Il 27 giugno del 2019 è entrato in vigore nell’Unione Europea il cosiddetto “Cybersecurity Act”, un Regolamento che ha l’obiettivo di creare un quadro europeo ben definito sulla certificazione della sicurezza informatica di prodotti ICT e servizi digitali.
Oltre a questo, il Regolamento rafforza il ruolo dell’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA), il cui mandato è ora esteso alla certificazione di servizi, processi e prodotti. In più, l’ENISA potrà anche supportare gli Stati nella gestione operativa degli incidenti informatici.
Il nuovo Regolamento UE entra in vigore in un momento storico caratterizzato dall’aumento esponenziale delle minacce cyber per Stati e aziende. Secondo il Rapporto Clusit 2019 sulla sicurezza ICT in Italia, nel 2018 sarebbero aumentati del 38% rispetto all’anno prima gli attacchi informatici con impatto significativo nel nostro Paese. In numeri, gli attacchi gravi sono passati da 1.127 a 1.552. Diventa quindi fondamentale per ogni azienda e organizzazione predisporre gli adeguati meccanismi di difesa per proteggersi dalle minacce.
Ma da dove partire?
Un ottimo strumento per analizzare le vulnerabilità e introdurre in azienda valide misure organizzative e tecnologiche è sicuramente il “Framework Nazionale per la Cybersecurity e la Data Protection”, realizzato a partire da una collaborazione tra il Centro di Ricerca di Cyber Intelligence and Information Security (CIS) dell’Università Sapienza di Roma, enti pubblici e imprese private.
Il Framework, ispirato al Cybersecurity Framework ideato dal NIST (National Institute of Standards and Technology), fornisce uno strumento operativo per organizzare i processi di cybersecurity adatto alle organizzazioni pubbliche e private, di qualunque dimensione.
Le aziende aderenti al Framework hanno a disposizione “117 controlli” o azioni migliorative per prevenire, rispondere o reagire a vari tipi di minacce. Intraprendere una singola azione migliorativa non solo ridurrà il livello di rischio in ambito cyber, ma aiuterà a raggiungere la conformità a diverse normative o standard.
Ad esempio, il controllo “ID.AM-1” richiede di censire i sistemi e gli apparati fisici in uso nell’organizzazione. Compiendo tale azione migliorativa e realizzando un registro dei sistemi e degli apparati sempre aggiornato, renderà conforme l’azienda a specifici “sotto-capitoli” di importanti standard:
- CIS CSC 1
- COBIT 5 BAI09.01, BAI09.02
- ISA 62443-2-1:2009 4.2.3.4
- ISA 62443-3-3:2013 SR 7.8
- ISO/IEC 27001:2013 A.8.1.1, A.8.1.2
- NIST SP 800-53 Rev. 4 CM-8, PM-5
- Misure Minime AgID ABSC 1
Nel mese di febbraio del 2019 poi, il Framework è stato aggiornato con la collaborazione del Garante per la Protezione dei Dati Personali. Di conseguenza, adottando alcune azioni riportate all’interno del Framework, sarà possibile per un’organizzazione raggiungere la conformità ai dettami richiesti da specifici articoli del GDPR. Ad esempio, adottando il controllo “DP-ID.DM-5” che prevede la definizione, l’implementazione e la documentazione dei processi di trasferimento dei dati in ambito internazionale, si raggiungerà la conformità agli artt. 44-49 del GDPR.
È possibile scaricare il Framework aggiornato in un comodo file excel al seguente link: https://www.cybersecurityframework.it/sites/default/files/framework2/Framework_v2.0_core_ITA.xlsx
CONTATTACI PER UNA CONSULENZA
Argo può supportarvi nel processo di adozione dei controlli previsti dal Framework all’interno della vostra organizzazione. Se vi occorre una consulenza, scriveteci una mail a protection@argobs.com o chiamate il numero 011 19115359 per prenotare un appuntamento.