Cristiano Benassati
ae78a2f7f4
Complete MVP implementation including: - PHP 8.4 backend with Front Controller pattern (80+ API endpoints) - Multi-tenant architecture with organization_id isolation - JWT authentication (HS256, 2h access + 7d refresh tokens) - 14 controllers: Auth, Organization, Assessment, Dashboard, Risk, Incident, Policy, SupplyChain, Training, Asset, Audit, Admin - AI Service integration (Anthropic Claude API) for gap analysis, risk suggestions, policy generation, incident classification - NIS2 gap analysis questionnaire (~80 questions, 10 categories) - MySQL schema (20 tables) with NIS2 Art. 21 compliance controls - NIS2 Art. 23 incident reporting workflow (24h/72h/30d) - Frontend: login, register, dashboard, assessment wizard, org setup - Docker configuration (PHP-FPM + Nginx + MySQL) Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
899 lines
82 KiB
JSON
899 lines
82 KiB
JSON
{
|
|
"version": "1.0.0",
|
|
"title": "NIS2 Directive - Compliance Gap Analysis Questionnaire",
|
|
"description": "Questionario di analisi del divario di conformita alla Direttiva NIS2 (EU 2022/2555) - Articolo 21(2)",
|
|
"total_questions": 80,
|
|
"categories": [
|
|
{
|
|
"id": "risk_assessment",
|
|
"title_it": "Analisi dei rischi e sicurezza dei sistemi informatici",
|
|
"title_en": "Risk analysis and information system security",
|
|
"nis2_article": "21.2.a",
|
|
"iso27001_controls": ["A.5.1", "A.5.2", "A.8.1", "A.8.2", "A.8.8"],
|
|
"questions": [
|
|
{
|
|
"code": "ART21A_001",
|
|
"text_it": "L'organizzazione ha implementato un processo formale e documentato di analisi dei rischi informatici che copra tutti i sistemi informativi critici?",
|
|
"text_en": "Has the organization implemented a formal and documented IT risk analysis process covering all critical information systems?",
|
|
"guidance_it": "Il processo dovrebbe includere identificazione, valutazione e trattamento dei rischi cyber secondo una metodologia riconosciuta (es. ISO 27005, NIST SP 800-30). Deve essere approvato dalla direzione e comunicato a tutte le parti interessate.",
|
|
"evidence_examples": ["Documento di metodologia di analisi dei rischi", "Policy di gestione del rischio approvata dalla direzione", "Verbale di approvazione del framework di risk management"],
|
|
"nis2_article": "21.2.a",
|
|
"iso27001_control": "A.5.1",
|
|
"weight": 3
|
|
},
|
|
{
|
|
"code": "ART21A_002",
|
|
"text_it": "Esiste un registro dei rischi (risk register) aggiornato che documenti tutti i rischi cyber identificati, le relative valutazioni e i piani di trattamento?",
|
|
"text_en": "Is there an up-to-date risk register documenting all identified cyber risks, their assessments, and treatment plans?",
|
|
"guidance_it": "Il registro deve contenere per ogni rischio: descrizione, probabilita, impatto, livello di rischio residuo, piano di trattamento, responsabile e scadenze. Deve essere aggiornato almeno trimestralmente.",
|
|
"evidence_examples": ["Risk register aggiornato", "Report di valutazione dei rischi", "Piano di trattamento dei rischi con stato di avanzamento"],
|
|
"nis2_article": "21.2.a",
|
|
"iso27001_control": "A.5.1",
|
|
"weight": 3
|
|
},
|
|
{
|
|
"code": "ART21A_003",
|
|
"text_it": "Viene effettuata una revisione periodica dell'analisi dei rischi almeno annualmente o in occasione di cambiamenti significativi nell'infrastruttura o nel contesto delle minacce?",
|
|
"text_en": "Is the risk analysis reviewed periodically at least annually or upon significant changes in infrastructure or threat landscape?",
|
|
"guidance_it": "La revisione deve essere pianificata e documentata. I cambiamenti significativi includono: nuovi sistemi, modifiche architetturali, nuove minacce rilevanti, incidenti di sicurezza, cambiamenti normativi o organizzativi.",
|
|
"evidence_examples": ["Piano di revisione periodica dei rischi", "Verbali delle revisioni effettuate", "Report di aggiornamento del risk assessment"],
|
|
"nis2_article": "21.2.a",
|
|
"iso27001_control": "A.5.1",
|
|
"weight": 2
|
|
},
|
|
{
|
|
"code": "ART21A_004",
|
|
"text_it": "L'organizzazione ha definito formalmente la propria propensione al rischio (risk appetite) e le soglie di accettazione del rischio residuo, approvate dall'organo di gestione?",
|
|
"text_en": "Has the organization formally defined its risk appetite and residual risk acceptance thresholds, approved by the management body?",
|
|
"guidance_it": "Il risk appetite deve essere definito in termini quantitativi o qualitativi, approvato dal consiglio di amministrazione o dall'organo direttivo, e comunicato ai responsabili della gestione dei rischi.",
|
|
"evidence_examples": ["Documento di definizione del risk appetite", "Delibera di approvazione dell'organo di gestione", "Matrice delle soglie di accettazione del rischio"],
|
|
"nis2_article": "21.2.a",
|
|
"iso27001_control": "A.5.2",
|
|
"weight": 2
|
|
},
|
|
{
|
|
"code": "ART21A_005",
|
|
"text_it": "Sono stati designati formalmente i responsabili (risk owner) per ciascun rischio identificato nel registro dei rischi?",
|
|
"text_en": "Have risk owners been formally designated for each risk identified in the risk register?",
|
|
"guidance_it": "Ogni rischio deve avere un responsabile chiaramente identificato con l'autorita e le risorse necessarie per gestire il rischio. I risk owner devono essere consapevoli delle proprie responsabilita e rendere conto periodicamente dello stato dei rischi assegnati.",
|
|
"evidence_examples": ["Matrice RACI della gestione dei rischi", "Nomine formali dei risk owner", "Report periodici dei risk owner alla direzione"],
|
|
"nis2_article": "21.2.a",
|
|
"iso27001_control": "A.5.2",
|
|
"weight": 2
|
|
},
|
|
{
|
|
"code": "ART21A_006",
|
|
"text_it": "E' stata definita una classificazione degli impatti (finanziario, operativo, reputazionale, legale) con scale e criteri chiari per la valutazione dei rischi?",
|
|
"text_en": "Has an impact classification (financial, operational, reputational, legal) been defined with clear scales and criteria for risk assessment?",
|
|
"guidance_it": "La classificazione deve prevedere almeno 3-5 livelli di impatto per ciascuna dimensione, con descrizioni concrete e soglie quantitative dove possibile. Deve essere coerente con il framework di risk management aziendale.",
|
|
"evidence_examples": ["Tabella di classificazione degli impatti", "Criteri di valutazione della probabilita e dell'impatto", "Matrice probabilita-impatto documentata"],
|
|
"nis2_article": "21.2.a",
|
|
"iso27001_control": "A.8.1",
|
|
"weight": 2
|
|
},
|
|
{
|
|
"code": "ART21A_007",
|
|
"text_it": "L'organizzazione utilizza fonti di threat intelligence per aggiornare la propria analisi dei rischi e identificare nuove minacce rilevanti per il proprio settore?",
|
|
"text_en": "Does the organization use threat intelligence sources to update its risk analysis and identify new threats relevant to its sector?",
|
|
"guidance_it": "Le fonti possono includere CERT nazionali ed europei (CSIRT Italia, ENISA), feed commerciali di threat intelligence, ISAC settoriali, bollettini di sicurezza dei vendor. Le informazioni raccolte devono essere integrate nel processo di risk assessment.",
|
|
"evidence_examples": ["Elenco delle fonti di threat intelligence sottoscritte", "Report periodici di threat intelligence", "Evidenza di aggiornamento del risk register basato su nuove minacce"],
|
|
"nis2_article": "21.2.a",
|
|
"iso27001_control": "A.5.1",
|
|
"weight": 2
|
|
},
|
|
{
|
|
"code": "ART21A_008",
|
|
"text_it": "I risultati dell'analisi dei rischi e lo stato dei piani di trattamento vengono regolarmente comunicati all'organo di gestione (Art. 20 NIS2) attraverso report strutturati?",
|
|
"text_en": "Are risk analysis results and treatment plan status regularly reported to the management body (Art. 20 NIS2) through structured reports?",
|
|
"guidance_it": "L'Art. 20 della Direttiva NIS2 richiede che gli organi di gestione approvino le misure di gestione dei rischi e supervisionino la loro attuazione. Il reporting deve essere almeno semestrale e includere: stato dei rischi critici, avanzamento delle misure di mitigazione, nuovi rischi emergenti.",
|
|
"evidence_examples": ["Report periodico sui rischi presentato al CdA", "Verbali del comitato rischi", "Dashboard di sintesi del rischio per la direzione"],
|
|
"nis2_article": "21.2.a",
|
|
"iso27001_control": "A.5.1",
|
|
"weight": 3
|
|
}
|
|
]
|
|
},
|
|
{
|
|
"id": "incident_handling",
|
|
"title_it": "Gestione degli incidenti",
|
|
"title_en": "Incident handling",
|
|
"nis2_article": "21.2.b",
|
|
"iso27001_controls": ["A.5.24", "A.5.25", "A.5.26", "A.5.27", "A.6.8", "A.8.16"],
|
|
"questions": [
|
|
{
|
|
"code": "ART21B_001",
|
|
"text_it": "L'organizzazione dispone di un piano di risposta agli incidenti di sicurezza informatica formalizzato, approvato dalla direzione e testato almeno annualmente?",
|
|
"text_en": "Does the organization have a formalized cybersecurity incident response plan, approved by management and tested at least annually?",
|
|
"guidance_it": "Il piano deve definire ruoli e responsabilita, procedure di attivazione, fasi di risposta (identificazione, contenimento, eradicazione, ripristino, lessons learned), canali di comunicazione e criteri di escalation.",
|
|
"evidence_examples": ["Piano di risposta agli incidenti approvato", "Report dei test del piano (tabletop exercise o simulazione)", "Registro delle revisioni del piano"],
|
|
"nis2_article": "21.2.b",
|
|
"iso27001_control": "A.5.24",
|
|
"weight": 3
|
|
},
|
|
{
|
|
"code": "ART21B_002",
|
|
"text_it": "Sono implementati strumenti e processi di rilevamento degli incidenti di sicurezza (SIEM, SOC, IDS/IPS, EDR) con copertura adeguata dell'infrastruttura critica?",
|
|
"text_en": "Are incident detection tools and processes (SIEM, SOC, IDS/IPS, EDR) implemented with adequate coverage of critical infrastructure?",
|
|
"guidance_it": "Le capacita di rilevamento devono coprire rete, endpoint, applicazioni e cloud. Devono essere definiti use case di rilevamento basati sulle minacce rilevanti. Il monitoraggio deve essere attivo 24/7 per i sistemi critici.",
|
|
"evidence_examples": ["Architettura del sistema di monitoraggio", "Elenco degli use case di detection attivi", "Report di copertura del monitoraggio sull'infrastruttura"],
|
|
"nis2_article": "21.2.b",
|
|
"iso27001_control": "A.8.16",
|
|
"weight": 3
|
|
},
|
|
{
|
|
"code": "ART21B_003",
|
|
"text_it": "Esiste un sistema di classificazione degli incidenti di sicurezza con livelli di severita definiti e criteri oggettivi per determinare se un incidente e' significativo ai sensi dell'Art. 23 NIS2?",
|
|
"text_en": "Is there an incident classification system with defined severity levels and objective criteria for determining whether an incident is significant under Art. 23 NIS2?",
|
|
"guidance_it": "La classificazione deve distinguere tra eventi, incidenti minori e incidenti significativi. I criteri per l'incidente significativo devono considerare: numero di utenti impattati, durata, estensione geografica, impatto sui servizi essenziali/importanti.",
|
|
"evidence_examples": ["Tabella di classificazione degli incidenti", "Criteri di significativita ex Art. 23 NIS2", "Procedura di triage e classificazione"],
|
|
"nis2_article": "21.2.b",
|
|
"iso27001_control": "A.5.25",
|
|
"weight": 3
|
|
},
|
|
{
|
|
"code": "ART21B_004",
|
|
"text_it": "Sono definite procedure di escalation chiare con tempi di risposta, ruoli decisionali e criteri di attivazione del team di crisi per incidenti di elevata severita?",
|
|
"text_en": "Are clear escalation procedures defined with response times, decision-making roles, and crisis team activation criteria for high-severity incidents?",
|
|
"guidance_it": "Le procedure devono specificare chi contattare a ciascun livello, i tempi massimi di escalation, le autorita decisionali per le azioni di contenimento e le condizioni per l'attivazione del crisis management team.",
|
|
"evidence_examples": ["Matrice di escalation con contatti e tempi", "Procedura di attivazione del team di crisi", "Registro degli incidenti con tracciamento delle escalation"],
|
|
"nis2_article": "21.2.b",
|
|
"iso27001_control": "A.5.26",
|
|
"weight": 2
|
|
},
|
|
{
|
|
"code": "ART21B_005",
|
|
"text_it": "E' stato predisposto un piano di comunicazione per gli incidenti che includa comunicazione interna, verso clienti/utenti, autorita di controllo, media e altre parti interessate?",
|
|
"text_en": "Has a communication plan for incidents been prepared including internal communication, to customers/users, supervisory authorities, media, and other stakeholders?",
|
|
"guidance_it": "Il piano deve prevedere template pre-approvati, portavoce designati, canali di comunicazione alternativi e procedure specifiche per la notifica alle autorita competenti prevista dalla NIS2.",
|
|
"evidence_examples": ["Piano di comunicazione per incidenti di sicurezza", "Template di notifica pre-approvati", "Lista dei contatti per le comunicazioni di crisi"],
|
|
"nis2_article": "21.2.b",
|
|
"iso27001_control": "A.5.26",
|
|
"weight": 2
|
|
},
|
|
{
|
|
"code": "ART21B_006",
|
|
"text_it": "L'organizzazione e' in grado di rispettare gli obblighi di notifica NIS2: preallarme entro 24 ore, notifica completa entro 72 ore e relazione finale entro 30 giorni dalla notifica dell'incidente significativo?",
|
|
"text_en": "Is the organization able to meet NIS2 notification obligations: early warning within 24 hours, full notification within 72 hours, and final report within 30 days of the significant incident notification?",
|
|
"guidance_it": "Ai sensi dell'Art. 23 NIS2, i soggetti essenziali e importanti devono notificare al CSIRT e all'autorita competente: (1) preallarme entro 24h, (2) notifica dell'incidente entro 72h, (3) relazione finale entro un mese. Devono essere predisposte procedure e template per ciascuna fase.",
|
|
"evidence_examples": ["Procedura di notifica al CSIRT nazionale", "Template di preallarme 24h e notifica 72h", "Evidenza di test della procedura di notifica"],
|
|
"nis2_article": "21.2.b",
|
|
"iso27001_control": "A.5.26",
|
|
"weight": 3
|
|
},
|
|
{
|
|
"code": "ART21B_007",
|
|
"text_it": "L'organizzazione dispone di capacita di analisi forense digitale, interne o tramite accordi con fornitori esterni, per investigare gli incidenti di sicurezza e preservare le evidenze?",
|
|
"text_en": "Does the organization have digital forensic analysis capabilities, internal or through agreements with external providers, to investigate security incidents and preserve evidence?",
|
|
"guidance_it": "Le capacita forensi devono includere: raccolta e preservazione delle evidenze digitali, analisi dei log, analisi del malware, ricostruzione della timeline dell'incidente. Se esternalizzate, devono essere previsti SLA adeguati.",
|
|
"evidence_examples": ["Procedura di digital forensics e raccolta evidenze", "Contratto con provider di incident response/forensics", "Kit e strumenti forensi disponibili"],
|
|
"nis2_article": "21.2.b",
|
|
"iso27001_control": "A.5.27",
|
|
"weight": 2
|
|
},
|
|
{
|
|
"code": "ART21B_008",
|
|
"text_it": "Viene condotta sistematicamente un'analisi post-incidente (lessons learned) per ogni incidente significativo, con identificazione di azioni correttive e aggiornamento delle misure di sicurezza?",
|
|
"text_en": "Is a post-incident analysis (lessons learned) systematically conducted for every significant incident, with identification of corrective actions and update of security measures?",
|
|
"guidance_it": "L'analisi post-incidente deve produrre un report che includa: causa radice, timeline dell'incidente, efficacia della risposta, azioni correttive con responsabili e scadenze. I risultati devono alimentare l'aggiornamento del risk register e delle misure di sicurezza.",
|
|
"evidence_examples": ["Report di lessons learned degli incidenti", "Piano di azioni correttive post-incidente", "Evidenza di aggiornamento delle misure di sicurezza a seguito di incidenti"],
|
|
"nis2_article": "21.2.b",
|
|
"iso27001_control": "A.5.27",
|
|
"weight": 2
|
|
}
|
|
]
|
|
},
|
|
{
|
|
"id": "business_continuity",
|
|
"title_it": "Continuita operativa e gestione delle crisi",
|
|
"title_en": "Business continuity and crisis management",
|
|
"nis2_article": "21.2.c",
|
|
"iso27001_controls": ["A.5.29", "A.5.30", "A.8.13", "A.8.14"],
|
|
"questions": [
|
|
{
|
|
"code": "ART21C_001",
|
|
"text_it": "L'organizzazione ha adottato un piano di continuita operativa (BCP) formalizzato che copra i servizi essenziali/importanti erogati e sia stato approvato dalla direzione?",
|
|
"text_en": "Has the organization adopted a formalized business continuity plan (BCP) covering the essential/important services provided and approved by management?",
|
|
"guidance_it": "Il BCP deve identificare i processi critici, le risorse necessarie, le strategie di continuita e i ruoli/responsabilita. Deve essere allineato alla Business Impact Analysis (BIA) e aggiornato almeno annualmente.",
|
|
"evidence_examples": ["Piano di continuita operativa approvato", "Business Impact Analysis (BIA)", "Organigramma del team di continuita operativa"],
|
|
"nis2_article": "21.2.c",
|
|
"iso27001_control": "A.5.29",
|
|
"weight": 3
|
|
},
|
|
{
|
|
"code": "ART21C_002",
|
|
"text_it": "Il piano di disaster recovery (DRP) viene testato regolarmente con esercitazioni che simulino scenari realistici di disastro, inclusi scenari di attacco cyber?",
|
|
"text_en": "Is the disaster recovery plan (DRP) regularly tested with exercises simulating realistic disaster scenarios, including cyber attack scenarios?",
|
|
"guidance_it": "I test devono essere condotti almeno annualmente e includere diversi scenari: guasto data center, ransomware, compromissione dell'infrastruttura. I risultati devono essere documentati con gap identificati e azioni correttive.",
|
|
"evidence_examples": ["Report dei test del DRP con risultati", "Piano di test annuale del disaster recovery", "Azioni correttive derivanti dai test"],
|
|
"nis2_article": "21.2.c",
|
|
"iso27001_control": "A.5.30",
|
|
"weight": 3
|
|
},
|
|
{
|
|
"code": "ART21C_003",
|
|
"text_it": "Sono stati definiti e documentati gli obiettivi di tempo di ripristino (RTO) e di punto di ripristino (RPO) per tutti i sistemi e servizi critici, validati dalla direzione aziendale?",
|
|
"text_en": "Have recovery time objectives (RTO) and recovery point objectives (RPO) been defined and documented for all critical systems and services, validated by business management?",
|
|
"guidance_it": "RTO e RPO devono essere definiti sulla base della Business Impact Analysis, concordati con i responsabili di business e tecnicamente realizzabili con le infrastrutture disponibili. Devono essere verificati attraverso i test di DR.",
|
|
"evidence_examples": ["Tabella RTO/RPO per sistemi critici", "Business Impact Analysis con requisiti di ripristino", "Verbale di approvazione RTO/RPO da parte della direzione"],
|
|
"nis2_article": "21.2.c",
|
|
"iso27001_control": "A.5.30",
|
|
"weight": 3
|
|
},
|
|
{
|
|
"code": "ART21C_004",
|
|
"text_it": "E' stato costituito un team di gestione delle crisi con ruoli, responsabilita e autorita decisionali chiaramente definiti, e il team viene formato e addestrato regolarmente?",
|
|
"text_en": "Has a crisis management team been established with clearly defined roles, responsibilities, and decision-making authority, and is the team regularly trained?",
|
|
"guidance_it": "Il team deve includere rappresentanti del management, IT, sicurezza, comunicazione, legale e risorse umane. Devono essere previsti sostituti per ciascun ruolo e il team deve partecipare a esercitazioni almeno semestrali.",
|
|
"evidence_examples": ["Composizione del team di crisi con ruoli e contatti", "Piano di formazione del team di crisi", "Report delle esercitazioni di crisis management"],
|
|
"nis2_article": "21.2.c",
|
|
"iso27001_control": "A.5.29",
|
|
"weight": 2
|
|
},
|
|
{
|
|
"code": "ART21C_005",
|
|
"text_it": "E' stata implementata una strategia di backup che preveda copie multiple, almeno una offline o immutabile, con test di ripristino regolari e protezione contro il ransomware?",
|
|
"text_en": "Has a backup strategy been implemented with multiple copies, at least one offline or immutable, with regular restore tests and ransomware protection?",
|
|
"guidance_it": "La strategia deve seguire almeno la regola 3-2-1 (3 copie, 2 supporti diversi, 1 offsite). I backup devono essere protetti da crittografia, segregati dalla rete di produzione e testati per il ripristino almeno trimestralmente.",
|
|
"evidence_examples": ["Policy di backup e retention", "Report dei test di ripristino dei backup", "Architettura della soluzione di backup con dettaglio della segregazione"],
|
|
"nis2_article": "21.2.c",
|
|
"iso27001_control": "A.8.13",
|
|
"weight": 3
|
|
},
|
|
{
|
|
"code": "ART21C_006",
|
|
"text_it": "Esiste un piano di comunicazione di crisi che definisca le modalita di comunicazione verso dipendenti, clienti, autorita, media e pubblico durante un evento di crisi cyber?",
|
|
"text_en": "Is there a crisis communication plan defining communication methods towards employees, customers, authorities, media, and the public during a cyber crisis event?",
|
|
"guidance_it": "Il piano deve prevedere canali di comunicazione alternativi (nel caso in cui i sistemi principali siano compromessi), template pre-approvati, portavoce designati e procedure di coordinamento con le autorita competenti.",
|
|
"evidence_examples": ["Piano di comunicazione di crisi", "Template di comunicazione per diversi scenari", "Lista dei canali di comunicazione alternativi"],
|
|
"nis2_article": "21.2.c",
|
|
"iso27001_control": "A.5.29",
|
|
"weight": 2
|
|
},
|
|
{
|
|
"code": "ART21C_007",
|
|
"text_it": "L'organizzazione dispone di siti o infrastrutture alternative per garantire la continuita dei servizi critici in caso di indisponibilita del sito primario?",
|
|
"text_en": "Does the organization have alternative sites or infrastructure to ensure continuity of critical services in case of primary site unavailability?",
|
|
"guidance_it": "Le soluzioni possono includere data center secondari, infrastrutture cloud, accordi di mutuo soccorso. La distanza geografica deve essere adeguata a coprire scenari regionali. La capacita del sito alternativo deve essere sufficiente per i servizi critici.",
|
|
"evidence_examples": ["Documentazione del sito di disaster recovery", "Contratti per infrastrutture alternative", "Test di failover sul sito secondario"],
|
|
"nis2_article": "21.2.c",
|
|
"iso27001_control": "A.8.14",
|
|
"weight": 2
|
|
},
|
|
{
|
|
"code": "ART21C_008",
|
|
"text_it": "La strategia di continuita operativa considera le dipendenze dalla supply chain e prevede piani di contingenza per l'indisponibilita di fornitori critici di servizi ICT?",
|
|
"text_en": "Does the business continuity strategy consider supply chain dependencies and include contingency plans for the unavailability of critical ICT service providers?",
|
|
"guidance_it": "Devono essere identificati i fornitori critici per la continuita operativa, valutata la loro capacita di continuita, e previsti piani alternativi (fornitori sostitutivi, soluzioni interne temporanee) per ciascuna dipendenza critica.",
|
|
"evidence_examples": ["Analisi delle dipendenze dalla supply chain", "Piani di contingenza per fornitori critici", "Clausole di continuita nei contratti con fornitori chiave"],
|
|
"nis2_article": "21.2.c",
|
|
"iso27001_control": "A.5.29",
|
|
"weight": 2
|
|
}
|
|
]
|
|
},
|
|
{
|
|
"id": "supply_chain",
|
|
"title_it": "Sicurezza della catena di approvvigionamento",
|
|
"title_en": "Supply chain security",
|
|
"nis2_article": "21.2.d",
|
|
"iso27001_controls": ["A.5.19", "A.5.20", "A.5.21", "A.5.22", "A.5.23"],
|
|
"questions": [
|
|
{
|
|
"code": "ART21D_001",
|
|
"text_it": "L'organizzazione mantiene un inventario aggiornato di tutti i fornitori e prestatori di servizi ICT, classificati in base alla criticita per i servizi essenziali/importanti erogati?",
|
|
"text_en": "Does the organization maintain an up-to-date inventory of all ICT suppliers and service providers, classified based on criticality for the essential/important services provided?",
|
|
"guidance_it": "L'inventario deve includere: nome del fornitore, servizi erogati, dati trattati, livello di accesso ai sistemi, classificazione di criticita, contratto di riferimento, contatti per la sicurezza. Deve essere aggiornato almeno semestralmente.",
|
|
"evidence_examples": ["Registro dei fornitori ICT con classificazione di criticita", "Matrice dei servizi forniti e delle dipendenze", "Procedura di censimento e aggiornamento dell'inventario fornitori"],
|
|
"nis2_article": "21.2.d",
|
|
"iso27001_control": "A.5.19",
|
|
"weight": 3
|
|
},
|
|
{
|
|
"code": "ART21D_002",
|
|
"text_it": "I contratti con i fornitori ICT includono requisiti specifici di sicurezza informatica, clausole di audit, obblighi di notifica degli incidenti e requisiti di conformita NIS2?",
|
|
"text_en": "Do contracts with ICT suppliers include specific cybersecurity requirements, audit clauses, incident notification obligations, and NIS2 compliance requirements?",
|
|
"guidance_it": "I contratti devono contenere: requisiti minimi di sicurezza, diritto di audit, obbligo di notifica incidenti entro tempi definiti, clausole di riservatezza, requisiti di conformita normativa, penali per inadempimento e clausole di uscita.",
|
|
"evidence_examples": ["Template contrattuale con clausole di sicurezza", "Allegato di sicurezza tipo per i contratti ICT", "Checklist di verifica delle clausole contrattuali di sicurezza"],
|
|
"nis2_article": "21.2.d",
|
|
"iso27001_control": "A.5.20",
|
|
"weight": 3
|
|
},
|
|
{
|
|
"code": "ART21D_003",
|
|
"text_it": "Viene condotta una valutazione del rischio di sicurezza (vendor risk assessment) per tutti i fornitori ICT critici, sia in fase di selezione che periodicamente durante il rapporto contrattuale?",
|
|
"text_en": "Is a security risk assessment (vendor risk assessment) conducted for all critical ICT suppliers, both during selection and periodically during the contractual relationship?",
|
|
"guidance_it": "La valutazione deve coprire: postura di sicurezza del fornitore, certificazioni (ISO 27001, SOC 2), capacita di risposta agli incidenti, solidita finanziaria, localizzazione dei dati, subappaltatori. Deve essere ripetuta almeno annualmente per i fornitori critici.",
|
|
"evidence_examples": ["Questionario di valutazione della sicurezza dei fornitori", "Report di vendor risk assessment", "Matrice di rischio fornitori con punteggi"],
|
|
"nis2_article": "21.2.d",
|
|
"iso27001_control": "A.5.21",
|
|
"weight": 3
|
|
},
|
|
{
|
|
"code": "ART21D_004",
|
|
"text_it": "L'accesso dei fornitori ai sistemi e alle reti dell'organizzazione viene monitorato, limitato al necessario e revocato al termine delle attivita o del contratto?",
|
|
"text_en": "Is supplier access to the organization's systems and networks monitored, limited to what is necessary, and revoked upon completion of activities or contract termination?",
|
|
"guidance_it": "Devono essere implementati: accesso basato sul principio del minimo privilegio, autenticazione forte, monitoraggio delle sessioni, registrazione delle attivita, revisione periodica degli accessi attivi, procedura di revoca immediata.",
|
|
"evidence_examples": ["Policy di gestione degli accessi dei fornitori", "Log di monitoraggio degli accessi dei fornitori", "Registro degli accessi attivi con date di revisione"],
|
|
"nis2_article": "21.2.d",
|
|
"iso27001_control": "A.5.22",
|
|
"weight": 2
|
|
},
|
|
{
|
|
"code": "ART21D_005",
|
|
"text_it": "Vengono imposti requisiti di sviluppo sicuro ai fornitori di software e vengono verificati attraverso revisioni del codice, test di sicurezza o certificazioni?",
|
|
"text_en": "Are secure development requirements imposed on software suppliers and verified through code reviews, security testing, or certifications?",
|
|
"guidance_it": "I requisiti devono includere: adozione di pratiche SDLC sicuro, gestione delle vulnerabilita, test di sicurezza del codice (SAST/DAST), gestione delle dipendenze, fornitura di SBOM (Software Bill of Materials) ove applicabile.",
|
|
"evidence_examples": ["Requisiti di sviluppo sicuro per i fornitori", "Report di test di sicurezza del software fornito", "SBOM ricevuti dai fornitori di software"],
|
|
"nis2_article": "21.2.d",
|
|
"iso27001_control": "A.5.21",
|
|
"weight": 2
|
|
},
|
|
{
|
|
"code": "ART21D_006",
|
|
"text_it": "L'organizzazione ha visibilita e controllo sull'utilizzo di subappaltatori da parte dei propri fornitori ICT critici, con diritto di approvazione e requisiti di sicurezza estesi?",
|
|
"text_en": "Does the organization have visibility and control over the use of subcontractors by its critical ICT suppliers, with approval rights and extended security requirements?",
|
|
"guidance_it": "I contratti devono prevedere: obbligo di comunicazione preventiva dei subappalti, diritto di approvazione, estensione dei requisiti di sicurezza ai subappaltatori, diritto di audit sulla catena di subappalto.",
|
|
"evidence_examples": ["Clausole contrattuali sul subappalto", "Registro dei subappaltatori dei fornitori critici", "Evidenza di approvazione dei subappaltatori"],
|
|
"nis2_article": "21.2.d",
|
|
"iso27001_control": "A.5.21",
|
|
"weight": 2
|
|
},
|
|
{
|
|
"code": "ART21D_007",
|
|
"text_it": "I Service Level Agreement (SLA) con i fornitori ICT critici includono metriche di sicurezza, tempi di risposta per vulnerabilita e incidenti, e penali per il mancato rispetto?",
|
|
"text_en": "Do Service Level Agreements (SLAs) with critical ICT suppliers include security metrics, response times for vulnerabilities and incidents, and penalties for non-compliance?",
|
|
"guidance_it": "Gli SLA devono definire: tempi di patching delle vulnerabilita critiche, tempi di notifica degli incidenti, disponibilita dei servizi, tempi di risposta del supporto di sicurezza, metriche di performance della sicurezza misurabili.",
|
|
"evidence_examples": ["SLA con metriche di sicurezza", "Report di monitoraggio degli SLA di sicurezza", "Registro delle violazioni degli SLA e azioni intraprese"],
|
|
"nis2_article": "21.2.d",
|
|
"iso27001_control": "A.5.23",
|
|
"weight": 2
|
|
},
|
|
{
|
|
"code": "ART21D_008",
|
|
"text_it": "Viene condotta una revisione periodica complessiva della sicurezza della supply chain, con aggiornamento della valutazione dei rischi e verifica dell'adeguatezza delle misure in essere?",
|
|
"text_en": "Is a comprehensive periodic review of supply chain security conducted, with an update of risk assessment and verification of the adequacy of existing measures?",
|
|
"guidance_it": "La revisione deve essere almeno annuale e includere: aggiornamento dell'inventario fornitori, rivalutazione della criticita, verifica delle certificazioni, analisi degli incidenti relativi ai fornitori, aggiornamento dei piani di contingenza.",
|
|
"evidence_examples": ["Report annuale di revisione della supply chain security", "Verbale della riunione di revisione con la direzione", "Piano di miglioramento della sicurezza della supply chain"],
|
|
"nis2_article": "21.2.d",
|
|
"iso27001_control": "A.5.22",
|
|
"weight": 2
|
|
}
|
|
]
|
|
},
|
|
{
|
|
"id": "system_security",
|
|
"title_it": "Sicurezza nell'acquisizione, sviluppo e manutenzione dei sistemi informatici e di rete",
|
|
"title_en": "Security in network and information systems acquisition, development, and maintenance",
|
|
"nis2_article": "21.2.e",
|
|
"iso27001_controls": ["A.8.25", "A.8.26", "A.8.27", "A.8.28", "A.8.29", "A.8.31", "A.8.32"],
|
|
"questions": [
|
|
{
|
|
"code": "ART21E_001",
|
|
"text_it": "L'organizzazione ha integrato la sicurezza nel ciclo di vita dello sviluppo software (SDLC), con attivita di sicurezza definite per ogni fase (requisiti, progettazione, sviluppo, test, rilascio)?",
|
|
"text_en": "Has the organization integrated security into the software development lifecycle (SDLC), with security activities defined for each phase (requirements, design, development, testing, release)?",
|
|
"guidance_it": "Le attivita devono includere: analisi dei requisiti di sicurezza, threat modeling in fase di design, coding guidelines sicuro, revisione del codice, test di sicurezza automatizzati (SAST/DAST), security gate prima del rilascio in produzione.",
|
|
"evidence_examples": ["Documento di Secure SDLC con attivita per fase", "Checklist di security gate per i rilasci", "Evidenza di threat modeling per progetti recenti"],
|
|
"nis2_article": "21.2.e",
|
|
"iso27001_control": "A.8.25",
|
|
"weight": 3
|
|
},
|
|
{
|
|
"code": "ART21E_002",
|
|
"text_it": "Esiste un processo strutturato di gestione delle vulnerabilita che includa scansione regolare, classificazione, prioritizzazione e remediation con tempi definiti in base alla severita?",
|
|
"text_en": "Is there a structured vulnerability management process including regular scanning, classification, prioritization, and remediation with defined timelines based on severity?",
|
|
"guidance_it": "Il processo deve prevedere: scansione almeno mensile (settimanale per sistemi critici), classificazione CVSS, tempi massimi di remediation (es. 24-48h per critiche, 7gg per alte, 30gg per medie), tracking delle vulnerabilita aperte, reporting alla direzione.",
|
|
"evidence_examples": ["Policy di gestione delle vulnerabilita con SLA di remediation", "Report delle scansioni di vulnerabilita", "Dashboard di tracciamento delle vulnerabilita aperte"],
|
|
"nis2_article": "21.2.e",
|
|
"iso27001_control": "A.8.28",
|
|
"weight": 3
|
|
},
|
|
{
|
|
"code": "ART21E_003",
|
|
"text_it": "E' implementato un processo di patch management che garantisca l'applicazione tempestiva degli aggiornamenti di sicurezza su tutti i sistemi, con particolare attenzione ai sistemi esposti a Internet?",
|
|
"text_en": "Is a patch management process implemented that ensures timely application of security updates on all systems, with particular attention to Internet-facing systems?",
|
|
"guidance_it": "Il processo deve prevedere: monitoraggio dei bollettini di sicurezza, valutazione dell'applicabilita, test prima del deployment, finestre di manutenzione pianificate, procedure di rollback, gestione delle eccezioni documentate.",
|
|
"evidence_examples": ["Policy e procedura di patch management", "Report mensile sullo stato di patching", "Registro delle eccezioni di patching con compensating controls"],
|
|
"nis2_article": "21.2.e",
|
|
"iso27001_control": "A.8.31",
|
|
"weight": 3
|
|
},
|
|
{
|
|
"code": "ART21E_004",
|
|
"text_it": "Esiste un processo formale di gestione dei cambiamenti (change management) che includa valutazione dell'impatto sulla sicurezza per ogni modifica ai sistemi informativi?",
|
|
"text_en": "Is there a formal change management process that includes security impact assessment for every modification to information systems?",
|
|
"guidance_it": "Il processo deve prevedere: richiesta formale di cambiamento, valutazione dell'impatto sulla sicurezza, approvazione da parte del security team per cambiamenti significativi, test pre-deployment, piano di rollback, documentazione post-implementazione.",
|
|
"evidence_examples": ["Procedura di change management", "Template di valutazione dell'impatto sulla sicurezza", "Registro dei change con evidenza di approvazione security"],
|
|
"nis2_article": "21.2.e",
|
|
"iso27001_control": "A.8.32",
|
|
"weight": 2
|
|
},
|
|
{
|
|
"code": "ART21E_005",
|
|
"text_it": "Sono definiti e applicati standard di configurazione sicura (hardening) per tutti i sistemi operativi, database, applicazioni, apparati di rete e dispositivi, basati su benchmark riconosciuti?",
|
|
"text_en": "Are secure configuration standards (hardening) defined and applied for all operating systems, databases, applications, network devices, and equipment, based on recognized benchmarks?",
|
|
"guidance_it": "Gli standard devono essere basati su benchmark riconosciuti (CIS Benchmarks, guide NIST). Devono coprire: sistemi operativi, web server, database, apparati di rete, container, servizi cloud. La conformita deve essere verificata periodicamente.",
|
|
"evidence_examples": ["Standard di hardening per ciascuna tecnologia", "Report di conformita agli standard di hardening", "Procedura di verifica periodica delle configurazioni"],
|
|
"nis2_article": "21.2.e",
|
|
"iso27001_control": "A.8.27",
|
|
"weight": 2
|
|
},
|
|
{
|
|
"code": "ART21E_006",
|
|
"text_it": "Vengono eseguiti penetration test almeno annualmente sui sistemi e le applicazioni critiche, condotti da personale qualificato indipendente, con remediation tracciata delle vulnerabilita identificate?",
|
|
"text_en": "Are penetration tests performed at least annually on critical systems and applications, conducted by qualified independent personnel, with tracked remediation of identified vulnerabilities?",
|
|
"guidance_it": "I penetration test devono coprire: perimetro esterno, rete interna, applicazioni web/mobile, social engineering. Devono essere condotti da tester certificati (OSCP, CREST). I risultati devono alimentare il processo di gestione delle vulnerabilita.",
|
|
"evidence_examples": ["Report dei penetration test con classificazione delle vulnerabilita", "Piano di remediation delle vulnerabilita identificate", "Evidenza di ritest dopo la remediation"],
|
|
"nis2_article": "21.2.e",
|
|
"iso27001_control": "A.8.29",
|
|
"weight": 2
|
|
},
|
|
{
|
|
"code": "ART21E_007",
|
|
"text_it": "E' implementato un processo di revisione del codice sorgente che includa analisi statica automatizzata (SAST) e revisione manuale per le componenti critiche, integrato nella pipeline CI/CD?",
|
|
"text_en": "Is a source code review process implemented that includes automated static analysis (SAST) and manual review for critical components, integrated into the CI/CD pipeline?",
|
|
"guidance_it": "L'analisi statica deve essere integrata nella pipeline di build e bloccare il deployment in caso di vulnerabilita critiche. La revisione manuale deve essere effettuata per componenti ad alto rischio (autenticazione, autorizzazione, crittografia, input validation).",
|
|
"evidence_examples": ["Configurazione degli strumenti SAST nella pipeline CI/CD", "Report di analisi statica del codice", "Linee guida per la revisione manuale del codice sicuro"],
|
|
"nis2_article": "21.2.e",
|
|
"iso27001_control": "A.8.26",
|
|
"weight": 2
|
|
},
|
|
{
|
|
"code": "ART21E_008",
|
|
"text_it": "Esistono procedure formalizzate per la dismissione sicura (decommissioning) di sistemi, applicazioni e componenti hardware, che garantiscano la cancellazione sicura dei dati e la rimozione degli accessi?",
|
|
"text_en": "Are there formalized procedures for secure decommissioning of systems, applications, and hardware components, ensuring secure data erasure and access removal?",
|
|
"guidance_it": "Le procedure devono prevedere: inventario dei dati presenti, cancellazione sicura certificata, rimozione di tutti gli accessi e credenziali, aggiornamento dell'inventario asset, verifica della completezza della dismissione, conservazione della documentazione.",
|
|
"evidence_examples": ["Procedura di decommissioning sicuro", "Certificati di cancellazione sicura dei dati", "Checklist di decommissioning completate"],
|
|
"nis2_article": "21.2.e",
|
|
"iso27001_control": "A.8.27",
|
|
"weight": 1
|
|
}
|
|
]
|
|
},
|
|
{
|
|
"id": "effectiveness_assessment",
|
|
"title_it": "Strategie e procedure per valutare l'efficacia delle misure di gestione dei rischi",
|
|
"title_en": "Policies and procedures to assess the effectiveness of cybersecurity risk management measures",
|
|
"nis2_article": "21.2.f",
|
|
"iso27001_controls": ["A.5.35", "A.5.36", "A.8.34"],
|
|
"questions": [
|
|
{
|
|
"code": "ART21F_001",
|
|
"text_it": "L'organizzazione ha definito un set di indicatori chiave di performance (KPI) e indicatori chiave di rischio (KRI) per misurare l'efficacia delle misure di sicurezza informatica?",
|
|
"text_en": "Has the organization defined a set of key performance indicators (KPIs) and key risk indicators (KRIs) to measure the effectiveness of cybersecurity measures?",
|
|
"guidance_it": "I KPI/KRI devono coprire almeno: tempo medio di rilevamento e risposta agli incidenti, percentuale di sistemi patchati entro gli SLA, percentuale di dipendenti formati, esito dei test di phishing, numero di vulnerabilita critiche aperte, conformita alle policy.",
|
|
"evidence_examples": ["Catalogo dei KPI/KRI di sicurezza informatica", "Dashboard dei KPI di sicurezza", "Report periodico dei KPI presentato alla direzione"],
|
|
"nis2_article": "21.2.f",
|
|
"iso27001_control": "A.5.36",
|
|
"weight": 3
|
|
},
|
|
{
|
|
"code": "ART21F_002",
|
|
"text_it": "Vengono condotti audit interni di sicurezza informatica su base regolare, con un piano di audit basato sul rischio e condotti da personale con adeguate competenze e indipendenza?",
|
|
"text_en": "Are internal cybersecurity audits conducted on a regular basis, with a risk-based audit plan and performed by personnel with adequate skills and independence?",
|
|
"guidance_it": "Gli audit interni devono coprire tutti i controlli di sicurezza rilevanti su un ciclo pluriennale. Gli auditor devono essere indipendenti dai processi auditati. Il piano deve essere basato sulla valutazione dei rischi e aggiornato annualmente.",
|
|
"evidence_examples": ["Piano di audit interno di sicurezza informatica", "Report degli audit interni con finding e raccomandazioni", "Qualifiche e certificazioni degli auditor interni"],
|
|
"nis2_article": "21.2.f",
|
|
"iso27001_control": "A.5.35",
|
|
"weight": 2
|
|
},
|
|
{
|
|
"code": "ART21F_003",
|
|
"text_it": "L'organizzazione si sottopone a verifiche di sicurezza da parte di enti esterni indipendenti (audit di terza parte, certificazioni) con cadenza almeno annuale?",
|
|
"text_en": "Does the organization undergo security assessments by independent external bodies (third-party audits, certifications) at least annually?",
|
|
"guidance_it": "Le verifiche esterne possono includere: audit ISO 27001, SOC 2 Type II, penetration test da parte di terzi, assessment di conformita normativa. I risultati devono essere condivisi con la direzione e i finding gestiti con piani di remediation tracciati.",
|
|
"evidence_examples": ["Certificato ISO 27001 o report SOC 2", "Report di audit esterno di sicurezza", "Piano di remediation dei finding dell'audit esterno"],
|
|
"nis2_article": "21.2.f",
|
|
"iso27001_control": "A.5.35",
|
|
"weight": 2
|
|
},
|
|
{
|
|
"code": "ART21F_004",
|
|
"text_it": "Esiste un programma continuativo di penetration testing e red teaming che copra i sistemi critici e simuli scenari di attacco realistici e aggiornati?",
|
|
"text_en": "Is there a continuous penetration testing and red teaming program covering critical systems and simulating realistic, up-to-date attack scenarios?",
|
|
"guidance_it": "Il programma deve prevedere: test almeno annuali del perimetro esterno, test interni, test applicativi, social engineering, e per le organizzazioni piu mature, esercitazioni di red team. Gli scenari devono essere basati sulle minacce reali per il settore.",
|
|
"evidence_examples": ["Piano annuale di penetration testing e red teaming", "Report dei penetration test con remediation", "Scenari di attacco utilizzati per il red teaming"],
|
|
"nis2_article": "21.2.f",
|
|
"iso27001_control": "A.8.34",
|
|
"weight": 2
|
|
},
|
|
{
|
|
"code": "ART21F_005",
|
|
"text_it": "Sono implementate soluzioni di monitoraggio continuo della sicurezza (continuous security monitoring) che forniscano visibilita in tempo reale sulla postura di sicurezza dell'organizzazione?",
|
|
"text_en": "Are continuous security monitoring solutions implemented that provide real-time visibility into the organization's security posture?",
|
|
"guidance_it": "Il monitoraggio continuo deve includere: scansione automatica delle vulnerabilita, verifica della conformita delle configurazioni, monitoraggio degli eventi di sicurezza, anomaly detection, monitoraggio dell'esposizione esterna (attack surface management).",
|
|
"evidence_examples": ["Architettura della soluzione di continuous monitoring", "Dashboard di monitoraggio continuo della sicurezza", "Report automatici di postura di sicurezza"],
|
|
"nis2_article": "21.2.f",
|
|
"iso27001_control": "A.8.34",
|
|
"weight": 2
|
|
},
|
|
{
|
|
"code": "ART21F_006",
|
|
"text_it": "Sono disponibili dashboard di conformita che forniscano alla direzione una visione sintetica e aggiornata dello stato di compliance alle normative applicabili, inclusa la NIS2?",
|
|
"text_en": "Are compliance dashboards available that provide management with a concise and up-to-date view of compliance status with applicable regulations, including NIS2?",
|
|
"guidance_it": "Le dashboard devono mostrare: stato di implementazione dei controlli, gap identificati, avanzamento dei piani di remediation, indicatori di rischio, stato delle certificazioni, scadenze normative. Devono essere aggiornate almeno mensilmente.",
|
|
"evidence_examples": ["Screenshot delle dashboard di compliance", "Report di compliance presentato alla direzione", "Mapping dei controlli implementati rispetto ai requisiti NIS2"],
|
|
"nis2_article": "21.2.f",
|
|
"iso27001_control": "A.5.36",
|
|
"weight": 2
|
|
},
|
|
{
|
|
"code": "ART21F_007",
|
|
"text_it": "L'organo di gestione effettua un riesame periodico (management review) del sistema di gestione della sicurezza informatica, valutando l'adeguatezza e l'efficacia delle misure adottate?",
|
|
"text_en": "Does the management body perform a periodic management review of the cybersecurity management system, assessing the adequacy and effectiveness of the measures adopted?",
|
|
"guidance_it": "Il riesame della direzione deve essere almeno annuale e considerare: risultati degli audit, stato dei rischi, incidenti occorsi, efficacia delle misure, cambiamenti nel contesto, risorse necessarie, opportunita di miglioramento. Deve produrre decisioni e azioni documentate.",
|
|
"evidence_examples": ["Verbale del riesame della direzione", "Presentazione di sintesi per il management review", "Piano di azioni derivante dal riesame della direzione"],
|
|
"nis2_article": "21.2.f",
|
|
"iso27001_control": "A.5.35",
|
|
"weight": 3
|
|
},
|
|
{
|
|
"code": "ART21F_008",
|
|
"text_it": "Esiste un processo formalizzato di miglioramento continuo che raccolga i risultati di audit, incidenti, test e monitoraggio per aggiornare e rafforzare sistematicamente le misure di sicurezza?",
|
|
"text_en": "Is there a formalized continuous improvement process that collects results from audits, incidents, tests, and monitoring to systematically update and strengthen security measures?",
|
|
"guidance_it": "Il processo deve seguire il ciclo PDCA (Plan-Do-Check-Act) e prevedere: raccolta sistematica dei finding da tutte le fonti, analisi delle cause radice, definizione di azioni correttive e preventive, tracciamento dell'implementazione, verifica dell'efficacia.",
|
|
"evidence_examples": ["Procedura di miglioramento continuo della sicurezza", "Registro delle azioni correttive e preventive", "Evidenza di miglioramenti implementati a seguito di finding"],
|
|
"nis2_article": "21.2.f",
|
|
"iso27001_control": "A.5.36",
|
|
"weight": 2
|
|
}
|
|
]
|
|
},
|
|
{
|
|
"id": "cyber_hygiene",
|
|
"title_it": "Pratiche di igiene informatica di base e formazione in materia di sicurezza informatica",
|
|
"title_en": "Basic cyber hygiene practices and cybersecurity training",
|
|
"nis2_article": "21.2.g",
|
|
"iso27001_controls": ["A.6.3", "A.6.6", "A.7.2", "A.7.3"],
|
|
"questions": [
|
|
{
|
|
"code": "ART21G_001",
|
|
"text_it": "L'organizzazione ha implementato un programma strutturato di sensibilizzazione sulla sicurezza informatica (security awareness) per tutti i dipendenti, con contenuti aggiornati regolarmente?",
|
|
"text_en": "Has the organization implemented a structured cybersecurity awareness program for all employees, with regularly updated content?",
|
|
"guidance_it": "Il programma deve essere continuo (non una tantum), coprire i rischi cyber rilevanti per l'organizzazione, utilizzare formati diversificati (e-learning, video, newsletter, poster) e adattare i contenuti ai diversi ruoli aziendali. La partecipazione deve essere obbligatoria e tracciata.",
|
|
"evidence_examples": ["Piano annuale del programma di awareness", "Materiali formativi e comunicazioni inviate", "Report di partecipazione e completamento del programma"],
|
|
"nis2_article": "21.2.g",
|
|
"iso27001_control": "A.6.3",
|
|
"weight": 3
|
|
},
|
|
{
|
|
"code": "ART21G_002",
|
|
"text_it": "Vengono condotte campagne di simulazione di phishing con cadenza regolare, con analisi dei risultati, feedback personalizzato e formazione mirata per i dipendenti che cadono nelle simulazioni?",
|
|
"text_en": "Are phishing simulation campaigns conducted regularly, with analysis of results, personalized feedback, and targeted training for employees who fall for the simulations?",
|
|
"guidance_it": "Le simulazioni devono essere condotte almeno trimestralmente, con scenari realistici e diversificati. I risultati devono essere analizzati per identificare trend e aree di debolezza. I dipendenti che cliccano devono ricevere formazione immediata e follow-up.",
|
|
"evidence_examples": ["Report delle campagne di phishing simulation", "Trend dei risultati nel tempo", "Evidenza di formazione per i dipendenti che hanno fallito le simulazioni"],
|
|
"nis2_article": "21.2.g",
|
|
"iso27001_control": "A.6.3",
|
|
"weight": 2
|
|
},
|
|
{
|
|
"code": "ART21G_003",
|
|
"text_it": "Tutti i dipendenti ricevono una formazione di base sulla sicurezza informatica al momento dell'assunzione e poi con aggiornamenti almeno annuali, coprendo le minacce principali e le policy aziendali?",
|
|
"text_en": "Do all employees receive basic cybersecurity training at onboarding and then with at least annual updates, covering main threats and company policies?",
|
|
"guidance_it": "La formazione deve coprire almeno: phishing e social engineering, gestione delle password, uso sicuro di email e Internet, protezione dei dati, segnalazione degli incidenti, policy di sicurezza aziendali, uso sicuro dei dispositivi mobili.",
|
|
"evidence_examples": ["Contenuti della formazione di base sulla sicurezza", "Registro delle presenze/completamenti della formazione", "Test di verifica dell'apprendimento con risultati"],
|
|
"nis2_article": "21.2.g",
|
|
"iso27001_control": "A.6.3",
|
|
"weight": 3
|
|
},
|
|
{
|
|
"code": "ART21G_004",
|
|
"text_it": "Sono previsti percorsi di formazione specialistica sulla sicurezza informatica per il personale con ruoli tecnici (IT, sviluppo, operations, sicurezza) con contenuti adeguati al loro ruolo?",
|
|
"text_en": "Are specialized cybersecurity training paths provided for personnel in technical roles (IT, development, operations, security) with content appropriate to their role?",
|
|
"guidance_it": "La formazione specialistica deve coprire: secure coding per gli sviluppatori, gestione delle vulnerabilita per gli operatori IT, risposta agli incidenti per il team di sicurezza, architettura sicura per gli architetti. Deve includere certificazioni professionali ove appropriato.",
|
|
"evidence_examples": ["Piano di formazione specialistica per ruoli tecnici", "Registro delle certificazioni professionali del personale", "Programma di sviluppo delle competenze di cybersecurity"],
|
|
"nis2_article": "21.2.g",
|
|
"iso27001_control": "A.6.3",
|
|
"weight": 2
|
|
},
|
|
{
|
|
"code": "ART21G_005",
|
|
"text_it": "I membri dell'organo di gestione (consiglio di amministrazione, direzione) ricevono formazione specifica sulla sicurezza informatica come previsto dall'Art. 20 della Direttiva NIS2?",
|
|
"text_en": "Do members of the management body (board of directors, executive management) receive specific cybersecurity training as required by Art. 20 of the NIS2 Directive?",
|
|
"guidance_it": "L'Art. 20 NIS2 richiede che i membri degli organi di gestione seguano una formazione per acquisire conoscenze e competenze sufficienti per individuare i rischi e valutare le pratiche di gestione dei rischi di cibersicurezza. La formazione deve essere documentata.",
|
|
"evidence_examples": ["Programma di formazione per l'organo di gestione", "Attestati di partecipazione dei membri del CdA", "Materiali formativi specifici per la direzione"],
|
|
"nis2_article": "21.2.g",
|
|
"iso27001_control": "A.6.3",
|
|
"weight": 3
|
|
},
|
|
{
|
|
"code": "ART21G_006",
|
|
"text_it": "L'organizzazione mantiene registrazioni complete di tutte le attivita formative sulla sicurezza informatica, inclusi partecipanti, contenuti, date e risultati delle verifiche di apprendimento?",
|
|
"text_en": "Does the organization maintain complete records of all cybersecurity training activities, including participants, content, dates, and learning assessment results?",
|
|
"guidance_it": "Le registrazioni devono permettere di dimostrare la conformita ai requisiti normativi e devono essere conservate per almeno tre anni. Devono includere: elenco dei partecipanti, contenuti erogati, data e durata, esito dei test di apprendimento.",
|
|
"evidence_examples": ["Database o registro delle attivita formative", "Report di completamento della formazione per reparto", "Risultati aggregati dei test di apprendimento"],
|
|
"nis2_article": "21.2.g",
|
|
"iso27001_control": "A.6.3",
|
|
"weight": 1
|
|
},
|
|
{
|
|
"code": "ART21G_007",
|
|
"text_it": "Viene effettuata una valutazione periodica della cultura della sicurezza informatica nell'organizzazione, con misurazione del livello di consapevolezza e identificazione delle aree di miglioramento?",
|
|
"text_en": "Is a periodic assessment of the cybersecurity culture in the organization conducted, measuring the level of awareness and identifying areas for improvement?",
|
|
"guidance_it": "La valutazione puo includere: survey sulla percezione della sicurezza, analisi dei risultati delle simulazioni di phishing, analisi degli incidenti causati da errore umano, focus group, interviste. I risultati devono guidare l'evoluzione del programma di awareness.",
|
|
"evidence_examples": ["Survey sulla cultura della sicurezza con risultati", "Analisi dei trend di consapevolezza nel tempo", "Piano di miglioramento della cultura della sicurezza"],
|
|
"nis2_article": "21.2.g",
|
|
"iso27001_control": "A.6.3",
|
|
"weight": 1
|
|
},
|
|
{
|
|
"code": "ART21G_008",
|
|
"text_it": "Esiste un processo strutturato di onboarding sulla sicurezza informatica per i nuovi dipendenti e collaboratori che includa formazione, consegna delle policy e firma delle responsabilita?",
|
|
"text_en": "Is there a structured cybersecurity onboarding process for new employees and contractors that includes training, policy delivery, and responsibility acknowledgment?",
|
|
"guidance_it": "L'onboarding deve includere: formazione introduttiva sulla sicurezza, consegna e firma della policy di sicurezza e della policy di uso accettabile, configurazione sicura della postazione, attivazione dell'MFA, briefing sulle procedure di segnalazione degli incidenti.",
|
|
"evidence_examples": ["Checklist di onboarding sulla sicurezza informatica", "Moduli di accettazione delle policy firmati", "Materiale formativo per i nuovi assunti"],
|
|
"nis2_article": "21.2.g",
|
|
"iso27001_control": "A.6.6",
|
|
"weight": 2
|
|
}
|
|
]
|
|
},
|
|
{
|
|
"id": "cryptography",
|
|
"title_it": "Politiche e procedure relative all'uso della crittografia e della cifratura",
|
|
"title_en": "Policies and procedures regarding the use of cryptography and encryption",
|
|
"nis2_article": "21.2.h",
|
|
"iso27001_controls": ["A.8.24"],
|
|
"questions": [
|
|
{
|
|
"code": "ART21H_001",
|
|
"text_it": "L'organizzazione ha adottato una policy formale sull'uso della crittografia che definisca standard, algoritmi approvati, lunghezze minime delle chiavi e casi d'uso obbligatori?",
|
|
"text_en": "Has the organization adopted a formal cryptography policy defining standards, approved algorithms, minimum key lengths, and mandatory use cases?",
|
|
"guidance_it": "La policy deve specificare: algoritmi approvati (es. AES-256, RSA-2048+, SHA-256+), algoritmi vietati (es. DES, MD5, SHA-1), lunghezze minime delle chiavi per ogni uso, requisiti per TLS (versione minima 1.2), scenari in cui la crittografia e' obbligatoria.",
|
|
"evidence_examples": ["Policy sulla crittografia approvata dalla direzione", "Standard tecnici crittografici", "Linee guida per l'implementazione della crittografia"],
|
|
"nis2_article": "21.2.h",
|
|
"iso27001_control": "A.8.24",
|
|
"weight": 3
|
|
},
|
|
{
|
|
"code": "ART21H_002",
|
|
"text_it": "I dati sensibili e critici sono cifrati quando memorizzati (data at rest), con particolare attenzione a database, storage, backup e dispositivi mobili/rimovibili?",
|
|
"text_en": "Are sensitive and critical data encrypted when stored (data at rest), with particular attention to databases, storage, backups, and mobile/removable devices?",
|
|
"guidance_it": "La cifratura at rest deve coprire: database contenenti dati sensibili (full disk o column-level), storage condiviso, backup (prima della trasmissione offsite), laptop e dispositivi mobili (full disk encryption), supporti rimovibili. Devono essere usati algoritmi conformi alla policy.",
|
|
"evidence_examples": ["Inventario dei sistemi con indicazione dello stato di cifratura", "Configurazione della cifratura at rest per i sistemi critici", "Report di verifica della cifratura sui dispositivi mobili"],
|
|
"nis2_article": "21.2.h",
|
|
"iso27001_control": "A.8.24",
|
|
"weight": 3
|
|
},
|
|
{
|
|
"code": "ART21H_003",
|
|
"text_it": "Tutte le comunicazioni di rete che trasportano dati sensibili o credenziali sono protette da cifratura in transito (TLS 1.2+, IPsec, SSH) con configurazioni aggiornate e sicure?",
|
|
"text_en": "Are all network communications carrying sensitive data or credentials protected by encryption in transit (TLS 1.2+, IPsec, SSH) with up-to-date and secure configurations?",
|
|
"guidance_it": "La cifratura in transito deve coprire: tutte le connessioni esterne (HTTPS, SFTP, VPN), comunicazioni tra sistemi interni per dati sensibili, connessioni ai database, API. Le configurazioni TLS devono disabilitare protocolli e cipher suite obsoleti.",
|
|
"evidence_examples": ["Report di scansione TLS/SSL dei servizi esposti", "Standard di configurazione TLS dell'organizzazione", "Inventario dei protocolli di comunicazione utilizzati con stato della cifratura"],
|
|
"nis2_article": "21.2.h",
|
|
"iso27001_control": "A.8.24",
|
|
"weight": 3
|
|
},
|
|
{
|
|
"code": "ART21H_004",
|
|
"text_it": "Esiste un processo strutturato di gestione delle chiavi crittografiche che copra l'intero ciclo di vita: generazione, distribuzione, archiviazione, rotazione, revoca e distruzione?",
|
|
"text_en": "Is there a structured cryptographic key management process covering the entire lifecycle: generation, distribution, storage, rotation, revocation, and destruction?",
|
|
"guidance_it": "Il processo deve prevedere: generazione delle chiavi con entropia adeguata, distribuzione sicura, archiviazione in HSM o key vault, rotazione periodica (almeno annuale per chiavi simmetriche), procedure di revoca di emergenza, distruzione sicura. Deve essere documentato chi ha accesso alle chiavi.",
|
|
"evidence_examples": ["Procedura di gestione delle chiavi crittografiche", "Inventario delle chiavi con date di scadenza e rotazione", "Configurazione del sistema di key management (HSM/Key Vault)"],
|
|
"nis2_article": "21.2.h",
|
|
"iso27001_control": "A.8.24",
|
|
"weight": 3
|
|
},
|
|
{
|
|
"code": "ART21H_005",
|
|
"text_it": "I certificati digitali (TLS/SSL, firma digitale, autenticazione) sono gestiti centralmente con monitoraggio delle scadenze, procedure di rinnovo e un'autorita di certificazione affidabile?",
|
|
"text_en": "Are digital certificates (TLS/SSL, digital signature, authentication) centrally managed with expiration monitoring, renewal procedures, and a trusted certificate authority?",
|
|
"guidance_it": "La gestione deve prevedere: inventario completo dei certificati, monitoraggio automatico delle scadenze con alert, procedure di rinnovo tempestivo, utilizzo di CA riconosciute, revoca immediata in caso di compromissione, gestione dei certificati interni (PKI).",
|
|
"evidence_examples": ["Inventario centralizzato dei certificati digitali", "Tool di monitoraggio delle scadenze dei certificati", "Procedura di rinnovo e revoca dei certificati"],
|
|
"nis2_article": "21.2.h",
|
|
"iso27001_control": "A.8.24",
|
|
"weight": 2
|
|
},
|
|
{
|
|
"code": "ART21H_006",
|
|
"text_it": "Gli standard crittografici adottati sono conformi alle raccomandazioni delle autorita competenti (ENISA, ANSSI, ACN) e vengono aggiornati per riflettere l'evoluzione delle minacce?",
|
|
"text_en": "Are the adopted cryptographic standards compliant with recommendations from competent authorities (ENISA, ANSSI, ACN) and updated to reflect evolving threats?",
|
|
"guidance_it": "L'organizzazione deve monitorare le raccomandazioni delle autorita (es. ENISA Technical Guidelines on Cryptography) e aggiornare i propri standard di conseguenza. Deve prevedere un piano di transizione per l'eliminazione degli algoritmi obsoleti e la preparazione alla crittografia post-quantistica.",
|
|
"evidence_examples": ["Mapping degli standard crittografici adottati rispetto alle raccomandazioni", "Piano di aggiornamento degli standard crittografici", "Valutazione della preparazione alla crittografia post-quantistica"],
|
|
"nis2_article": "21.2.h",
|
|
"iso27001_control": "A.8.24",
|
|
"weight": 2
|
|
},
|
|
{
|
|
"code": "ART21H_007",
|
|
"text_it": "Sono implementate soluzioni di cifratura per le comunicazioni email che trasportano informazioni sensibili, con possibilita di cifratura end-to-end per le comunicazioni piu critiche?",
|
|
"text_en": "Are encryption solutions implemented for email communications carrying sensitive information, with end-to-end encryption capability for the most critical communications?",
|
|
"guidance_it": "Le soluzioni possono includere: TLS obbligatorio per le connessioni SMTP tra mail server, S/MIME o PGP per la cifratura dei messaggi, soluzioni di email gateway encryption, DLP con cifratura automatica per email contenenti dati sensibili.",
|
|
"evidence_examples": ["Configurazione della cifratura email (TLS, S/MIME)", "Policy sull'uso della cifratura nelle comunicazioni email", "Report di conformita della configurazione dei mail server"],
|
|
"nis2_article": "21.2.h",
|
|
"iso27001_control": "A.8.24",
|
|
"weight": 1
|
|
},
|
|
{
|
|
"code": "ART21H_008",
|
|
"text_it": "E' stata condotta una valutazione complessiva della postura crittografica dell'organizzazione per identificare l'uso di algoritmi deboli, configurazioni inadeguate e gap rispetto alle best practice?",
|
|
"text_en": "Has a comprehensive assessment of the organization's cryptographic posture been conducted to identify use of weak algorithms, inadequate configurations, and gaps against best practices?",
|
|
"guidance_it": "La valutazione deve includere: scansione di tutti i servizi per identificare protocolli e cipher suite, verifica delle configurazioni TLS, revisione della gestione delle chiavi, identificazione degli algoritmi obsoleti in uso, piano di remediation con priorita.",
|
|
"evidence_examples": ["Report di assessment della postura crittografica", "Inventario degli algoritmi e protocolli in uso", "Piano di remediation per le debolezze crittografiche identificate"],
|
|
"nis2_article": "21.2.h",
|
|
"iso27001_control": "A.8.24",
|
|
"weight": 2
|
|
}
|
|
]
|
|
},
|
|
{
|
|
"id": "hr_access_assets",
|
|
"title_it": "Sicurezza delle risorse umane, politiche di controllo degli accessi e gestione degli asset",
|
|
"title_en": "Human resources security, access control policies, and asset management",
|
|
"nis2_article": "21.2.i",
|
|
"iso27001_controls": ["A.5.15", "A.5.16", "A.5.17", "A.5.18", "A.6.1", "A.6.2", "A.6.5", "A.8.1", "A.8.2"],
|
|
"questions": [
|
|
{
|
|
"code": "ART21I_001",
|
|
"text_it": "Vengono effettuati controlli di background (verifica delle referenze, dei precedenti, delle qualifiche) per il personale che avra accesso a sistemi e dati critici, proporzionati al livello di rischio?",
|
|
"text_en": "Are background checks (reference verification, background screening, qualification verification) performed for personnel who will have access to critical systems and data, proportionate to the risk level?",
|
|
"guidance_it": "I controlli devono essere proporzionati alla criticita del ruolo e conformi alla normativa sulla privacy. Devono coprire almeno: verifica dell'identita, referenze professionali, qualifiche dichiarate. Per ruoli critici possono includere controllo casellario giudiziale ove legalmente consentito.",
|
|
"evidence_examples": ["Policy di screening pre-assunzione", "Checklist dei controlli di background per ruolo", "Evidenza di completamento dei controlli (anonimizzata)"],
|
|
"nis2_article": "21.2.i",
|
|
"iso27001_control": "A.6.1",
|
|
"weight": 2
|
|
},
|
|
{
|
|
"code": "ART21I_002",
|
|
"text_it": "L'organizzazione ha definito e implementato una policy formale di controllo degli accessi che stabilisca i principi, i ruoli e le responsabilita per la gestione degli accessi logici e fisici?",
|
|
"text_en": "Has the organization defined and implemented a formal access control policy establishing principles, roles, and responsibilities for logical and physical access management?",
|
|
"guidance_it": "La policy deve definire: principi di accesso (need-to-know, minimo privilegio), processo di richiesta e approvazione degli accessi, ruoli di autorizzazione, requisiti di autenticazione, regole per accessi remoti, gestione degli accessi privilegiati.",
|
|
"evidence_examples": ["Policy di controllo degli accessi approvata", "Procedura di richiesta e approvazione degli accessi", "Matrice dei ruoli e delle responsabilita per la gestione degli accessi"],
|
|
"nis2_article": "21.2.i",
|
|
"iso27001_control": "A.5.15",
|
|
"weight": 3
|
|
},
|
|
{
|
|
"code": "ART21I_003",
|
|
"text_it": "Il principio del minimo privilegio (least privilege) viene applicato sistematicamente, garantendo che gli utenti abbiano accesso solo alle risorse strettamente necessarie per le proprie mansioni?",
|
|
"text_en": "Is the principle of least privilege systematically applied, ensuring that users have access only to the resources strictly necessary for their duties?",
|
|
"guidance_it": "L'implementazione deve prevedere: profili di accesso basati sui ruoli (RBAC), separazione dei compiti per funzioni critiche, account di servizio con privilegi minimi, eliminazione degli accessi amministrativi non necessari, segregazione degli ambienti.",
|
|
"evidence_examples": ["Matrice dei profili di accesso basati sui ruoli", "Evidenza di implementazione RBAC nei sistemi critici", "Report di verifica della conformita al principio del minimo privilegio"],
|
|
"nis2_article": "21.2.i",
|
|
"iso27001_control": "A.5.18",
|
|
"weight": 3
|
|
},
|
|
{
|
|
"code": "ART21I_004",
|
|
"text_it": "Viene effettuata una revisione periodica degli accessi (access review) almeno semestrale per gli accessi privilegiati e annuale per tutti gli altri, con revoca degli accessi non piu necessari?",
|
|
"text_en": "Is a periodic access review performed at least semi-annually for privileged access and annually for all others, with revocation of access no longer needed?",
|
|
"guidance_it": "La revisione deve coinvolgere i responsabili delle risorse e dei reparti. Deve verificare: validita degli account attivi, appropriatezza dei privilegi assegnati, account orfani o inattivi, account di servizio. Le azioni correttive devono essere tracciate e completate.",
|
|
"evidence_examples": ["Report delle access review effettuate", "Evidenza di revoca degli accessi non necessari", "Piano di access review con responsabili e tempistiche"],
|
|
"nis2_article": "21.2.i",
|
|
"iso27001_control": "A.5.18",
|
|
"weight": 2
|
|
},
|
|
{
|
|
"code": "ART21I_005",
|
|
"text_it": "L'organizzazione mantiene un inventario completo e aggiornato di tutti gli asset informatici (hardware, software, dati, servizi cloud) con identificazione del responsabile per ciascun asset?",
|
|
"text_en": "Does the organization maintain a complete and up-to-date inventory of all IT assets (hardware, software, data, cloud services) with identification of the owner for each asset?",
|
|
"guidance_it": "L'inventario deve includere: dispositivi hardware (server, workstation, dispositivi di rete, IoT), software (licenze, versioni), servizi cloud, database e archivi di dati. Ogni asset deve avere un owner responsabile. L'inventario deve essere aggiornato automaticamente ove possibile.",
|
|
"evidence_examples": ["Inventario degli asset informatici", "Tool di discovery e gestione degli asset (CMDB)", "Procedura di aggiornamento dell'inventario"],
|
|
"nis2_article": "21.2.i",
|
|
"iso27001_control": "A.8.1",
|
|
"weight": 3
|
|
},
|
|
{
|
|
"code": "ART21I_006",
|
|
"text_it": "Gli asset informatici sono classificati in base alla criticita e alla sensibilita delle informazioni trattate, con misure di protezione differenziate per ciascun livello di classificazione?",
|
|
"text_en": "Are IT assets classified based on the criticality and sensitivity of the information processed, with differentiated protection measures for each classification level?",
|
|
"guidance_it": "La classificazione deve prevedere almeno 3-4 livelli (es. pubblico, interno, riservato, strettamente riservato). Per ogni livello devono essere definite le misure di protezione richieste: cifratura, controllo accessi, backup, monitoraggio, regole di condivisione.",
|
|
"evidence_examples": ["Schema di classificazione degli asset e delle informazioni", "Linee guida per la gestione di ciascun livello di classificazione", "Inventario degli asset con classificazione assegnata"],
|
|
"nis2_article": "21.2.i",
|
|
"iso27001_control": "A.8.2",
|
|
"weight": 2
|
|
},
|
|
{
|
|
"code": "ART21I_007",
|
|
"text_it": "Esiste una policy che disciplini l'uso dei dispositivi personali (BYOD) per accedere ai sistemi e ai dati aziendali, con requisiti minimi di sicurezza e misure di controllo?",
|
|
"text_en": "Is there a policy governing the use of personal devices (BYOD) to access corporate systems and data, with minimum security requirements and control measures?",
|
|
"guidance_it": "La policy deve definire: dispositivi e sistemi operativi ammessi, requisiti minimi di sicurezza (cifratura, antivirus, aggiornamenti), separazione dei dati aziendali da quelli personali (containerizzazione), gestione remota (MDM), procedura di wiping in caso di smarrimento/furto.",
|
|
"evidence_examples": ["Policy BYOD approvata", "Configurazione della soluzione MDM", "Modulo di accettazione della policy BYOD firmato dai dipendenti"],
|
|
"nis2_article": "21.2.i",
|
|
"iso27001_control": "A.6.2",
|
|
"weight": 1
|
|
},
|
|
{
|
|
"code": "ART21I_008",
|
|
"text_it": "Sono definite e implementate procedure di cessazione e cambio ruolo che garantiscano la tempestiva revoca o modifica degli accessi quando un dipendente lascia l'organizzazione o cambia funzione?",
|
|
"text_en": "Are termination and role change procedures defined and implemented to ensure timely revocation or modification of access when an employee leaves the organization or changes role?",
|
|
"guidance_it": "Le procedure devono prevedere: notifica tempestiva dall'HR all'IT, disabilitazione degli account entro il giorno di uscita (immediatamente per cessazioni non volontarie), restituzione degli asset, revoca degli accessi fisici, revoca delle credenziali VPN e remote, revisione degli accessi in caso di cambio ruolo.",
|
|
"evidence_examples": ["Procedura di offboarding con checklist IT", "SLA per la disabilitazione degli account in uscita", "Report di verifica della tempestivita delle revoche degli accessi"],
|
|
"nis2_article": "21.2.i",
|
|
"iso27001_control": "A.6.5",
|
|
"weight": 2
|
|
}
|
|
]
|
|
},
|
|
{
|
|
"id": "mfa_secure_comms",
|
|
"title_it": "Uso di soluzioni di autenticazione a piu fattori, comunicazioni sicure e sistemi di comunicazione di emergenza",
|
|
"title_en": "Use of multi-factor authentication, secured communications, and emergency communication systems",
|
|
"nis2_article": "21.2.j",
|
|
"iso27001_controls": ["A.5.14", "A.5.16", "A.5.17", "A.8.3", "A.8.5", "A.8.20", "A.8.21"],
|
|
"questions": [
|
|
{
|
|
"code": "ART21J_001",
|
|
"text_it": "L'organizzazione ha implementato l'autenticazione a piu fattori (MFA) per l'accesso a tutti i sistemi critici, ai servizi cloud e alle applicazioni che trattano dati sensibili?",
|
|
"text_en": "Has the organization implemented multi-factor authentication (MFA) for access to all critical systems, cloud services, and applications processing sensitive data?",
|
|
"guidance_it": "L'MFA deve essere implementata con fattori di autenticazione di categorie diverse (qualcosa che sai, che hai, che sei). Le soluzioni basate solo su SMS sono da considerare come misura minima ma non ottimale. Preferire app di autenticazione, token hardware o biometria.",
|
|
"evidence_examples": ["Inventario dei sistemi con stato di implementazione MFA", "Configurazione della soluzione MFA", "Policy sull'autenticazione a piu fattori"],
|
|
"nis2_article": "21.2.j",
|
|
"iso27001_control": "A.8.5",
|
|
"weight": 3
|
|
},
|
|
{
|
|
"code": "ART21J_002",
|
|
"text_it": "L'MFA e' obbligatoria per tutti gli accessi remoti (VPN, desktop remoto, accesso cloud da rete esterna) senza eccezioni per ruoli o dispositivi?",
|
|
"text_en": "Is MFA mandatory for all remote access (VPN, remote desktop, cloud access from external network) without exceptions for roles or devices?",
|
|
"guidance_it": "L'accesso remoto senza MFA rappresenta un rischio critico. L'obbligo deve coprire: connessioni VPN, accesso a desktop remoto (RDP/Citrix), portali cloud, webmail, applicazioni SaaS. Eventuali eccezioni devono essere documentate con compensating controls.",
|
|
"evidence_examples": ["Configurazione MFA per VPN e accesso remoto", "Policy di accesso remoto con obbligo MFA", "Registro delle eventuali eccezioni con compensating controls"],
|
|
"nis2_article": "21.2.j",
|
|
"iso27001_control": "A.8.5",
|
|
"weight": 3
|
|
},
|
|
{
|
|
"code": "ART21J_003",
|
|
"text_it": "Gli account con privilegi amministrativi sono protetti con MFA rafforzata e sono soggetti a misure aggiuntive di sicurezza (PAM, sessioni registrate, password vault)?",
|
|
"text_en": "Are accounts with administrative privileges protected with enhanced MFA and subject to additional security measures (PAM, recorded sessions, password vault)?",
|
|
"guidance_it": "Per gli account privilegiati devono essere previsti: MFA con token hardware o biometria, gestione tramite soluzione PAM (Privileged Access Management), sessioni registrate e monitorate, password gestite in vault con rotazione automatica, just-in-time access ove possibile.",
|
|
"evidence_examples": ["Configurazione della soluzione PAM", "Policy di gestione degli accessi privilegiati", "Report di utilizzo della soluzione PAM con audit trail"],
|
|
"nis2_article": "21.2.j",
|
|
"iso27001_control": "A.8.3",
|
|
"weight": 3
|
|
},
|
|
{
|
|
"code": "ART21J_004",
|
|
"text_it": "L'organizzazione utilizza canali di comunicazione sicuri e cifrati per lo scambio di informazioni sensibili, con soluzioni validate e approvate per le comunicazioni interne ed esterne?",
|
|
"text_en": "Does the organization use secure and encrypted communication channels for exchanging sensitive information, with validated and approved solutions for internal and external communications?",
|
|
"guidance_it": "I canali sicuri devono includere: piattaforme di messaggistica cifrate end-to-end per comunicazioni sensibili, email cifrata per documenti riservati, file sharing sicuro con cifratura, videoconferenze sicure per riunioni riservate. Devono essere definiti i canali approvati per ogni livello di classificazione.",
|
|
"evidence_examples": ["Elenco dei canali di comunicazione approvati per livello di classificazione", "Configurazione delle piattaforme di comunicazione sicura", "Linee guida per la scelta del canale di comunicazione appropriato"],
|
|
"nis2_article": "21.2.j",
|
|
"iso27001_control": "A.5.14",
|
|
"weight": 2
|
|
},
|
|
{
|
|
"code": "ART21J_005",
|
|
"text_it": "L'accesso remoto alla rete aziendale avviene esclusivamente tramite VPN o soluzioni equivalenti con cifratura forte, autenticazione robusta e monitoraggio delle connessioni?",
|
|
"text_en": "Does remote access to the corporate network occur exclusively through VPN or equivalent solutions with strong encryption, robust authentication, and connection monitoring?",
|
|
"guidance_it": "Le soluzioni di accesso remoto devono prevedere: cifratura forte (AES-256), autenticazione MFA, split tunneling disabilitato per i profili ad alto rischio, controllo della postura del dispositivo (patch, antivirus), timeout delle sessioni inattive, logging completo.",
|
|
"evidence_examples": ["Configurazione della VPN con standard di sicurezza", "Policy di accesso remoto", "Report di monitoraggio delle connessioni VPN"],
|
|
"nis2_article": "21.2.j",
|
|
"iso27001_control": "A.8.20",
|
|
"weight": 2
|
|
},
|
|
{
|
|
"code": "ART21J_006",
|
|
"text_it": "L'organizzazione ha valutato e sta implementando un approccio zero trust per il controllo degli accessi, superando il modello tradizionale basato sul perimetro di rete?",
|
|
"text_en": "Has the organization evaluated and is implementing a zero trust approach to access control, moving beyond the traditional network perimeter-based model?",
|
|
"guidance_it": "L'approccio zero trust prevede: verifica continua dell'identita e del contesto, microsegmentazione della rete, accesso condizionale basato su rischio, verifica della postura del dispositivo, cifratura di tutte le comunicazioni, monitoraggio continuo del comportamento degli utenti.",
|
|
"evidence_examples": ["Strategia e roadmap di adozione zero trust", "Architettura di sicurezza con elementi zero trust", "Stato di implementazione delle componenti zero trust"],
|
|
"nis2_article": "21.2.j",
|
|
"iso27001_control": "A.8.20",
|
|
"weight": 1
|
|
},
|
|
{
|
|
"code": "ART21J_007",
|
|
"text_it": "Sono definite procedure di accesso di emergenza (break-glass) per garantire l'accesso ai sistemi critici in situazioni di emergenza, con adeguati controlli compensativi e registrazione?",
|
|
"text_en": "Are emergency access (break-glass) procedures defined to ensure access to critical systems in emergency situations, with adequate compensating controls and logging?",
|
|
"guidance_it": "Le procedure devono prevedere: account di emergenza pre-configurati e sigillati, processo di autorizzazione per l'uso, registrazione completa di tutte le attivita svolte, revisione obbligatoria post-utilizzo, cambio delle credenziali dopo l'uso, notifica automatica ai responsabili.",
|
|
"evidence_examples": ["Procedura di break-glass documentata", "Registro degli utilizzi degli account di emergenza", "Evidenza di revisione post-utilizzo degli accessi di emergenza"],
|
|
"nis2_article": "21.2.j",
|
|
"iso27001_control": "A.5.16",
|
|
"weight": 2
|
|
},
|
|
{
|
|
"code": "ART21J_008",
|
|
"text_it": "Tutti i tentativi di autenticazione (riusciti e falliti) vengono registrati in un sistema centralizzato di logging con conservazione adeguata e monitoraggio per rilevare attivita sospette?",
|
|
"text_en": "Are all authentication attempts (successful and failed) logged in a centralized logging system with adequate retention and monitoring to detect suspicious activity?",
|
|
"guidance_it": "I log devono includere: timestamp, identita dell'utente, origine della richiesta (IP, dispositivo), esito, metodo di autenticazione. Devono essere definiti alert per: tentativi ripetuti falliti, accessi da localita insolite, accessi fuori orario, utilizzo di account di servizio anomalo. Conservazione minima raccomandata: 12 mesi.",
|
|
"evidence_examples": ["Configurazione del sistema centralizzato di logging dell'autenticazione", "Regole di alert per attivita sospette di autenticazione", "Report di monitoraggio dei tentativi di autenticazione"],
|
|
"nis2_article": "21.2.j",
|
|
"iso27001_control": "A.8.21",
|
|
"weight": 2
|
|
}
|
|
]
|
|
}
|
|
]
|
|
}
|