AdminGit2026/nis2-agile
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
006f86387b
nis2-agile/docs/nis2/allegati_acn/Allegato1.txt
DevEnv nis2-agile 6671d51969 [DOCS] Allegati ACN 164179/2025 (fonte ufficiale acn.gov.it) - PDF + testo estratto 
Scaricati da acn.gov.it: Allegato1 (soggetti importanti), Allegato2 (essenziali),
Allegato3/4 (incidenti significativi). PDF + .txt (pdftotext -layout). Sono la fonte
certa per allineare il questionario Gap Analysis ai requisiti operativi reali del
Framework Nazionale 2025 (funzioni GV/ID/PR/DE/RS/RC). Importanti: 43 sottocategorie;
essenziali: 49. (Conteggio requisiti di dettaglio: parsing tabellare da rifinire.)

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
2026-05-31 07:57:22 +02:00

599 lines
41 KiB
Plaintext
Raw Blame History

This file contains invisible Unicode characters

This file contains invisible Unicode characters that are indistinguishable to humans but may be processed differently by a computer. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

ALLEGATO 1
Misure di sicurezza di base per i soggetti importanti
1. GOVERNO (GOVERN)
1.1. Contesto organizzativo (GV.OC): Il contesto missione, aspettative degli stakeholder,
dipendenze e requisiti legali, normativi e contrattuali che influisce sulle decisioni di gestione
del rischio di cybersecurity dell'organizzazione è compreso 1.
1.1.1. GV.OC-4: Gli obiettivi, le capacità e i servizi critici dai quali gli stakeholder dipendono o che
si aspettano dall'organizzazione sono compresi e comunicati.
1. È mantenuto un elenco aggiornato dei sistemi informativi e di rete rilevanti.
1.2. Strategia di gestione del rischio (GV.RM): Le priorità, i vincoli, le dichiarazioni sulla
tolleranza e la propensione al rischio, e le assunzioni dell'organizzazione sono stabilite,
comunicate e utilizzate per supportare le decisioni sul rischio operativo.
1.2.1. GV.RM-03: Le attività e gli esiti della gestione del rischio di cybersecurity sono parte
integrante dei processi di gestione del rischio dell'organizzazione.
1. Nell'ambito dei processi di gestione del rischio del soggetto NIS e nel rispetto delle
politiche di cui alla misura GV.PO-01, è definito, attuato, aggiornato e documentato un
piano di gestione dei rischi per la sicurezza informatica per identificare, analizzare,
valutare, trattare e monitorare i rischi.
1.3. Ruoli, responsabilità e correlati poteri (GV.RR): I ruoli, le responsabilità e i correlati poteri
in materia di cybersecurity per promuovere l'accountability, la valutazione delle prestazioni e
il miglioramento continuo sono stabiliti e comunicati.
1.3.1. GV.RR-02: I ruoli, le responsabilità e i correlati poteri relativi alla gestione del rischio di
cybersecurity sono stabiliti, comunicati, compresi e applicati.
1. È definita, approvata dagli organi di amministrazione e direttivi, e resa nota alle
articolazioni competenti del soggetto NIS, l'organizzazione per la sicurezza informatica e
ne sono stabiliti ruoli e responsabilità.
2. È mantenuto un elenco aggiornato del personale dell'organizzazione di cui al punto 1
avente specifici ruoli e responsabilità ed è reso noto alle articolazioni competenti del
soggetto NIS.
3. Allinterno dellorganizzazione per la sicurezza informatica di cui al punto 1, sono inclusi
il punto di contatto, e almeno un suo sostituto, di cui alla determina adottata ai sensi
dellarticolo 7, comma 6 del decreto NIS.
4. I ruoli e le responsabilità di cui al punto 1 sono riesaminati e, se opportuno, aggiornati
periodicamente e comunque almeno ogni due anni, nonché qualora si verifichino incidenti
1
Per ragioni di coerenza con i titoli delle categorie e sottocategorie del Framework nazionale sono stati mantenuti i
termini “cybersecurity” ed “organizzazione” che, nell'ambito del presente allegato, sono da intendersi, ad eccezione
dell'organizzazione di sicurezza informatica, rispettivamente equivalenti alle locuzioni "sicurezza informatica" e
“soggetto NIS”.
1 di 13
Allegato 1 Misure di sicurezza di base per i soggetti importanti
significativi, variazioni organizzative o mutamenti dellesposizione alle minacce e ai
relativi rischi.
1.3.2. GV.RR-04: La cybersecurity è incluso nelle pratiche delle risorse umane.
1. Per almeno i sistemi informativi e di rete rilevanti, il personale autorizzato ad accedervi è
individuato previa valutazione dellesperienza, capacità e affidabilità e deve fornire idonea
garanzia del pieno rispetto della normativa in materia di sicurezza informatica.
2. Gli amministratori di sistema dei sistemi informativi e di rete sono individuati previa
valutazione dellesperienza, capacità e affidabilità e devono fornire idonea garanzia del
pieno rispetto della normativa in materia di sicurezza informatica.
3. Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le
procedure in relazione ai punti 1 e 2.
1.4. Politica (GV.PO): La politica di cybersecurity dell'organizzazione è stabilita, comunicata e
applicata.
1.4.1. GV.PO-01: La politica per la gestione del rischio di cybersecurity è stabilita in base al contesto
organizzativo, alla strategia di cybersecurity e alle priorità, ed è comunicata e applicata.
1. Sono adottate e documentate politiche di sicurezza informatica per almeno i seguenti
ambiti:
a) gestione del rischio;
b) ruoli e responsabilità;
c) affidabilità delle risorse umane;
d) conformità e audit di sicurezza;
e) gestione dei rischi per la sicurezza informatica della catena di approvvigionamento;
f) gestione degli asset;
g) gestione delle vulnerabilità;
h) continuità operativa, ripristino in caso di disastro e gestione delle crisi;
i) gestione dell'autenticazione, delle identità digitali e del controllo accessi;
j) sicurezza fisica;
k) formazione del personale e consapevolezza;
l) sicurezza dei dati;
m) sviluppo, configurazione, manutenzione e dismissione dei sistemi informativi e di rete;
n) protezione delle reti e delle comunicazioni;
o) monitoraggio degli eventi di sicurezza;
p) risposta agli incidenti e ripristino.
2. Per gli ambiti di cui al punto 1 sono incluse almeno le politiche in relazione ai requisiti
indicati nella tabella 1 in appendice al presente allegato.
3. Le politiche di cui al punto 1 sono approvate dagli organi di amministrazione e direttivi.
1.4.2. GV.PO-02: La politica per la gestione del rischio di cybersecurity è revisionata, aggiornata,
comunicata e applicata per riflettere i cambiamenti nei requisiti, nelle minacce, nella
tecnologia e nella missione dell'organizzazione.
1. Le politiche di cui alla misura GV.PO-01 sono riesaminate e, se opportuno, aggiornate
periodicamente e comunque almeno con cadenza annuale, nonché qualora si verifichino
evoluzioni del contesto normativo in materia di sicurezza informatica, incidenti
2 di 13
Allegato 1 Misure di sicurezza di base per i soggetti importanti
significativi, variazioni organizzative o mutamenti dellesposizione alle minacce e ai
relativi rischi.
2. Ai fini del riesame di cui al punto 1, è verificata almeno la conformità delle politiche di
cui alla misura GV.PO-01 alla normativa in materia di sicurezza informatica.
1.5. Gestione del rischio di cybersecurity della catena di approvvigionamento (GV.SC): I
processi di gestione del rischio di cybersecurity della catena di approvvigionamento sono
identificati, stabiliti, gestiti, monitorati e migliorati dagli stakeholder dell'organizzazione.
1.5.1. GV.SC-01: Sono stabiliti e accettati dagli stakeholder dell'organizzazione il programma, la
strategia, obiettivi, politiche e processi di gestione del rischio di cybersecurity della catena di
approvvigionamento.
1. In merito allaffidamento di forniture con potenziali impatti sulla sicurezza dei sistemi
informativi e di rete, anche mediante ricorso agli strumenti delle centrali di committenza
di cui allallegato I.1, articolo 1, comma 1, lettera i), del decreto legislativo 31 marzo 2023,
n. 36, sono previsti:
a) il coinvolgimento dellorganizzazione per la sicurezza informatica di cui alla misura
GV.RR-02 nella definizione ed esecuzione dei processi di approvvigionamento a
partire dalla fase di identificazione e progettazione della fornitura;
b) in accordo agli esiti della valutazione del rischio associato alla fornitura di cui alla
misura GV.SC-07, la definizione di requisiti di sicurezza sulla fornitura coerenti con
le misure di sicurezza applicate dal soggetto NIS ai sistemi informativi e di rete.
1.5.2. GV.SC-02: I ruoli e le responsabilità in materia di cybersecurity per fornitori, clienti e partner
sono stabiliti, comunicati e coordinati internamente ed esternamente.
1. Nell'ambito dell'organizzazione per la sicurezza informatica di cui alla misura GV.RR-02,
sono definiti e resi noti alle articolazioni competenti del soggetto NIS gli eventuali ruoli e
responsabilità in materia di sicurezza informatica assegnati al personale delle terze parti.
2. Il personale di cui al punto 1 avente specifici ruoli e responsabilità è incluso nellelenco di
cui al punto 2 della misura GV.RR-02.
1.5.3. GV.SC-04: I fornitori sono noti e prioritizzati in base alla criticità.
1. È mantenuto un inventario aggiornato dei fornitori, le cui forniture hanno un potenziale
impatto sulla sicurezza dei sistemi informativi e di rete, che comprende almeno:
a) gli estremi di contatto del referente della fornitura;
b) la tipologia di fornitura.
1.5.4. GV.SC-05: I requisiti per affrontare i rischi di cybersecurity nella catena di
approvvigionamento sono stabiliti, prioritizzati e integrati nei contratti e in altri tipi di accordi
con i fornitori e altre terze parti rilevanti.
1. Fatte salve motivate e documentate ragioni normative o tecniche, i requisiti di sicurezza di
cui alla misura GV.SC-01, punto 1, lettera b) sono inseriti nelle richieste di offerta, bandi
di gara, contratti, accordi e convenzioni relativi alle forniture con potenziali impatto sulla
sicurezza dei sistemi informativi e di rete.
1.5.5. GV.SC-07: I rischi posti da un fornitore, dai suoi prodotti e servizi e da altre terze parti sono
compresi, registrati, prioritizzati, valutati, trattati e monitorati nel corso della relazione.
1. Nellambito della valutazione del rischio di cui alla misura ID.RA-05, è valutato e
documentato il rischio associato alle forniture. A tal fine, sono valutati almeno:
3 di 13
Allegato 1 Misure di sicurezza di base per i soggetti importanti
a) il livello di accesso del fornitore ai sistemi informativi e di rete del soggetto NIS;
b) l'accesso del fornitore alla proprietà intellettuale e ai dati anche sulla base della loro
criticità;
c) l'impatto di una grave interruzione della fornitura;
d) i tempi e i costi di ripristino in caso di indisponibilità dei servizi;
e) i ruoli e le responsabilità del fornitore nel governo dei sistemi informativi e di rete.
2. È verificata periodicamente e documentata la conformità delle forniture ai requisiti di cui
alla misura GV.SC-05.
2. IDENTIFICAZIONE (IDENTIFY)
2.1. Gestione degli asset (ID.AM): Gli asset (ad esempio, dati, hardware, software, sistemi,
infrastrutture, servizi, persone) che consentono all'organizzazione di raggiungere gli obiettivi
di business sono identificati e gestiti in coerenza con la loro importanza rispetto agli obiettivi
organizzativi e alla strategia sul rischio dell'organizzazione.
2.1.1. ID.AM-01: Sono mantenuti gli inventari dell'hardware gestito dall'organizzazione.
1. È mantenuto un inventario aggiornato degli apparati fisici (hardware) che compongono i
sistemi informativi e di rete, ivi inclusi i dispositivi IT, IoT, OT e mobili, approvati da
attori interni al soggetto NIS.
2.1.2. ID.AM-02: Sono mantenuti gli inventari del software, dei servizi e dei sistemi gestiti
dall'organizzazione.
1. È mantenuto un inventario aggiornato dei servizi, dei sistemi e delle applicazioni software
che compongono i sistemi informativi e di rete, ivi incluse le applicazioni commerciali,
open-source e custom, anche accessibili tramite API, approvati da attori interni al soggetto
NIS.
2.1.3. ID.AM-04: Sono mantenuti gli inventari dei servizi erogati dai fornitori.
1. È mantenuto un inventario aggiornato dei servizi informatici erogati dai fornitori, ivi
inclusi i servizi cloud.
2.2. Valutazione del rischio (Risk Assessment) (ID.RA): È compreso il rischio di cybersecurity
al quale l'organizzazione, gli asset e le persone sono esposti.
2.2.1. ID.RA-01. Le vulnerabilità negli asset sono identificate, confermate e registrate.
1. Le informazioni di cui al punto 1 della misura ID.RA-08 sono utilizzate per identificare
eventuali vulnerabilità sui i sistemi informativi e di rete.
2.2.2. ID.RA-05: Minacce, vulnerabilità, probabilità e impatti sono utilizzati per comprendere il
rischio inerente e per informare la prioritizzazione della risposta al rischio.
1. In accordo al piano di gestione dei rischi per la sicurezza informatica di cui alla misura
GV.RM-03, è eseguita e documentata la valutazione del rischio posto alla sicurezza dei
sistemi informativi e di rete, anche con riferimento alle eventuali dipendenze da fornitori
e partner terzi, che comprende almeno:
a) lidentificazione del rischio;
b) lanalisi del rischio;
c) la ponderazione del rischio.
4 di 13
Allegato 1 Misure di sicurezza di base per i soggetti importanti
2. La valutazione del rischio di cui al punto 1 è eseguita a intervalli pianificati e comunque
almeno ogni due anni, nonché qualora si verifichino incidenti significativi, variazioni
organizzative o mutamenti dellesposizione alle minacce e ai relativi rischi.
3. La valutazione del rischio cui al punto 1 è approvata dagli organi di amministrazione e
direttivi.
2.2.3. ID.RA-06: Le risposte al rischio sono scelte, prioritizzate, pianificate, monitorate e
comunicate.
1. È definito, documentato, eseguito e monitorato un piano di trattamento del rischio che
comprende almeno:
a) le opzioni di trattamento e le misure da attuare in merito al trattamento di ciascun
rischio individuato e le relative priorità;
b) le articolazioni competenti per l'attuazione delle misure di trattamento dei rischi e le
tempistiche per tale attuazione;
c) la descrizione e le ragioni che giustificano l'accettazione di eventuali rischi residui al
trattamento.
2. Qualora per motivate e documentate ragioni normative o tecniche non siano attuati i
requisiti di cui alla tabella 2 in appendice al presente allegato, sono adottate, ove
applicabile, misure di mitigazione compensative e il piano di cui al punto 1 include la
descrizione di tali misure e delleventuale rischio residuo.
3. Il piano di cui al punto 1, ivi compresa laccettazione di eventuali rischi residui, è
approvato dagli organi di amministrazione e direttivi.
2.2.4. ID.RA-08: Sono stabiliti processi per la ricezione, l'analisi e la risposta alle divulgazioni di
vulnerabilità.
1. Sono monitorati almeno i canali di comunicazione del CSIRT Italia, nonché di eventuali
CERT e Information Sharing & Analysis Centre (ISAC) settoriali, al fine di acquisire,
analizzare e rispondere alle informazioni sulle vulnerabilità.
2. Le vulnerabilità, ivi comprese quelle identificate ai sensi della misura ID.RA-01, sono
prontamente risolte attraverso aggiornamenti di sicurezza o misure di mitigazione, ove
disponibili, ovvero accettando e documentando il rischio in accordo al piano di trattamento
del rischio informatico di cui alla misura ID.RA-06.
3. È definito, attuato, aggiornato e documentato un piano di gestione delle vulnerabilità che
comprende almeno:
a) le modalità per l'identificazione delle vulnerabilità di cui alla misura ID.RA-01 e la
relativa pianificazione delle attività;
b) le modalità per monitorare, ricevere, analizzare e rispondere alle informazioni sulle
vulnerabilità;
c) le procedure, i ruoli, le responsabilità per lo svolgimento delle attività di cui alle lettere
a) e b).
4. Il piano di cui al punto 3 è approvato dagli organi di amministrazione e direttivi.
2.3. Miglioramento (ID.IM): I miglioramenti ai processi, alle procedure e alle attività di gestione
del rischio di cybersecurity dell'organizzazione sono identificati in tutte le funzioni del
framework.
2.3.1. ID.IM-01: Sono identificati miglioramenti in esito alle valutazioni.
5 di 13
Allegato 1 Misure di sicurezza di base per i soggetti importanti
1. In accordo agli esiti del riesame di cui al punto 1 della misura GV.PO-02, è definito,
attuato, documentato e approvato dagli organi di amministrazioni e direttivi un piano di
adeguamento che identifichi gli interventi necessari ad assicurare lattuazione delle
politiche di sicurezza.
2. Gli organi di amministrazione e direttivi sono informati mediante apposite relazioni
periodiche sugli esiti dei piani di cui al punto 1.
2.3.2. ID.IM-04: I piani di risposta agli incidenti e gli altri piani di cybersecurity che impattano le
operazioni sono stabiliti, comunicati, mantenuti e migliorati.
1. Per almeno i sistemi informativi e di rete rilevanti è definito, attuato, aggiornato e
documentato un piano di continuità operativa, che comprende almeno:
a) le finalità e l'ambito di applicazione;
b) i ruoli e le responsabilità;
c) i contatti principali e i canali di comunicazione (interni ed esterni);
d) le condizioni per l'attivazione e la disattivazione del piano;
e) le risorse necessarie, ivi compresi i backup e le ridondanze.
2. Per almeno i sistemi informativi e di rete rilevanti è definito, attuato, aggiornato e
documentato un piano di ripristino in caso di disastro, che comprende almeno:
a) le finalità e l'ambito di applicazione;
b) i ruoli e le responsabilità;
c) i contatti principali e i canali di comunicazione (interni ed esterni);
d) le condizioni per l'attivazione e la disattivazione del piano;
e) le risorse necessarie, ivi compresi i backup e le ridondanze;
f) l'ordine di ripristino delle operazioni;
g) le procedure di ripristino per operazioni specifiche, compresi gli obiettivi di ripristino.
3. Per almeno i sistemi informativi e di rete rilevanti è definito, attuato, aggiornato e
documentato un piano per la gestione delle crisi che comprende almeno:
a) i ruoli e responsabilità del personale e, se opportuno, dei fornitori, specificando
l'assegnazione dei ruoli in situazioni di crisi, comprese le procedure specifiche da
seguire;
b) le modalità di comunicazione tra i soggetti e le autorità competenti.
4. I piani di cui ai punti 1, 2 e 3 sono approvati dagli organi di amministrazione e direttivi.
5. I piani di cui ai punti 1, 2 e 3 sono riesaminati e, se opportuno, aggiornati periodicamente
e comunque almeno ogni due anni, nonché qualora si verifichino incidenti significativi o
mutamenti dellesposizione alle minacce e ai relativi rischi.
3. PROTEZIONE (PROTECT)
3.1. Gestione delle identità, autenticazione e controllo degli accessi (PR.AA): L'accesso agli
asset fisici e logici è limitato agli utenti, ai servizi e all'hardware autorizzati, e gestito in misura
appropriata alla valutazione del rischio di accesso non autorizzato.
3.1.1. PR.AA-01: Le identità e le credenziali degli utenti, dei servizi e dell'hardware autorizzati sono
gestite dall'organizzazione.
1. Tutte le utenze, ivi incluse quelle con privilegi amministrativi e quelle utilizzate per
laccesso remoto, sono censite, approvate da attori interni al soggetto NIS e, fatte salve
6 di 13
Allegato 1 Misure di sicurezza di base per i soggetti importanti
motivate e documentate ragioni tecniche, in accordo agli esiti della valutazione del rischio
di cui alla misura ID.RA-05, sono individuali per gli utenti.
2. Le credenziali (ad esempio nome utente e password) relative alle utenze sono robuste e
aggiornate in accordo agli esiti della valutazione del rischio di cui alla misura ID.RA-05.
3. Per almeno i sistemi informativi e di rete rilevanti, sono verificate periodicamente le utenze
e le relative autorizzazioni, aggiornandole/revocandole in caso di variazioni (ad esempio
trasferimento o cessazione di personale).
4. Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le
procedure in relazione ai punti 1, 2 e 3.
3.1.2. PR.AA-03: Utenti, servizi e hardware sono autenticati.
1. Le modalità di autenticazione delle utenze per accedere ai sistemi informativi e di rete sono
commisurate al rischio. A tal fine sono valutati almeno i rischi connessi:
a) ai privilegi delle utenze;
b) alla criticità dei sistemi informativi e di rete;
c) alla tipologia di operazioni che le utenze possono effettuare sui sistemi informativi e
di rete.
2. Per almeno i sistemi informativi e di rete rilevanti e in accordo agli esiti della valutazione
del rischio di cui alla misura ID.RA-05, sono impiegate modalità di autenticazione
multifattore.
3. Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le
procedure in relazione ai punti 1 e 2.
3.1.3. PR.AA-05: I permessi, i diritti e le autorizzazioni di accesso sono definiti in una politica,
gestiti, applicati e rivisti e incorporano i principi del minimo privilegio e della separazione dei
compiti.
1. I permessi sono assegnati alle utenze in accordo ai principi del minimo privilegio e della
separazione delle funzioni, tenuto anche conto della necessità di conoscere (need to know).
2. È assicurata la completa distinzione tra utenze con e senza privilegi amministrativi degli
amministratori di sistema alle quali debbono corrispondere credenziali diverse.
3. Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le
procedure in relazione ai punti 1e 2.
3.1.4. PR.AA-06: L'accesso fisico agli asset è gestito, monitorato e applicato in misura appropriata
al rischio.
1. Per almeno i sistemi informativi e di rete rilevanti, laccesso fisico è protetto.
2. Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le
procedure in relazione al punto 1.
3.2. Consapevolezza e formazione (PR.AT): Il personale dell'organizzazione è sensibilizzato e
formato sulla cybersecurity in modo da poter svolgere i propri compiti inerenti alla
cybersecurity.
3.2.1. PR.AT-01: Il personale è sensibilizzato e formato in modo da possedere le conoscenze e le
competenze per svolgere compiti di carattere generale tenendo conto dei rischi di
cybersecurity.
7 di 13
Allegato 1 Misure di sicurezza di base per i soggetti importanti
1. È definito, attuato, aggiornato e documentato un piano di formazione in materia di
sicurezza informatica del personale, ivi inclusi gli organi di amministrazione e direttivi,
che comprende almeno:
a) la pianificazione delle attività di formazione previste con lindicazione dei contenuti
della formazione fornita;
b) le eventuali modalità di verifica dell'acquisizione dei contenuti.
2. Il piano di formazione di cui al punto 1 è approvato dagli organi di amministrazione e
direttivi.
3. È mantenuto un registro aggiornato recante l'elenco dei dipendenti che hanno ricevuto la
formazione di cui al punto 1, i relativi contenuti e l'elenco delle verifiche svolte laddove
previste.
3.3. Sicurezza dei dati (PR.DS): I dati sono gestiti in modo coerente con la strategia sul rischio
dell'organizzazione per proteggere la riservatezza, l'integrità e la disponibilità delle
informazioni.
3.3.1. PR.DS-01: La riservatezza, l'integrità e la disponibilità dei dati a riposo (data-at-rest) sono
protette.
1. Per almeno i sistemi informativi e di rete rilevanti e in accordo agli esiti della valutazione
del rischio di cui alla misura ID.RA-05, fatte salve motivate e documentate ragioni
normative o tecniche, i dati memorizzati sui dispositivi portatili, ivi inclusi laptop,
smartphone e tablet, e sui supporti removibili, sono cifrati con protocolli e algoritmi allo
stato dellarte e considerati sicuri.
2. Fatte salve e documentate ragioni normative o tecniche, è disabilitata l'auto esecuzione dei
supporti rimovibili ed è effettuata la loro scansione al fine di rilevare codici malevoli prima
che siano utilizzati nei sistemi informativi e di rete.
3. Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le
procedure in relazione ai punti 1 e 2.
3.3.2. PR.DS-02: La riservatezza, l'integrità e la disponibilità dei dati in transito (data-in-transit)
sono protette.
1. Per almeno i sistemi informativi e di rete rilevanti, ivi inclusi quelli di comunicazione
vocale, video e testuale, e in accordo agli esiti della valutazione del rischio di cui alla
misura ID.RA-05, ivi inclusi quelli di comunicazione vocale, video e testuale, fatte salve
motivate e documentate ragioni normative o tecniche, sono utilizzati, per la trasmissione
dei dati da e verso lesterno del soggetto NIS, protocolli e algoritmi di cifratura allo stato
dellarte e considerati sicuri.
2. Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le
procedure in relazione al punto 1.
3.3.3. PR.DS-11: I backup dei dati sono creati, protetti, mantenuti e verificati.
1. In accordo alle esigenze di continuità operativa e di ripristino in caso di disastro individuate
nei piani di cui alla misura ID.IM-04, sono effettuati periodicamente i backup dei dati e
delle configurazioni e, per almeno i sistemi informativi e di rete rilevanti, sono anche
conservate copie di backup offline.
2. Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le
procedure in relazione al punto 1.
8 di 13
Allegato 1 Misure di sicurezza di base per i soggetti importanti
3.4. Sicurezza delle piattaforme (PR.PS): L'hardware, il software (ad esempio firmware, sistemi
operativi, applicazioni) e i servizi delle piattaforme fisiche e virtuali sono gestiti in modo
coerente con la strategia sul rischio dell'organizzazione per proteggere la loro riservatezza,
integrità e disponibilità.
3.4.1. PR.PS-02: Il software è mantenuto, sostituito e rimosso in base al rischio.
1. Fatte salve motivate e documentate ragioni normative o tecniche, è installato
esclusivamente software, ivi compresi i sistemi operativi, per il quale è garantita la
disponibilità di aggiornamenti di sicurezza.
2. Fatte salve motivate e documentate ragioni normative o tecniche, sono installati, senza
ingiustificato ritardo, gli ultimi aggiornamenti di sicurezza rilasciati dal produttore in
coerenza con il piano di gestione delle vulnerabilità di cui alla misura ID.RA-08.
3. Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le
procedure in relazione ai punti 1e 2.
3.4.2. PR.PS-04: I registri di log sono generati e resi disponibili per il monitoraggio continuo.
1. Tutti gli accessi eseguiti da remoto e quelli effettuati con utenze con privilegi
amministrativi sono registrati.
2. Per almeno i sistemi informativi e di rete rilevanti, sono conservati in modo sicuro, e
possibilmente centralizzato, almeno i log necessari ai fini del monitoraggio degli eventi di
sicurezza, ivi compresi quelli relativi agli accessi di cui al punto 1.
3. In accordo agli esiti della valutazione rischio di cui alla misura ID.RA-05, sono definite e
documentate le tempistiche di conservazione dei log di cui al punto 2.
4. Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le
procedure in relazione ai punti 1 e 2.
3.4.3. PR.PS-06: Le pratiche di sviluppo sicuro del software sono integrate e le loro prestazioni sono
monitorate durante l'intero ciclo di vita del software.
1. Sono adottate e documentate pratiche di sviluppo sicuro del codice nello sviluppo del
software.
3.5. Resilienza dell'infrastruttura tecnologica (PR.IR): Le architetture di sicurezza sono gestite
in accordo con la strategia sul rischio dell'organizzazione per proteggere la riservatezza,
l'integrità e la disponibilità degli asset e la resilienza organizzativa.
3.5.1. PR.IR-01: Le reti e gli ambienti sono protetti dall'accesso logico e dall'uso non autorizzati.
1. Per almeno i sistemi informativi e di rete rilevanti, sono definite e documentate le eventuali
attività consentite da remoto e implementate adeguate misure di sicurezza per laccesso.
2. È mantenuto un elenco aggiornato dei sistemi informativi e di rete ai quali è possibile
accedere da remoto con la descrizione delle relative modalità di accesso.
3. Sono presenti, aggiornati, mantenuti e configurati i sistemi perimetrali, quali firewall.
4. Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le
procedure in relazione ai punti 1, 2 e 3.
4. RILEVAMENTO (DETECT)
4.1. Monitoraggio continuo (DE.CM): Gli asset sono monitorati per individuare anomalie,
indicatori di compromissione e altri eventi potenzialmente avversi.
9 di 13
Allegato 1 Misure di sicurezza di base per i soggetti importanti
4.1.1. DE.CM-01: Le reti e i servizi di rete sono monitorati per individuare eventi potenzialmente
avversi.
1. Per almeno i sistemi informativi e di rete rilevanti, sono presenti, aggiornati, mantenuti e
configurati in modo adeguato strumenti tecnici per rilevare tempestivamente gli incidenti
significativi.
2. Sono definiti e documentati i livelli di servizio attesi (SL) dei servizi e delle attività del
soggetto NIS anche ai fini di rilevare tempestivamente gli incidenti significativi.
3. Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le
procedure in relazione ai punti 1 e 2.
4.1.2. DE.CM-09: L'hardware e il software di elaborazione, gli ambienti di runtime e i loro dati sono
monitorati per individuare eventi potenzialmente avversi.
1. Fatte salve motivate e documentate ragioni normative o tecniche, sono presenti, aggiornati,
mantenuti e configurati in modo adeguato, sistemi di protezione delle postazioni terminali
per il rilevamento del codice malevolo.
2. Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le
procedure in relazione al punto 1.
5. RISPOSTA (RESPOND)
5.1. Gestione degli incidenti (RS.MA): Le risposte agli incidenti di cybersecurity rilevati sono
gestite.
5.1.1. RS.MA-01: Il piano di risposta agli incidenti è eseguito in coordinamento con le terze parti
interessate una volta dichiarato un incidente.
1. È definito, attuato, aggiornato e documentato un piano per la gestione degli incidenti di
sicurezza informatica e la notifica al CSIRT Italia, in accordo a quanto previsto
dallarticolo 25 del decreto NIS, che comprende almeno:
a) le fasi e le procedure di gestione e notifica degli incidenti con lindicazione dei relativi
ruoli e delle responsabilità;
b) le procedure per la predisposizione e la trasmissione delle relazioni di cui allarticolo
25, comma 5, lettere c), d) ed e) del decreto NIS;
c) le informazioni di contatto per la segnalazione degli incidenti;
d) le modalità di comunicazione interna, anche con riguardo al coinvolgimento degli
organi di amministrazione e direttivi, ed esterna;
e) la reportistica da utilizzare per la documentazione dellincidente.
2. Il piano di cui al punto 1 è approvato dagli organi di amministrazione e direttivi.
3. Il piano di cui al punto 1 è riesaminato e, se opportuno, aggiornato periodicamente e
comunque almeno ogni due anni, nonché qualora si verifichino incidenti significativi,
integrando le relative lezioni apprese, o mutamenti dellesposizione alle minacce e ai
relativi rischi.
5.2. Segnalazione e comunicazione della risposta agli incidenti (RS.CO): Le attività di risposta
sono coordinate con gli stakeholder interni ed esterni come richiesto da leggi, regolamenti o
politiche.
5.2.1. RS.CO-02: Gli stakeholder interni ed esterni sono informati degli incidenti.
10 di 13
Allegato 1 Misure di sicurezza di base per i soggetti importanti
1. In accordo al piano per la gestione degli incidenti di cui alla misura RS.MA-01, sono
documentate e adottate procedure per comunicare senza ingiustificato ritardo, se ritenuto
opportuno e qualora possibile, sentito il CSIRT Italia, ovvero qualora intimato
dallAgenzia per la cybersicurezza nazionale ai sensi dellarticolo 37, comma 3, lettere g)
e h), del decreto NIS:
a) ai destinatari dei loro servizi, gli incidenti significativi che possono ripercuotersi
negativamente sulla fornitura di tali servizi;
b) ai destinatari dei servizi che sono potenzialmente interessati da una minaccia
informatica significativa, le misure o azioni correttive o di mitigazione che tali
destinatari possono adottare in risposta a tale minaccia e la natura di tale minaccia.
2. Sono documentate e adottate procedure per informare il pubblico sugli incidenti occorsi,
qualora intimato dallAgenzia per la cybersicurezza nazionale ai sensi dellart. 37,
comma 3, lettera i) del decreto NIS.
6. RIPRISTINO (RECOVER)
6.1. Esecuzione del piano di ripristino dagli incidenti (RC.RP): Le attività di ripristino sono
eseguite per garantire la disponibilità operativa dei sistemi e dei servizi interessati da incidenti
di cybersecurity.
6.1.1. RC.RP-01: La parte del piano di risposta agli incidenti relativa al rispristino viene eseguita
una volta avviata dal processo di risposta agli incidenti.
1. Nell'ambito del piano per la gestione degli incidenti di cui alla misura RS.MA-01, sono
adottate e documentate procedure per il ripristino con riguardo almeno al ripristino del
normale funzionamento dei sistemi informativi e di rete coinvolti da incidenti di sicurezza
informatica, ivi compresi quelli di cui allarticolo 25 del decreto NIS.
11 di 13
Allegato 1 Misure di sicurezza di base per i soggetti importanti
Appendice
Tabella 1: Requisiti di cui al punto 2 della misura GV.PO-01.
Ambiti Politiche Requisiti
GV.OC-04: punto 1.
GV.RM-03: punto 1.
a) Gestione del rischio.
ID.RA-05: punti 1, 2 e 3.
ID.RA-06: punti 1, 2 e 3.
b) Ruoli e responsabilità. GV.RR-02: punti 1, 2, 3 e 4.
c) Affidabilità delle risorse umane. GV.RR-04: punti 1 e 2.
GV.PO-01: punti 1, 2 e 3.
d) Conformità e audit di sicurezza. GV.PO-02: punti 1 e 2.
ID.IM-01: punti 1 e 2.
GV.SC-01: punto 1.
GV.SC-02: punto 1.
e) Gestione dei rischi per la sicurezza informatica
GV.SC-04: punto 1.
della catena di approvvigionamento.
GV.SC-05: punto 1.
GV.SC-07: punti 1 e 2.
ID.AM-01: punto 1.
f) Gestione degli asset. ID.AM-02: punto 1.
ID.AM-04: punto 1.
ID.RA-01: punto 1.
g) Gestione delle vulnerabilità.
ID.RA-08: punti 1, 2, 3 e 4.
h) Continuità operativa, ripristino in caso di disastro
ID.IM-04: punti 1, 2, 3, 4 e 5.
e gestione delle crisi.
PR.AA-01: punti 1, 2 e 3.
i) Gestione dell'autenticazione, delle identità digitali PR.AA-03: punti 1 e 2.
e del controllo accessi. PR.AA-05: punti 1 e 2.
PR.IR-01: punti 1 e 2.
j) Sicurezza fisica PR.AA-06: punto 1.
k) Formazione del personale e consapevolezza. PR.AT-01: punti 1, 2 e 3.
PR.DS-01: punti 1 e 2.
l) Sicurezza dei dati. PR.DS-02: punto 1.
PR.DS-11: punto 1.
PR.PS-02: punti 1, 2.
m) Sviluppo, configurazione, manutenzione e
PR.PS-04: punti 1, 2 e 3.
dismissione dei sistemi informativi e di rete.
PR.PS-06: punto 1.
n) Protezione delle reti e delle comunicazioni. PR.IR-01: punto 3.
DE.CM-01: punti 1 e 2.
o) Monitoraggio degli eventi di sicurezza.
DE.CM-09: punto 1.
RS.MA-01: punti 1, 2 e 3.
p) Risposta agli incidenti e ripristino. RS.CO-02: punti 1 e 2.
RC.RP-01: punto 1.
12 di 13
Allegato 1 Misure di sicurezza di base per i soggetti importanti
Tabella 2: Requisiti di cui al punto 2 della misura ID.RA-06.
Requisiti
GV.SC-05: punto 1.
PR.AA-01: punto 1.
PR.DS-01: punti 1 e 2.
PR.DS-02: punto 1.
PR.PS-02: punti 1 e 2.
DE.CM-09: punto 1.
13 di 13
Reference in New Issue View Git Blame Copy Permalink