E' stata pubblicata il 30 aprile 2025 da UNI, l'ente italiano di normazione, la Prassi di Riferimento UNI/PdR 174:2025 - Sistema di gestione per la cybersicurezza e la sicurezza delle informazioni armonizzato alla norma UNI CEI EN ISO/IEC 27001 e al Framework NIST CSF 2.0 - Requisiti, sviluppata in collaborazione con Agenzia per la Cybersecurity (ACN) per supportate i soggetti rientranti nel perimetro della NIS2. Il testo della PdR è disponibile gratuitamente sul sito UNI, previa registrazione.
Premesso che le province non rientrano nel perimetro NIS2 e della legge n. 90/2024, tuttavia il modello proposto da ACN è applicabile a tutte le Organizzazioni (pubbliche e private).
Passiamo a descrivere il modello proposto da ACN e UNI. In particolare, la PdR propone una sintesi tra due framework fondamentali nel panorama internazionale:
La UNI CEI EN ISO/IEC 27001 e il NIST CSF condividono numerosi obiettivi comuni (per esempio, la protezione dei dati e delle informazioni, il contrasto a minacce e vulnerabilità, la cura per la definizione di un efficace processo di gestione dell’incidente di sicurezza) ma presentano differenze significative nella struttura e nell’approccio. La ISO/IEC 27001 è un sistema di gestione basato sul rischio mentre il NIST CSF è uno strumento per valutare e potenziare il proprio profilo di cybersicurezza.
Il lavoro svolto da UNI e ACN di sintesi dei due modelli ha prodotto il Cybersecurity and Information Security Management System (C-ISMS). Il punto di forza di tale standard è quindi la possibilità di integrarli, ovvero:
facilità l'adozione del NIST CSF nelle Organizzazione con sistemi di gestione certificati ISO/IEC 27001;
L’adeguamento dei sistemi costruiti sul NIST CSF ai requisiti certificabili della ISO/IEC 27001.
Il modello proposto prevede l’integrazione continua tra processi, risorse, leadership e gestione del rischio. I punti chiave includono:
Contesto organizzativo: comprensione dell’ambiente interno ed esterno e delle esigenze delle parti interessate;
Leadership: impegno della direzione nella definizione della politica di sicurezza e nella gestione del C-ISMS;
Pianificazione: identificazione e trattamento dei rischi e delle opportunità;
Supporto: risorse, competenze, consapevolezza e comunicazione;
Operatività: pianificazione e controllo operativo, valutazione e trattamento del rischio;
Valutazione delle prestazioni: monitoraggio, audit interni e riesame della direzione;
Miglioramento continuo: analisi delle non conformità e azioni correttive.
Il modello proposto consente di:
Analizzare i rischi informatici e definire le contromisure;
Assegnare responsabilità e ruoli chiari tra direzione, personale ICT e referenti privacy;
Migliorare la consapevolezza e la formazione interna;
Pianificare e verificare azioni di miglioramento continuo.
il Modello consente inoltre di non partire da zero o “rifare tutto”, in quanto può essere:
Integrato con gli strumenti e processi già in uso;
Personalizzato secondo la dimensione e il tipo di Organizzazione;
Esteso nel tempo, con obiettivi misurabili e realistici.
Due appendici fondamentali forniscono tabelle di correlazione:
Appendice A: mostra come i punti e controlli della ISO/IEC 27001 coprano le sottocategorie del NIST CSF;
Appendice B: mostra la copertura delle sottocategorie del NIST CSF rispetto ai requisiti ISO.
Questa mappatura agevola l’autovalutazione e l’adozione di misure correttive, nonché la stesura di piani di miglioramento.
Semplifica la compliance: aiuta a orientarsi tra obblighi di legge, standard di sicurezza e linee guida;
Supporta la governance: coinvolge la direzione nel definire una politica di sicurezza e nel monitorare i risultati;
Rende più efficace la gestione degli incidenti: definisce ruoli, comunicazioni e attività di risposta.
Elenco delle misure di sicurezza per i soggetti NIS2 essenziali ed importanti predisposte da ACN sul modello del Framework nazione di cybersecurity e data protection.
