Queste misure coprono ambiti quali la gestione del rischio, la sicurezza della rete, il controllo degli accessi, la protezione dei dati e la risposta agli incidenti, e sono organizzate secondo il Framework Nazionale per la Cybersecurity e la Data Protection (FNCDP) v2.1.
È fondamentale che le organizzazioni sviluppino e mantengano una documentazione completa e aggiornata che descriva le politiche, le procedure e le misure tecniche adottate, al fine di garantire la sicurezza informatica e dimostrare la conformità alle normative vigenti.
Documenti Fondamentali e Specifici
Alcuni esempi
Politica di Sicurezza Informatica: Oltre a definire i principi generali, una politica efficace dovrebbe specificare le responsabilità dei singoli ruoli (es. CISO, Data Owner, System Administrator), le procedure per la segnalazione degli incidenti e le modalità di gestione degli accessi ai sistemi, in linea con i controlli del dominio ‘Governance’ del Framework Nazionale per la Cybersecurity e la Data Protection.
Piano di Continuità Operativa: Un esempio di scenario da considerare è l’interruzione dell’erogazione elettrica. Il piano dovrebbe descrivere le azioni da intraprendere per garantire la continuità dei servizi essenziali, come l’attivazione di sistemi di backup o l’utilizzo di data center alternativi, e prevedere test regolari per garantirne l’efficacia, come richiesto dalle misure di resilienza operativa definite da ACN.
Analisi dei Rischi: Per un’azienda che gestisce un e-commerce, ad esempio, i rischi principali potrebbero includere attacchi DDoS, frodi online e violazioni dei dati dei clienti. L’analisi dei rischi dovrebbe identificare le vulnerabilità specifiche e stimare la probabilità e
l’impatto di ciascun rischio.
Piano di Trattamento dei Rischi: Oltre a descrivere le misure tecniche (es. firewall, sistemi di intrusion detection), il piano dovrebbe includere anche misure organizzative, come la formazione del personale e sensibilizzazione sulla sicurezza informatica.
Inventario di Asset: L’inventario dovrebbe includere non solo l’hardware (server, workstation, dispositivi mobili), ma anche il software (sistemi operativi, applicazioni, database) e i dati (personali, sensibili, proprietari).
Registro dei Trattamenti: Per un’azienda sanitaria, ad esempio, il registro dei trattamenti dovrebbe documentare la raccolta, l’archiviazione e l’utilizzo dei dati sanitari dei pazienti, in conformità con il GDPR e le specifiche normative del settore.
Analisi dell’impatto sulla continuità operativa: Per un’azienda di servizi pubblici, l’interruzione dei sistemi informatici potrebbe avere gravi conseguenze sulla ornitura di servizi essenziali. L’analisi dovrebbe valutare l’impatto di diversi scenari di rischio e definire le priorità di ripristino.
Inventario dei sistemi e servizi essenziali: Per un’azienda di telecomunicazioni, i sistemi essenziali potrebbero includere le reti core, le piattaforme di billing e i sistemi di gestione della rete.
Documenti Specifici per ISO 27001
Dichiarazione di Applicabilità (Statement of Applicability – SoA): La dichiarazione di applicabilità è un documento obbligatorio che elenca tutti i controlli presenti nell’Allegato A della ISO/IEC 27001:2022, indicando per ciascuno se è applicabile o escluso, e motivando ogni esclusione. Inoltre, descrive lo stato di attuazione di ciascun controllo selezionato, costituendo un riferimento centrale per la verifica della conformità del sistema di gestione della sicurezza delle informazioni (ISMS).
Rapporto di Audit Interno e Riesame della Direzione: Questi documenti forniscono evidenza oggettiva della conformità del sistema di gestione della sicurezza delle informazioni (ISMS) ai requisiti della ISO/IEC 27001, attraverso la valutazione delle prestazioni, delle non conformità rilevate, delle azioni correttive e dei miglioramenti pianificati.
Integrazione e Aggiornamento del Sistema
Integrare i requisiti della Direttiva NIS2 e dello standard ISO/IEC 27001 all’interno di un unico Sistema di Gestione della Sicurezza delle Informazioni (ISMS) consente di ridurre ridondanze documentali, razionalizzare l’allocazione delle risorse e semplificare le attività di audit. La documentazione associata deve essere sottoposta a un processo di aggiornamento continuo, in modo da riflettere tempestivamente eventuali modifiche organizzative, l’emergere di nuove minacce e vulnerabilità, nonché l’evoluzione del quadro normativo e tecnico di riferimento.
Consigli Pratici
1. Adottare strumenti strutturati di gestione documentale
Utilizzare piattaforme collaborative come Google Workspace, Microsoft SharePoint o sistemi di document management certificabili (es. per ISO 9001/27001) aiuta a centralizzare la gestione della documentazione, garantire il versionamento. i permessi di accesso e la tracciabilità delle modifiche, elementi chiave per la compliance.
2. Promuovere una cultura aziendale della sicurezza
La sicurezza informatica non può essere demandata solo all’IT: deve diventare parte integrante della cultura organizzativa. Formazione periodica, campagne di sensibilizzazione e l’inclusione della sicurezza nelle procedure operative standard sono strumenti essenziali per il coinvolgimento del personale a tutti i livelli.
3. Valutare l’outsourcing strategico di attività specialistiche
Per realtà con risorse interne limitate, può essere efficace esternalizzare compiti come l’analisi dei rischi, i penetration test, la gestione degli incidenti o il mantenimento documentale, affidandosi a fornitori qualificati e con esperienza nella gestione di sistemi ISO e nella conformità NIS2.
In Conclusione
La conformità a NIS2 e ISO/IEC 27001 richiede un impegno continuo e la diffusione di una solida cultura della sicurezza all’interno dell’organizzazione. Una documentazione strutturata e aggiornata rappresenta uno strumento essenziale per assicurare trasparenza, tracciabilità e miglioramento costante del sistema di gestione della sicurezza delle informazioni.
