti, comunicati, compresi e applicati.",
|
||
"req_index": 3,
|
||
"requirement": "All’interno dell’organizzazione per la sicurezza informatica di cui al punto 1, sono inclusi il punto di contatto, e almeno un suo sostituto, di cui alla determina adottata ai sensi dell’articolo 7, comma 6 del decreto NIS."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Governance",
|
||
"subcategory": "GV.RR-02",
|
||
"subcategory_text": "I ruoli, le responsabilità e i correlati poteri relativi alla gestione del rischio di cybersecurity sono stabiliti, comunicati, compresi e applicati.",
|
||
"req_index": 4,
|
||
"requirement": "I ruoli e le responsabilità di cui al punto 1 sono riesaminati e, se opportuno, aggiornati periodicamente e comunque almeno ogni due anni, nonché qualora si verifichino incidenti significativi, variazioni organizzative o mutamenti dell’esposizione alle minacce e ai relativi rischi."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Governance",
|
||
"subcategory": "GV.RR-04",
|
||
"subcategory_text": "La cybersecurity è inclusa nelle pratiche delle risorse umane.",
|
||
"req_index": 1,
|
||
"requirement": "Per almeno i sistemi informativi e di rete rilevanti, il personale autorizzato ad accedervi è individuato previa valutazione dell’esperienza, capacità e affidabilità e deve fornire idonea garanzia del pieno rispetto della normativa in materia di sicurezza informatica."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Governance",
|
||
"subcategory": "GV.RR-04",
|
||
"subcategory_text": "La cybersecurity è inclusa nelle pratiche delle risorse umane.",
|
||
"req_index": 2,
|
||
"requirement": "Gli amministratori di sistema dei sistemi informativi e di rete sono individuati previa valutazione dell’esperienza, capacità e affidabilità e devono fornire idonea garanzia del pieno rispetto della normativa in materia di sicurezza informatica."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Governance",
|
||
"subcategory": "GV.RR-04",
|
||
"subcategory_text": "La cybersecurity è inclusa nelle pratiche delle risorse umane.",
|
||
"req_index": 3,
|
||
"requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 1 e 2."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Governance",
|
||
"subcategory": "GV.RR-04",
|
||
"subcategory_text": "La cybersecurity è inclusa nelle pratiche delle risorse umane.",
|
||
"req_index": 4,
|
||
"requirement": "In accordo agli esiti della valutazione del rischio di cui alla misura ID.RA-05, sono definiti a livello contrattuale gli eventuali obblighi, in materia di sicurezza informatica, che rimangono validi dopo la cessazione o la modifica del rapporto di lavoro dei dipendenti del soggetto NIS (ad esempio prevedendo clausole in materia di riservatezza)."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Governance",
|
||
"subcategory": "GV.RR-04",
|
||
"subcategory_text": "La cybersecurity è inclusa nelle pratiche delle risorse umane.",
|
||
"req_index": 5,
|
||
"requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione al punto 4."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Governance",
|
||
"subcategory": "GV.SC-01",
|
||
"subcategory_text": "Sono stabiliti e accettati dagli stakeholder dell'organizzazione il programma, la strategia, obiettivi, politiche e processi di gestione del rischio di cybersecurity della catena di approvvigionamento.",
|
||
"req_index": 1,
|
||
"requirement": "In merito all’affidamento di forniture con potenziali impatti sulla sicurezza dei sistemi informativi e di rete, anche mediante ricorso agli strumenti delle centrali di committenza di cui all’allegato I.1, articolo 1, comma 1, lettera i), del decreto legislativo 31 marzo 2023, n. 36, sono previsti: a) il coinvolgimento dell’organizzazione per la sicurezza informatica di cui alla misura GV.RR-02 nella definizione ed esecuzione dei processi di approvvigionamento a partire dalla fase di identificazione e progettazione della fornitura; b) in accordo agli esiti della valutazione del rischio associato alla fornitura di cui alla misura GV.SC-07, la definizione di requisiti di sicurezza sulla fornitura coerenti con le misure di sicurezza applicate dal soggetto NIS ai sistemi informativi e di rete."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Governance",
|
||
"subcategory": "GV.SC-01",
|
||
"subcategory_text": "Sono stabiliti e accettati dagli stakeholder dell'organizzazione il programma, la strategia, obiettivi, politiche e processi di gestione del rischio di cybersecurity della catena di approvvigionamento.",
|
||
"req_index": 2,
|
||
"requirement": "Per i requisiti di sicurezza di cui al punto 1, lettera b), sono considerati, ove applicabile, almeno i seguenti ambiti: a) affidabilità dei fornitori, tenendo conto almeno delle loro eventuali vulnerabilità specifiche, della qualità complessiva dei loro prodotti e delle pratiche di sicurezza informatica, specie con riguardo all’oggetto della fornitura, della capacità di garantire l’approvvigionamento, l’assistenza e la manutenzione nel tempo, nonché, ove applicabile, dei risultati delle valutazioni coordinate dei rischi per la sicurezza delle catene di approvvigionamento critiche effettuate dal Gruppo di cooperazione NIS; b) ruoli e responsabilità nell'ambito della fornitura; c) affidabilità delle risorse umane; d) conformità e audit di sicurezza; e) gestione delle vulnerabilità; f) continuità operativa e ripristino in caso di disastro; g) gestione dell'autenticazione, delle identità digitali e del controllo accessi; h) sicurezza fisica; i) formazione del personale e consapevolezza; j) sicurezza dei dati; k) protezione delle reti e delle comunicazioni; l) monitoraggio degli eventi di sicurezza ivi inclusi gli accessi e le attività effettuate; m) gestione e segnalazione degli incidenti; n) sviluppo sicuro del codice e sicurezza fin dalla progettazione e per impostazione predefinita; o) manutenzione ordinaria ed evolutiva ivi inclusi gli aggiornamenti di sicurezza; p) dismissione della fornitura ivi compresa la restituzione e la cancellazione dei dati; q) subappalto, subfornitura o relativi potenziali requisiti di sicurezza lungo la catena di fornitura."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Governance",
|
||
"subcategory": "GV.SC-02",
|
||
"subcategory_text": "I ruoli e le responsabilità in materia di cybersecurity per fornitori, clienti e partner sono stabiliti, comunicati e coordinati internamente ed esternamente.",
|
||
"req_index": 1,
|
||
"requirement": "Nell'ambito dell'organizzazione per la sicurezza informatica di cui alla misura GV.RR-02, sono definiti e resi noti alle articolazioni competenti del soggetto NIS gli eventuali ruoli e responsabilità in materia di sicurezza informatica assegnati al personale delle terze parti."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Governance",
|
||
"subcategory": "GV.SC-02",
|
||
"subcategory_text": "I ruoli e le responsabilità in materia di cybersecurity per fornitori, clienti e partner sono stabiliti, comunicati e coordinati internamente ed esternamente.",
|
||
"req_index": 2,
|
||
"requirement": "Il personale di cui al punto 1 avente specifici ruoli e responsabilità è incluso nell’elenco di cui al punto 2 della misura GV.RR-02."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Governance",
|
||
"subcategory": "GV.SC-04",
|
||
"subcategory_text": "I fornitori sono noti e prioritizzati in base alla criticità.",
|
||
"req_index": 1,
|
||
"requirement": "È mantenuto un inventario aggiornato dei fornitori, le cui forniture hanno un potenziale impatto sulla sicurezza dei sistemi informativi e di rete, che comprende almeno: a) gli estremi di contatto del referente della fornitura; b) la tipologia di fornitura."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Governance",
|
||
"subcategory": "GV.SC-05",
|
||
"subcategory_text": "I requisiti per affrontare i rischi di cybersecurity nella catena di approvvigionamento sono stabiliti, prioritizzati e integrati nei contratti e in altri tipi di accordi con i fornitori e altre terze parti rilevanti.",
|
||
"req_index": 1,
|
||
"requirement": "Fatte salve motivate e documentate ragioni normative o tecniche, i requisiti di sicurezza di cui alla misura GV.SC-01, punto 1, lettera b) sono inseriti nelle richieste di offerta, bandi di gara, contratti, accordi e convenzioni relativi alle forniture con potenziali impatto sulla sicurezza dei sistemi informativi e di rete."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Governance",
|
||
"subcategory": "GV.SC-07",
|
||
"subcategory_text": "I rischi posti da un fornitore, dai suoi prodotti e servizi e da altre terze parti sono compresi, registrati, prioritizzati, valutati, trattati e monitorati nel corso della relazione.",
|
||
"req_index": 1,
|
||
"requirement": "Nell’ambito della valutazione del rischio di cui alla misura ID.RA-05, è valutato e documentato il rischio associato alle forniture. A tal fine, sono valutati almeno: a) il livello di accesso del fornitore ai sistemi informativi e di rete del soggetto NIS; b) l'accesso del fornitore alla proprietà intellettuale e ai dati anche sulla base della loro criticità; c) l'impatto di una grave interruzione della fornitura; d) i tempi e i costi di ripristino in caso di indisponibilità dei servizi; e) i ruoli e le responsabilità del fornitore nel governo dei sistemi informativi e di rete."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Governance",
|
||
"subcategory": "GV.SC-07",
|
||
"subcategory_text": "I rischi posti da un fornitore, dai suoi prodotti e servizi e da altre terze parti sono compresi, registrati, prioritizzati, valutati, trattati e monitorati nel corso della relazione.",
|
||
"req_index": 2,
|
||
"requirement": "È verificata periodicamente e documentata la conformità delle forniture ai requisiti di cui alla misura GV.SC-05."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Identificazione",
|
||
"subcategory": "ID.AM-01",
|
||
"subcategory_text": "Sono mantenuti gli inventari dell'hardware gestito dall'organizzazione.",
|
||
"req_index": 1,
|
||
"requirement": "È mantenuto un inventario aggiornato degli apparati fisici (hardware) che compongono i sistemi informativi e di rete, ivi inclusi i dispositivi IT, IoT, OT e mobili, approvati da attori interni al soggetto NIS."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Identificazione",
|
||
"subcategory": "ID.AM-02",
|
||
"subcategory_text": "Sono mantenuti gli inventari del software, dei servizi e dei sistemi gestiti dall'organizzazione.",
|
||
"req_index": 1,
|
||
"requirement": "È mantenuto un inventario aggiornato dei servizi, dei sistemi e delle applicazioni software che compongono i sistemi informativi e di rete, ivi incluse le applicazioni commerciali, open-source e custom, anche accessibili tramite API, approvati da attori interni al soggetto NIS."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Identificazione",
|
||
"subcategory": "ID.AM-03",
|
||
"subcategory_text": "Sono mantenute le rappresentazioni delle comunicazioni di rete, dei flussi di dati di rete interni ed esterni, autorizzati dall'organizzazione.",
|
||
"req_index": 1,
|
||
"requirement": "È mantenuto un inventario aggiornato dei flussi di rete tra i sistemi informativi e di rete del soggetto NIS e l’esterno, approvati da attori interni al soggetto NIS."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Identificazione",
|
||
"subcategory": "ID.AM-04",
|
||
"subcategory_text": "Sono mantenuti gli inventari dei servizi erogati dai fornitori.",
|
||
"req_index": 1,
|
||
"requirement": "È mantenuto un inventario aggiornato dei servizi informatici erogati dai fornitori, ivi inclusi i servizi cloud."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Identificazione",
|
||
"subcategory": "ID.IM-01",
|
||
"subcategory_text": "Sono identificati miglioramenti in esito alle valutazioni.",
|
||
"req_index": 1,
|
||
"requirement": "In accordo agli esiti del riesame di cui al punto 1 della misura GV.PO-02, è definito, attuato, documentato e approvato dagli organi di amministrazioni e direttivi un piano di adeguamento che identifichi gli interventi necessari ad assicurare l’attuazione delle politiche di sicurezza."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Identificazione",
|
||
"subcategory": "ID.IM-01",
|
||
"subcategory_text": "Sono identificati miglioramenti in esito alle valutazioni.",
|
||
"req_index": 2,
|
||
"requirement": "Gli organi di amministrazione e direttivi sono informati mediante apposite relazioni periodiche sugli esiti dei piani di cui al punto 1."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Identificazione",
|
||
"subcategory": "ID.IM-01",
|
||
"subcategory_text": "Sono identificati miglioramenti in esito alle valutazioni.",
|
||
"req_index": 3,
|
||
"requirement": "È definito, attuato, aggiornato e documentato un piano per la valutazione dell'efficacia delle misure di gestione del rischio per la sicurezza informatica che comprenda l'indicazione delle misure da valutare e i relativi metodi di valutazione."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Identificazione",
|
||
"subcategory": "ID.IM-01",
|
||
"subcategory_text": "Sono identificati miglioramenti in esito alle valutazioni.",
|
||
"req_index": 4,
|
||
"requirement": "Gli organi di amministrazione e direttivi sono informati mediante apposite relazioni periodiche sul piano di valutazione dell’efficacia di cui al punto 3."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Identificazione",
|
||
"subcategory": "ID.IM-04",
|
||
"subcategory_text": "I piani di risposta agli incidenti e gli altri piani di cybersecurity che impattano le operazioni sono stabiliti, comunicati, mantenuti e migliorati.",
|
||
"req_index": 1,
|
||
"requirement": "Per almeno i sistemi informativi e di rete rilevanti è definito, attuato, aggiornato e documentato un piano di continuità operativa, che comprende almeno: a) le finalità e l'ambito di applicazione; b) i ruoli e le responsabilità; c) i contatti principali e i canali di comunicazione (interni ed esterni); d) le condizioni per l'attivazione e la disattivazione del piano; e) le risorse necessarie, ivi compresi i backup e le ridondanze."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Identificazione",
|
||
"subcategory": "ID.IM-04",
|
||
"subcategory_text": "I piani di risposta agli incidenti e gli altri piani di cybersecurity che impattano le operazioni sono stabiliti, comunicati, mantenuti e migliorati.",
|
||
"req_index": 2,
|
||
"requirement": "Per almeno i sistemi informativi e di rete rilevanti è definito, attuato, aggiornato e documentato un piano di ripristino in caso di disastro, che comprende almeno: a) le finalità e l'ambito di applicazione; b) i ruoli e le responsabilità; c) i contatti principali e i canali di comunicazione (interni ed esterni); d) le condizioni per l'attivazione e la disattivazione del piano; e) le risorse necessarie, ivi compresi i backup e le ridondanze; f) l'ordine di ripristino delle operazioni; g) le procedure di ripristino per operazioni specifiche, compresi gli obiettivi di ripristino."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Identificazione",
|
||
"subcategory": "ID.IM-04",
|
||
"subcategory_text": "I piani di risposta agli incidenti e gli altri piani di cybersecurity che impattano le operazioni sono stabiliti, comunicati, mantenuti e migliorati.",
|
||
"req_index": 3,
|
||
"requirement": "Per almeno i sistemi informativi e di rete rilevanti è definito, attuato, aggiornato e documentato un piano per la gestione delle crisi che comprende almeno: a) i ruoli e responsabilità del personale e, se opportuno, dei fornitori, specificando l'assegnazione dei ruoli in situazioni di crisi, comprese le procedure specifiche da seguire; b) le modalità di comunicazione tra i soggetti e le autorità competenti."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Identificazione",
|
||
"subcategory": "ID.IM-04",
|
||
"subcategory_text": "I piani di risposta agli incidenti e gli altri piani di cybersecurity che impattano le operazioni sono stabiliti, comunicati, mantenuti e migliorati.",
|
||
"req_index": 4,
|
||
"requirement": "I piani di cui ai punti 1, 2 e 3 sono approvati dagli organi di amministrazione e direttivi."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Identificazione",
|
||
"subcategory": "ID.IM-04",
|
||
"subcategory_text": "I piani di risposta agli incidenti e gli altri piani di cybersecurity che impattano le operazioni sono stabiliti, comunicati, mantenuti e migliorati.",
|
||
"req_index": 5,
|
||
"requirement": "I piani di cui ai punti 1, 2 e 3 sono riesaminati e, se opportuno, aggiornati periodicamente e comunque almeno ogni due anni, nonché qualora si verifichino incidenti significativi o mutamenti dell’esposizione alle minacce e ai relativi rischi."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Identificazione",
|
||
"subcategory": "ID.RA-01",
|
||
"subcategory_text": "Le vulnerabilità negli asset sono identificate, confermate e registrate.",
|
||
"req_index": 1,
|
||
"requirement": "Le informazioni di cui al punto 1 della misura ID.RA-08 sono utilizzate per identificare eventuali vulnerabilità sui i sistemi informativi e di rete."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Identificazione",
|
||
"subcategory": "ID.RA-01",
|
||
"subcategory_text": "Le vulnerabilità negli asset sono identificate, confermate e registrate.",
|
||
"req_index": 2,
|
||
"requirement": "Per almeno i sistemi informativi e di rete rilevanti, in accordo al piano di gestione delle vulnerabilità di cui alla misura ID.RA-08, fatte salve motivate e documentate ragioni normative o tecniche, sono eseguite periodicamente e comunque prima della loro messa in esercizio, attività per l’identificazione delle vulnerabilità che comprendano almeno vulnerability assessment e/o penetration test."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Identificazione",
|
||
"subcategory": "ID.RA-01",
|
||
"subcategory_text": "Le vulnerabilità negli asset sono identificate, confermate e registrate.",
|
||
"req_index": 3,
|
||
"requirement": "Le attività di cui al punto 2 sono documentate tramite apposite relazioni che contengono almeno: a) la descrizione generale delle attività effettuate e gli esiti delle stesse; b) la descrizione delle vulnerabilità rilevate e il relativo livello di impatto sulla sicurezza."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Identificazione",
|
||
"subcategory": "ID.RA-05",
|
||
"subcategory_text": "Minacce, vulnerabilità, probabilità e impatti sono utilizzati per comprendere il rischio inerente e per informare la prioritizzazione della risposta al rischio.",
|
||
"req_index": 1,
|
||
"requirement": "In accordo al piano di gestione dei rischi per la sicurezza informatica di cui alla misura GV.RM-03, è eseguita e documentata la valutazione del rischio posto alla sicurezza dei sistemi informativi e di rete, anche con riferimento alle eventuali dipendenze da fornitori e partner terzi, che comprende almeno: a) l’identificazione del rischio; b) l’analisi del rischio; c) la ponderazione del rischio."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Identificazione",
|
||
"subcategory": "ID.RA-05",
|
||
"subcategory_text": "Minacce, vulnerabilità, probabilità e impatti sono utilizzati per comprendere il rischio inerente e per informare la prioritizzazione della risposta al rischio.",
|
||
"req_index": 2,
|
||
"requirement": "La valutazione del rischio di cui al punto 1 è eseguita a intervalli pianificati e comunque almeno ogni due anni, nonché qualora si verifichino incidenti significativi, variazioni organizzative o mutamenti dell’esposizione alle minacce e ai relativi rischi."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Identificazione",
|
||
"subcategory": "ID.RA-05",
|
||
"subcategory_text": "Minacce, vulnerabilità, probabilità e impatti sono utilizzati per comprendere il rischio inerente e per informare la prioritizzazione della risposta al rischio.",
|
||
"req_index": 3,
|
||
"requirement": "La valutazione del rischio cui al punto 1 è approvata dagli organi di amministrazione e direttivi."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Identificazione",
|
||
"subcategory": "ID.RA-05",
|
||
"subcategory_text": "Minacce, vulnerabilità, probabilità e impatti sono utilizzati per comprendere il rischio inerente e per informare la prioritizzazione della risposta al rischio.",
|
||
"req_index": 4,
|
||
"requirement": "La valutazione del rischio di cui al punto 1 è effettuata considerando almeno le minacce interne ed esterne, le vulnerabilità non risolte e gli impatti conseguenti ad eventuali incidenti."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Identificazione",
|
||
"subcategory": "ID.RA-06",
|
||
"subcategory_text": "Le risposte al rischio sono scelte, prioritizzate, pianificate, monitorate e comunicate.",
|
||
"req_index": 1,
|
||
"requirement": "È definito, documentato, eseguito e monitorato un piano di trattamento del rischio che comprende almeno: a) le opzioni di trattamento e le misure da attuare in merito al trattamento di ciascun rischio individuato e le relative priorità; b) le articolazioni competenti per l'attuazione delle misure di trattamento dei rischi e le tempistiche per tale attuazione; c) la descrizione e le ragioni che giustificano l'accettazione di eventuali rischi residui al trattamento."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Identificazione",
|
||
"subcategory": "ID.RA-06",
|
||
"subcategory_text": "Le risposte al rischio sono scelte, prioritizzate, pianificate, monitorate e comunicate.",
|
||
"req_index": 2,
|
||
"requirement": "Qualora per motivate e documentate ragioni normative o tecniche non siano attuati i requisiti di cui alla tabella 2 in appendice al presente allegato, sono adottate, ove applicabile, misure di mitigazione compensative e il piano di cui al punto 1 include la descrizione di tali misure e dell’eventuale rischio residuo."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Identificazione",
|
||
"subcategory": "ID.RA-06",
|
||
"subcategory_text": "Le risposte al rischio sono scelte, prioritizzate, pianificate, monitorate e comunicate.",
|
||
"req_index": 3,
|
||
"requirement": "Il piano di cui al punto 1, ivi compresa l’accettazione di eventuali rischi residui, è approvato dagli organi di amministrazione e direttivi."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Identificazione",
|
||
"subcategory": "ID.RA-08",
|
||
"subcategory_text": "Sono stabiliti processi per la ricezione, l'analisi e la risposta alle divulgazioni di vulnerabilità.",
|
||
"req_index": 1,
|
||
"requirement": "Sono monitorati almeno i canali di comunicazione del CSIRT Italia, nonché di eventuali CERT e Information Sharing & Analysis Centre (ISAC) settoriali, al fine di acquisire, analizzare e rispondere alle informazioni sulle vulnerabilità."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Identificazione",
|
||
"subcategory": "ID.RA-08",
|
||
"subcategory_text": "Sono stabiliti processi per la ricezione, l'analisi e la risposta alle divulgazioni di vulnerabilità.",
|
||
"req_index": 2,
|
||
"requirement": "Le vulnerabilità, ivi comprese quelle identificate ai sensi della misura ID.RA-01, sono prontamente risolte attraverso aggiornamenti di sicurezza o misure di mitigazione, ove disponibili, ovvero accettando e documentando il rischio in accordo al piano di trattamento del rischio informatico di cui alla misura ID.RA-06."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Identificazione",
|
||
"subcategory": "ID.RA-08",
|
||
"subcategory_text": "Sono stabiliti processi per la ricezione, l'analisi e la risposta alle divulgazioni di vulnerabilità.",
|
||
"req_index": 3,
|
||
"requirement": "È definito, attuato, aggiornato e documentato un piano di gestione delle vulnerabilità che comprende almeno: a) le modalità per l'identificazione delle vulnerabilità di cui alla misura ID.RA-01 e la relativa pianificazione delle attività; b) le modalità per monitorare, ricevere, analizzare e rispondere alle informazioni sulle vulnerabilità; c) le procedure, i ruoli, le responsabilità per lo svolgimento delle attività di cui alle lettere a) e b)."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Identificazione",
|
||
"subcategory": "ID.RA-08",
|
||
"subcategory_text": "Sono stabiliti processi per la ricezione, l'analisi e la risposta alle divulgazioni di vulnerabilità.",
|
||
"req_index": 4,
|
||
"requirement": "Il piano di cui al punto 3 è approvato dagli organi di amministrazione e direttivi."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Identificazione",
|
||
"subcategory": "ID.RA-08",
|
||
"subcategory_text": "Sono stabiliti processi per la ricezione, l'analisi e la risposta alle divulgazioni di vulnerabilità.",
|
||
"req_index": 5,
|
||
"requirement": "Ai fini di cui al punto 1, sono monitorati anche i canali dei fornitori del software ritenuto critico."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.AA-01",
|
||
"subcategory_text": "Le identità e le credenziali degli utenti, dei servizi e dell'hardware autorizzati sono gestite dall'organizzazione.",
|
||
"req_index": 1,
|
||
"requirement": "Tutte le utenze, ivi incluse quelle con privilegi amministrativi e quelle utilizzate per l’accesso remoto, sono censite, approvate da attori interni al soggetto NIS e, fatte salve motivate e documentate ragioni tecniche, in accordo agli esiti della valutazione del rischio di cui alla misura ID.RA-05, sono individuali per gli utenti."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.AA-01",
|
||
"subcategory_text": "Le identità e le credenziali degli utenti, dei servizi e dell'hardware autorizzati sono gestite dall'organizzazione.",
|
||
"req_index": 2,
|
||
"requirement": "Le credenziali (ad esempio nome utente e password) relative alle utenze sono robuste e aggiornate in accordo agli esiti della valutazione del rischio di cui alla misura ID.RA-05."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.AA-01",
|
||
"subcategory_text": "Le identità e le credenziali degli utenti, dei servizi e dell'hardware autorizzati sono gestite dall'organizzazione.",
|
||
"req_index": 3,
|
||
"requirement": "Per almeno i sistemi informativi e di rete rilevanti, sono verificate periodicamente le utenze e le relative autorizzazioni, aggiornandole/revocandole in caso di variazioni (ad esempio trasferimento o cessazione di personale)."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.AA-01",
|
||
"subcategory_text": "Le identità e le credenziali degli utenti, dei servizi e dell'hardware autorizzati sono gestite dall'organizzazione.",
|
||
"req_index": 4,
|
||
"requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 1, 2 e 3."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.AA-03",
|
||
"subcategory_text": "Utenti, servizi e hardware sono autenticati.",
|
||
"req_index": 1,
|
||
"requirement": "Le modalità di autenticazione delle utenze per accedere ai sistemi informativi e di rete sono commisurate al rischio. A tal fine sono valutati almeno i rischi connessi: a) ai privilegi delle utenze; b) alla criticità dei sistemi informativi e di rete; c) alla tipologia di operazioni che le utenze possono effettuare sui sistemi informativi e di rete."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.AA-03",
|
||
"subcategory_text": "Utenti, servizi e hardware sono autenticati.",
|
||
"req_index": 2,
|
||
"requirement": "Per almeno i sistemi informativi e di rete rilevanti e in accordo agli esiti della valutazione del rischio di cui alla misura ID.RA-05, sono impiegate modalità di autenticazione multifattore."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.AA-03",
|
||
"subcategory_text": "Utenti, servizi e hardware sono autenticati.",
|
||
"req_index": 3,
|
||
"requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 1 e 2."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.AA-05",
|
||
"subcategory_text": "I permessi, i diritti e le autorizzazioni di accesso sono definiti in una politica, gestiti, applicati e rivisti e incorporano i principi del minimo privilegio e della separazione dei compiti.",
|
||
"req_index": 1,
|
||
"requirement": "I permessi sono assegnati alle utenze in accordo ai principi del minimo privilegio e della separazione delle funzioni, tenuto anche conto della necessità di conoscere (need to know)."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.AA-05",
|
||
"subcategory_text": "I permessi, i diritti e le autorizzazioni di accesso sono definiti in una politica, gestiti, applicati e rivisti e incorporano i principi del minimo privilegio e della separazione dei compiti.",
|
||
"req_index": 2,
|
||
"requirement": "È assicurata la completa distinzione tra utenze con e senza privilegi amministrativi degli amministratori di sistema alle quali debbono corrispondere credenziali diverse."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.AA-05",
|
||
"subcategory_text": "I permessi, i diritti e le autorizzazioni di accesso sono definiti in una politica, gestiti, applicati e rivisti e incorporano i principi del minimo privilegio e della separazione dei compiti.",
|
||
"req_index": 3,
|
||
"requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 1e 2."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.AA-06",
|
||
"subcategory_text": "L'accesso fisico agli asset è gestito, monitorato e applicato in misura appropriata al rischio.",
|
||
"req_index": 1,
|
||
"requirement": "Per almeno i sistemi informativi e di rete rilevanti, l’accesso fisico è protetto."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.AA-06",
|
||
"subcategory_text": "L'accesso fisico agli asset è gestito, monitorato e applicato in misura appropriata al rischio.",
|
||
"req_index": 2,
|
||
"requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione al punto 1."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.AT-01",
|
||
"subcategory_text": "Il personale è sensibilizzato e formato in modo da possedere le conoscenze e le competenze per svolgere compiti di carattere generale tenendo conto dei rischi di cybersecurity.",
|
||
"req_index": 1,
|
||
"requirement": "È definito, attuato, aggiornato e documentato un piano di formazione in materia di sicurezza informatica del personale, ivi inclusi gli organi di amministrazione e direttivi, che comprende almeno: a) la pianificazione delle attività di formazione previste con l’indicazione dei contenuti della formazione fornita; b) le eventuali modalità di verifica dell'acquisizione dei contenuti."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.AT-01",
|
||
"subcategory_text": "Il personale è sensibilizzato e formato in modo da possedere le conoscenze e le competenze per svolgere compiti di carattere generale tenendo conto dei rischi di cybersecurity.",
|
||
"req_index": 2,
|
||
"requirement": "Il piano di formazione di cui al punto 1 è approvato dagli organi di amministrazione e direttivi."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.AT-01",
|
||
"subcategory_text": "Il personale è sensibilizzato e formato in modo da possedere le conoscenze e le competenze per svolgere compiti di carattere generale tenendo conto dei rischi di cybersecurity.",
|
||
"req_index": 3,
|
||
"requirement": "È mantenuto un registro aggiornato recante l'elenco dei dipendenti che hanno ricevuto la formazione di cui al punto 1, i relativi contenuti e l'elenco delle verifiche svolte laddove previste."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.AT-02",
|
||
"subcategory_text": "Gli individui che ricoprono ruoli specializzati sono sensibilizzati e formati in modo da possedere le conoscenze e le competenze per svolgere i pertinenti compiti tenendo conto dei rischi di cybersecurity.",
|
||
"req_index": 1,
|
||
"requirement": "Il piano di cui alla misura PR.AT-01 prevede una formazione dedicata al personale con ruoli specializzati, ossia che richiedono una serie di capacità e competenze attinenti alla sicurezza, ivi compresi gli amministratori di sistema, che comprende almeno: a) le istruzioni relative alla configurazione e al funzionamento sicuri dei sistemi informativi e di rete; b) le informazioni sulle minacce informatiche note; c) le istruzioni sul comportamento da tenere in caso di eventi rilevanti per la sicurezza."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.AT-02",
|
||
"subcategory_text": "Gli individui che ricoprono ruoli specializzati sono sensibilizzati e formati in modo da possedere le conoscenze e le competenze per svolgere i pertinenti compiti tenendo conto dei rischi di cybersecurity.",
|
||
"req_index": 2,
|
||
"requirement": "È mantenuto un registro aggiornato recante l'elenco dei dipendenti che hanno ricevuto la formazione di cui al punto 1, i relativi contenuti e l'elenco delle verifiche svolte laddove previste."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.DS-01",
|
||
"subcategory_text": "La riservatezza, l'integrità e la disponibilità dei dati a riposo (data-at-rest) sono protette.",
|
||
"req_index": 1,
|
||
"requirement": "Per almeno i sistemi informativi e di rete rilevanti e in accordo agli esiti della valutazione del rischio di cui alla misura ID.RA-05, fatte salve motivate e documentate ragioni normative o tecniche, i dati memorizzati sui dispositivi portatili, ivi inclusi laptop, smartphone e tablet, e sui supporti removibili, sono cifrati con protocolli e algoritmi allo stato dell’arte e considerati sicuri."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.DS-01",
|
||
"subcategory_text": "La riservatezza, l'integrità e la disponibilità dei dati a riposo (data-at-rest) sono protette.",
|
||
"req_index": 2,
|
||
"requirement": "Fatte salve e documentate ragioni normative o tecniche, è disabilitata l'auto esecuzione dei supporti rimovibili ed è effettuata la loro scansione al fine di rilevare codici malevoli prima che siano utilizzati nei sistemi informativi e di rete."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.DS-01",
|
||
"subcategory_text": "La riservatezza, l'integrità e la disponibilità dei dati a riposo (data-at-rest) sono protette.",
|
||
"req_index": 3,
|
||
"requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 1 e 2."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.DS-02",
|
||
"subcategory_text": "La riservatezza, l'integrità e la disponibilità dei dati in transito (data-in-transit) sono protette.",
|
||
"req_index": 1,
|
||
"requirement": "Per almeno i sistemi informativi e di rete rilevanti, ivi inclusi quelli di comunicazione vocale, video e testuale, e in accordo agli esiti della valutazione del rischio di cui alla misura ID.RA-05 fatte salve motivate e documentate ragioni normative o tecniche, sono utilizzati, per la trasmissione dei dati da e verso l’esterno del soggetto NIS, protocolli e algoritmi di cifratura allo stato dell’arte e considerati sicuri."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.DS-02",
|
||
"subcategory_text": "La riservatezza, l'integrità e la disponibilità dei dati in transito (data-in-transit) sono protette.",
|
||
"req_index": 2,
|
||
"requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione al punto 1."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.DS-11",
|
||
"subcategory_text": "I backup dei dati sono creati, protetti, mantenuti e verificati.",
|
||
"req_index": 1,
|
||
"requirement": "In accordo alle esigenze di continuità operativa e di ripristino in caso di disastro individuate nei piani di cui alla misura ID.IM-04, sono effettuati periodicamente i backup dei dati e delle configurazioni e, per almeno i sistemi informativi e di rete rilevanti, sono anche conservate copie di backup offline."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.DS-11",
|
||
"subcategory_text": "I backup dei dati sono creati, protetti, mantenuti e verificati.",
|
||
"req_index": 2,
|
||
"requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione al punto 1."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.DS-11",
|
||
"subcategory_text": "I backup dei dati sono creati, protetti, mantenuti e verificati.",
|
||
"req_index": 3,
|
||
"requirement": "Per almeno i sistemi informativi e di rete rilevanti, è assicurata la riservatezza e l’integrità delle informazioni contenute nei backup mediante adeguata protezione fisica dei supporti ovvero mediante cifratura."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.DS-11",
|
||
"subcategory_text": "I backup dei dati sono creati, protetti, mantenuti e verificati.",
|
||
"req_index": 4,
|
||
"requirement": "Per almeno i sistemi informativi e di rete rilevanti, è verificata periodicamente l'utilizzabilità dei backup effettuati mediante test di ripristino."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.DS-11",
|
||
"subcategory_text": "I backup dei dati sono creati, protetti, mantenuti e verificati.",
|
||
"req_index": 5,
|
||
"requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 3 e 4."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.IR-01",
|
||
"subcategory_text": "Le reti e gli ambienti sono protetti dall'accesso logico e dall'uso non autorizzati.",
|
||
"req_index": 1,
|
||
"requirement": "Per almeno i sistemi informativi e di rete rilevanti, sono definite e documentate le eventuali attività consentite da remoto e implementate adeguate misure di sicurezza per l’accesso."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.IR-01",
|
||
"subcategory_text": "Le reti e gli ambienti sono protetti dall'accesso logico e dall'uso non autorizzati.",
|
||
"req_index": 2,
|
||
"requirement": "È mantenuto un elenco aggiornato dei sistemi informativi e di rete ai quali è possibile accedere da remoto con la descrizione delle relative modalità di accesso."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.IR-01",
|
||
"subcategory_text": "Le reti e gli ambienti sono protetti dall'accesso logico e dall'uso non autorizzati.",
|
||
"req_index": 3,
|
||
"requirement": "Sono presenti, aggiornati, mantenuti e configurati i sistemi perimetrali, quali firewall."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.IR-01",
|
||
"subcategory_text": "Le reti e gli ambienti sono protetti dall'accesso logico e dall'uso non autorizzati.",
|
||
"req_index": 4,
|
||
"requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 1, 2 e 3."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.IR-03",
|
||
"subcategory_text": "Sono implementati meccanismi per soddisfare i requisiti di resilienza in situazioni normali e avverse.",
|
||
"req_index": 1,
|
||
"requirement": "In accordo agli esiti della valutazione del rischio di cui alla misura ID.RA-05, sono utilizzati sistemi di comunicazione di emergenza protetti."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.IR-03",
|
||
"subcategory_text": "Sono implementati meccanismi per soddisfare i requisiti di resilienza in situazioni normali e avverse.",
|
||
"req_index": 2,
|
||
"requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione al punto 1."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.PS-01",
|
||
"subcategory_text": "Sono stabilite e applicate pratiche di gestione della configurazione.",
|
||
"req_index": 1,
|
||
"requirement": "Per almeno i sistemi informativi e di rete rilevanti, sono definite, e documentate in un elenco aggiornato, le loro configurazioni di riferimento sicure (hardened)."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.PS-01",
|
||
"subcategory_text": "Sono stabilite e applicate pratiche di gestione della configurazione.",
|
||
"req_index": 2,
|
||
"requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione al punto 1."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.PS-02",
|
||
"subcategory_text": "Il software è mantenuto, sostituito e rimosso in base al rischio.",
|
||
"req_index": 1,
|
||
"requirement": "Fatte salve motivate e documentate ragioni normative o tecniche, è installato esclusivamente software, ivi compresi i sistemi operativi, per il quale è garantita la disponibilità di aggiornamenti di sicurezza."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.PS-02",
|
||
"subcategory_text": "Il software è mantenuto, sostituito e rimosso in base al rischio.",
|
||
"req_index": 2,
|
||
"requirement": "Fatte salve motivate e documentate ragioni normative o tecniche, sono installati, senza ingiustificato ritardo, gli ultimi aggiornamenti di sicurezza rilasciati dal produttore in coerenza con il piano di gestione delle vulnerabilità di cui alla misura ID.RA-08."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.PS-02",
|
||
"subcategory_text": "Il software è mantenuto, sostituito e rimosso in base al rischio.",
|
||
"req_index": 3,
|
||
"requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 1e 2."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.PS-02",
|
||
"subcategory_text": "Il software è mantenuto, sostituito e rimosso in base al rischio.",
|
||
"req_index": 4,
|
||
"requirement": "Fatte salve motivate e documentate ragioni normative o tecniche e in accordo agli esiti della valutazione del rischio di cui alla misura ID.RA-05, l’aggiornamento del software ritenuto critico è verificato in ambiente di test prima dell’effettivo impiego in ambiente operativo."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.PS-02",
|
||
"subcategory_text": "Il software è mantenuto, sostituito e rimosso in base al rischio.",
|
||
"req_index": 5,
|
||
"requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione al punto 4."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.PS-03",
|
||
"subcategory_text": "L'hardware è mantenuto, sostituito e rimosso in base al rischio.",
|
||
"req_index": 1,
|
||
"requirement": "Per almeno i sistemi informativi e di rete rilevanti, sono adottate e documentate procedure per il trasferimento fisico e la dismissione di dispositivi atti alla memorizzazione di dati in modo sicuro."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.PS-03",
|
||
"subcategory_text": "L'hardware è mantenuto, sostituito e rimosso in base al rischio.",
|
||
"req_index": 2,
|
||
"requirement": "Per almeno i sistemi informativi e di rete rilevanti, sono mantenuti uno o più registri delle manutenzioni effettuate sull'hardware."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.PS-04",
|
||
"subcategory_text": "I registri di log sono generati e resi disponibili per il monitoraggio continuo.",
|
||
"req_index": 1,
|
||
"requirement": "Tutti gli accessi eseguiti da remoto e quelli effettuati con utenze con privilegi amministrativi sono registrati."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.PS-04",
|
||
"subcategory_text": "I registri di log sono generati e resi disponibili per il monitoraggio continuo.",
|
||
"req_index": 2,
|
||
"requirement": "Per almeno i sistemi informativi e di rete rilevanti, sono conservati in modo sicuro, e possibilmente centralizzato, almeno i log necessari ai fini del monitoraggio degli eventi di sicurezza, ivi compresi quelli relativi agli accessi di cui al punto 1."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.PS-04",
|
||
"subcategory_text": "I registri di log sono generati e resi disponibili per il monitoraggio continuo.",
|
||
"req_index": 3,
|
||
"requirement": "In accordo agli esiti della valutazione rischio di cui alla misura ID.RA-05, sono definite e documentate le tempistiche di conservazione dei log di cui al punto 2."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.PS-04",
|
||
"subcategory_text": "I registri di log sono generati e resi disponibili per il monitoraggio continuo.",
|
||
"req_index": 4,
|
||
"requirement": "Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 1 e 2."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Protezione",
|
||
"subcategory": "PR.PS-06",
|
||
"subcategory_text": "Le pratiche di sviluppo sicuro del software sono integrate e le loro prestazioni sono monitorate durante l'intero ciclo di vita del software.",
|
||
"req_index": 1,
|
||
"requirement": "Sono adottate e documentate pratiche di sviluppo sicuro del codice nello sviluppo del software."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Ripristino",
|
||
"subcategory": "RC.CO-03",
|
||
"subcategory_text": "Le attività di ripristino e i progressi nel ripristino delle capacità operative sono comunicati agli stakeholder interni ed esterni designati.",
|
||
"req_index": 1,
|
||
"requirement": "Sono adottate e documentate procedure per comunicare alle parti interne interessate, ivi incluse le articolazioni competenti del soggetto NIS, le attività di ripristino a seguito di un incidente."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Ripristino",
|
||
"subcategory": "RC.RP-01",
|
||
"subcategory_text": "La parte del piano di risposta agli incidenti relativa al rispristino viene eseguita una volta avviata dal processo di risposta agli incidenti.",
|
||
"req_index": 1,
|
||
"requirement": "Nell'ambito del piano per la gestione degli incidenti di cui alla misura RS.MA-01, sono adottate e documentate procedure per il ripristino con riguardo almeno al ripristino del normale funzionamento dei sistemi informativi e di rete coinvolti da incidenti di sicurezza informatica, ivi compresi quelli di cui all’articolo 25 del decreto NIS."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Risposta",
|
||
"subcategory": "RS.CO-02",
|
||
"subcategory_text": "Gli stakeholder interni ed esterni sono informati degli incidenti.",
|
||
"req_index": 1,
|
||
"requirement": "In accordo al piano per la gestione degli incidenti di cui alla misura RS.MA-01, sono documentate e adottate procedure per comunicare senza ingiustificato ritardo, se ritenuto opportuno e qualora possibile, sentito il CSIRT Italia, ovvero qualora intimato dall’Agenzia per la cybersicurezza nazionale ai sensi dell’articolo 37, comma 3, lettere g) e h), del decreto NIS: a) ai destinatari dei loro servizi, gli incidenti significativi che possono ripercuotersi negativamente sulla fornitura di tali servizi; b) ai destinatari dei servizi che sono potenzialmente interessati da una minaccia informatica significativa, le misure o azioni correttive o di mitigazione che tali destinatari possono adottare in risposta a tale minaccia e la natura di tale minaccia."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Risposta",
|
||
"subcategory": "RS.CO-02",
|
||
"subcategory_text": "Gli stakeholder interni ed esterni sono informati degli incidenti.",
|
||
"req_index": 2,
|
||
"requirement": "Sono documentate e adottate procedure per informare il pubblico sugli incidenti occorsi, qualora intimato dall’Agenzia per la cybersicurezza nazionale ai sensi dell’art. 37, comma 3, lettera i) del decreto NIS."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Risposta",
|
||
"subcategory": "RS.MA-01",
|
||
"subcategory_text": "Il piano di risposta agli incidenti è eseguito in coordinamento con le terze parti interessate una volta dichiarato un incidente.",
|
||
"req_index": 1,
|
||
"requirement": "È definito, attuato, aggiornato e documentato un piano per la gestione degli incidenti di sicurezza informatica e la notifica al CSIRT Italia, in accordo a quanto previsto dall’articolo 25 del decreto NIS, che comprende almeno: a) le fasi e le procedure di gestione e notifica degli incidenti con l’indicazione dei relativi ruoli e delle responsabilità; b) le procedure per la predisposizione e la trasmissione delle relazioni di cui all’articolo 25, comma 5, lettere c), d) ed e) del decreto NIS; c) le informazioni di contatto per la segnalazione degli incidenti; d) le modalità di comunicazione interna, anche con riguardo al coinvolgimento degli organi di amministrazione e direttivi, ed esterna; e) la reportistica da utilizzare per la documentazione dell’incidente."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Risposta",
|
||
"subcategory": "RS.MA-01",
|
||
"subcategory_text": "Il piano di risposta agli incidenti è eseguito in coordinamento con le terze parti interessate una volta dichiarato un incidente.",
|
||
"req_index": 2,
|
||
"requirement": "Il piano di cui al punto 1 è approvato dagli organi di amministrazione e direttivi."
|
||
},
|
||
{
|
||
"entity": "essenziale",
|
||
"function": "Risposta",
|
||
"subcategory": "RS.MA-01",
|
||
"subcategory_text": "Il piano di risposta agli incidenti è eseguito in coordinamento con le terze parti interessate una volta dichiarato un incidente.",
|
||
"req_index": 3,
|
||
"requirement": "Il piano di cui al punto 1 è riesaminato e, se opportuno, aggiornato periodicamente e comunque almeno ogni due anni, nonché qualora si verifichino incidenti significativi, integrando le relative lezioni apprese, o mutamenti dell’esposizione alle minacce e ai relativi rischi."
|
||
}
|
||
]
|
||
} |