Nel marzo dello scorso anno, sono iniziati i lavori per la creazione di una prassi di riferimento dedicata al “Sistema di Gestione per la Cybersicurezza e la Sicurezza delle Informazioni”, che si allinea alla norma UNI CEI EN ISO/IEC 27001 e al Framework NIST CSF 2.0. Questo documento è attualmente in consultazione pubblica e sarà disponibile per i contributi fino al 4 marzo 2025. Gli interessati possono scaricarlo liberamente dal sito dedicato.
La prassi di riferimento è stata sviluppata in collaborazione con diverse realtà operanti nel settore, in risposta a un’importante necessità delle organizzazioni. Le norme UNI CEI EN ISO/IEC 27001 e il Cybersecurity Framework 2.0 del NIST rappresentano dei punti di riferimento fondamentali nel panorama della cybersicurezza. Tuttavia, si evidenziano approcci e modalità di applicazione differenziali tra i due documenti, il che può creare confusione per le organizzazioni che desiderano allinearsi a entrambe le normative.
La norma UNI CEI EN ISO/IEC 27001 è strutturata secondo un sistema di gestione, seguendo il modello di Harmonized Structure (HS) e presentando requisiti specifici per ottenere la certificazione accreditata del Sistema di Gestione della Sicurezza delle Informazioni (SGSI). Questo approccio sistemico permette di implementare controlli e misure di sicurezza in maniera organica e strutturata. D’altra parte, il Cybersecurity Framework 2.0 del NIST si configura come un efficace strumento di valutazione e miglioramento del profilo di cybersicurezza di un’organizzazione. Tuttavia, è importante notare che non tutti i controlli richiesti dalla UNI CEI EN ISO/IEC 27001 trovano corrispondenza nel NIST CSF.
Con questo in mente, la nuova prassi di riferimento intende chiarire e facilitare la comprensione delle differenze e delle convenienze legate a entrambi i documenti, promuovendo l’armonizzazione tra i requisiti della norma UNI CEI EN ISO/IEC 27001 e gli obiettivi delineati dal NIST CSF 2.0. Tale armonizzazione consentirà alle organizzazioni di adeguare in modo efficace il proprio sistema di gestione della cybersicurezza, garantendo una gestione delle informazioni più sicura e robusta.
La prassi di riferimento si arricchisce di due appendici, che offrono prospetti chiari e di facile consultazione. In queste appendici, vengono messe in evidenza le interconnessioni tra i punti chiave della norma UNI CEI EN ISO/IEC 27001 e quelli del Cybersecurity Framework del NIST. Questo strumento pratico mira quindi a semplificare il processo di allineamento tra i due documenti, rendendo più agevole e chiaro il lavoro delle organizzazioni nel campo della cybersicurezza.
Con l’evoluzione delle tecnologie e delle minacce informatiche, le aziende e le istituzioni si trovano sempre più spesso a dover affrontare sfide significative in tema di sicurezza delle informazioni. La creazione di prassi di riferimento come quella in corso rappresenta un passo fondamentale per supportare le organizzazioni nel migliorare non solo le loro politiche di sicurezza informatica, ma anche la loro resilienza complessiva.
In sintesi, la nuova prassi di riferimento rappresenta un’opportunità importante per le organizzazioni desiderose di integrare e armonizzare i loro sistemi di gestione della cybersicurezza in modo coerente e strutturato. La consultazione pubblica è un invito aperto a tutti gli interessati a contribuire attivamente con suggerimenti e opinioni, affinché il documento finale possa rispondere nel migliore dei modi alle esigenze del mercato e delle istituzioni.
Vi invitiamo a seguire i nostri profili social per rimanere aggiornati su tutte le novità riguardanti la cybersicurezza e per partecipare attivamente al dibattito su questi temi essenziali. La vostra voce è importante e può contribuire a fare la differenza nel panorama della sicurezza delle informazioni!
