Allegato B (articolo 7) Misure di sicurezza 1. PREMESSA 2. IDENTIFICAZIONE (IDENTIFY) 2.1 Gestione degli asset (Asset Management) (ID.AM): I dati, il personale, i dispositivi e i sistemi e le facility necessari all'organizzazione sono identificati e gestiti in coerenza con gli obiettivi e con la strategia di rischio dell'organizzazione. 2.2 Governance (ID.GV): Le politiche, le procedure e i processi per gestire e monitorare i requisiti dell'organizzazione (organizzativi, legali, relativi al rischio, ambientali) sono compresi e utilizzati nella gestione del rischio di cybersecurity. 2.3 Valutazione del rischio (Risk Assessment) (ID.RA): L'impresa comprende il rischio di cybersecurity inerente l'operativita' dell'organizzazione (incluse la mission, le funzioni, l'immagine o la reputazione), gli asset e gli individui. 2.4 Strategia della gestione del rischio (ID.RM): Le priorita' e i requisiti dell'organizzazione e la tolleranza al rischio sono definiti e utilizzati per supportare le decisioni sul rischio operazionale. 2.5 Gestione del rischio relativo alla catena di approvvigionamento (ID.SC): Le priorita', i vincoli, le tolleranze al rischio e le ipotesi dell'organizzazione sono stabilite e utilizzate per supportare le decisioni di rischio associate alla gestione del rischio legato alla catena di approvvigionamento. L'organizzazione ha definito e implementato i processi atti a identificare, valutare e gestire il rischio legato alla catena di approvvigionamento. 3. PROTEZIONE (PROTECT) 3.1 Gestione delle identita', autenticazione e controllo degli accessi (PR.AC): L'accesso agli asset fisici e logici ed alle relative risorse e' limitato al personale, ai processi e ai dispositivi autorizzati, ed e' gestito in maniera coerente con la valutazione del rischio di accesso non autorizzato alle attivita' ed alle transazioni autorizzate 3.2 Consapevolezza e addestramento (PR.AT): Il personale e le terze parti sono sensibilizzate in materia di cybersecurity e vengono addestrate per adempiere ai loro compiti e ruoli coerentemente con le politiche, le procedure e gli accordi esistenti 3.3 Sicurezza dei dati (PR.DS): I dati sono memorizzati e gestiti in accordo alla strategia di gestione del rischio dell'organizzazione, al fine di garantire l'integrita', la confidenzialita' e la disponibilita' delle informazioni. 3.4 Procedure e processi per la protezione delle informazioni (PR.IP): Sono attuate e adeguate nel tempo politiche di sicurezza (che indirizzano scopo, ambito, ruoli e responsabilita', impegno da parte del management e coordinamento tra le diverse entita' organizzative), processi e procedure per gestire la protezione dei sistemi informativi e degli asset. 3.5 Manutenzione (PR.MA): La manutenzione dei sistemi informativi e di controllo industriale e' fatta in accordo con le politiche e le procedure esistenti. 3.6 Tecnologie per la protezione (PR.PT): Le soluzioni tecniche di sicurezza sono gestite per assicurare sicurezza e resilienza di sistemi e asset, in coerenza con le relative politiche, procedure ed accordi. 17 4. RILEVAMENTO (DETECT) 4.1 Anomalie e eventi (DE.AE): Le attivita' anomale sono rilevate e il loro impatto potenziale viene analizzato. 4.2 Monitoraggio continuo per la sicurezza (DE.CM): I sistemi informativi e gli asset sono monitorati per indentificare eventi di cybersecurity e per verificare l'efficacia delle misure di protezione. ... 4.3 Processi di rilevamento (DE.DP): Sono adottati, mantenuti e verificati processi e procedure di monitoraggio per assicurare la comprensione di eventi anomali. 5. RISPOSTA (RESPOND) 5.1 Pianificazione della risposta (RS.RP): Procedure e processi di risposta sono eseguiti e mantenuti per assicurare una risposta agli incidenti di cybersecurity rilevati. 5.2 Comunicazione (RS.CO): Le attivita' di risposta sono coordinate con le parti interne ed esterne (es. eventuale supporto da parte degli organi di legge o dalle forze dell'ordine). 5.3 Analisi (RS.AN): Vengono condotte analisi per assicurare un'efficace riposta e supporto alle attivita' di ripristino. 5.4 Mitigazione (RS.MI): Vengono eseguite azioni per prevenire l'espansione di un evento di sicurezza, per mitigare i sui effetti e per risolvere l'incidente. 6. RECUPERO (RECOVER) 6.1 Pianificazione del ripristino (RC.RP): I processi e le procedure di ripristino sono eseguite e mantenute per assicurare un recupero dei sistemi o asset coinvolti da un incidente di cybersecurity. 6.2 Miglioramenti (RC.IM): I piani di ripristino ed i relativi processi sono migliorati tenendo conto delle "lesson learned" per le attivita' future. 6.3 Comunicazione (RC.CO): Le attivita' di ripristino a seguito di un incidente sono coordinate con le parti interne ed esterne (es. le vittime, gli ISP, i proprietari dei sistemi attaccati, i vendor, i CERT/CSIRT). APPENDICE n. 1 - TABELLA DI CORRISPONDENZA (ambiti di cui all'articolo 1, comma 3, lettera b), del decreto-legge) APPENDICE n. 2 - CATEGORIE 1. PREMESSA 1. Il presente allegato definisce misure volte a garantire elevati livelli di sicurezza dei beni ICT ai sensi dell'articolo 1, comma 3, lettera b), del decreto-legge, organizzate in funzioni, categorie e sottocategorie, ognuna identificata anche da un codice univoco alfanumerico corrispondente alle analoghe misure del Framework nazionale per la cybersecurity e la data protection", edizione 2019. Sono, altresi', indicate raccomandazioni, la cui attuazione e' demandata alle valutazioni di ciascun soggetto incluso nel perimetro. 2. Per ogni misura e' fornita una specifica piu' dettagliata dell'implementazione minima attesa, nonche' delle modalita' richieste al fine di descriverne l'adozione e dimostrarne l'attuazione. 3. Ad eccezione dell'organizzazione di cybersecurity, il termine "organizzazione", che compare all'interno delle descrizioni delle categorie e sottocategorie, e' da intendersi riferito almeno ai beni ICT e al personale ad essi riconducibili a diverso titolo (utenti, amministratori, etc.). 4. Per ragioni di coerenza con i titoli delle categorie e sottocategorie del Framework nazionale e' stato mantenuto il termine cybersecurity che, nell'ambito del presente allegato, e' da intendersi equivalente alla locuzione "sicurezza cibernetica". 5. Ai fini del presente allegato, si intende per: a. DPCM 1, il decreto del Presidente del Consiglio dei ministri adottato ai sensi dell'articolo 1, comma 2, del decreto-legge n. 105 del 2019; b. DPCM 2, il decreto del Presidente del Consiglio dei ministri adottato ai sensi dell'articolo 1, comma 3, del decreto-legge n. 105 del 2019; c. dipendenza esterna, le reti, i sistemi informativi, i servizi informatici, le infrastrutture fisiche o gli altri servizi, ivi compresi quelli utilizzati per fini di manutenzione e gestione, di pertinenza di altri soggetti, da cui, in relazione agli esiti dell'analisi del rischio effettuata ai sensi dell'articolo 7, comma 2, del DPCM 1, dipende il funzionamento del bene ICT; d. dipendenza interna, le reti, i sistemi informativi, i servizi informatici, le infrastrutture fisiche o gli altri servizi, ivi compresi quelli utilizzati per fini di manutenzione e gestione, esterni al bene ICT, ma di pertinenza del soggetto, da cui, in relazione agli esiti dell'analisi del rischio effettuata ai sensi dell'articolo 7, comma 2, del DPCM 1, dipende il funzionamento del bene ICT; e. modello di implementazione, modello tramite il quale il soggetto comunica l'avvenuta adozione e le relative modalita' di implementazione delle misure di sicurezza ai sensi del DPCM 2; f. modello dei beni ICT, modello tramite il quale il soggetto descrive l'architettura e la componentistica del bene ICT ai sensi dell'articolo 8 del DPCM 1; g. catena di approvvigionamento cyber, la catena di approvvigionamento relativa a ciascun bene ICT. 2. IDENTIFICAZIONE (IDENTIFY) 2.1 Gestione degli asset (Asset Management) (ID.AM): I dati, il personale, i dispositivi e i sistemi e le facility necessari all'organizzazione sono identificati e gestiti in coerenza con gli obiettivi e con la strategia di rischio dell'organizzazione. 2.1.1 ID.AM-1: Sono censiti i sistemi e gli apparati fisici in uso nell'organizzazione 1. Tutti i sistemi e gli apparati fisici sono censiti ed esiste un elenco di quelli approvati da attori interni al soggetto. L'elenco contiene, ove possibile, i riferimenti agli identificativi della componentistica del bene ICT cosi' come indicati nel modello dei beni ICT. 2. Tutti sistemi e gli apparati fisici presenti sulle reti sono censiti e l'accesso alla rete e' consentito esclusivamente a quelli approvati. 2.1.2 ID.AM-2: Sono censite le piattaforme e le applicazioni software in uso nell'organizzazione 1. Tutte le piattaforme e le applicazioni software installate sono censite ed esiste un elenco di quelle approvate da attori interni al soggetto. L'elenco contiene, ove possibile, i riferimenti agli identificativi della componentistica del bene ICT cosi' come indicati nel modello dei beni ICT. 2. L'installazione delle piattaforme e delle applicazioni software e' consentito esclusivamente per quelle approvate. 3. Si raccomanda, ove possibile e in relazione alla criticita' delle piattaforme e delle applicazioni software, anche in esito all'analisi del rischio di cui al DPCM 1, che l'elenco di cui al punto 2 indichi degli identificatori univoci del codice oggetto installato e eseguito. 2.1.3 ID.AM-3: I flussi di dati e comunicazioni inerenti l'organizzazione sono identificati 1. Tutti i flussi informativi tra il bene ICT e l'esterno del bene ICT, nonche' tra il bene ICT e l'esterno del soggetto incluso nel perimetro sono identificati ed esiste un elenco dei flussi approvati da attori interni al soggetto. L'elenco contiene, ove possibile, i riferimenti agli identificativi della componentistica del bene ICT cosi' come indicati nell'modello dei beni ICT. 2.1.4 ID.AM-6: Sono definiti e resi noti ruoli e responsabilita' inerenti la cybersecurity per tutto il personale e per eventuali terze parti rilevanti (es. fornitori, clienti, partner) 1. E' definita e resa nota alle articolazioni competenti del soggetto l'organizzazione di cybersecurity, anche con riferimento ai ruoli e alle responsabilita', per tutto il personale e per eventuali terze parti. 2. All'interno dell'organizzazione di cui al punto 1 e' istituita e resa nota alle articolazioni competenti del soggetto l'articolazione per l'implementazione del perimetro. 3. E' nominato, nell'ambito dell'articolazione di cui al punto 2, un incaricato, e un eventuale sostituto, con il compito di gestire l'attuazione delle disposizioni del decreto-legge previste per i soggetti inclusi nel perimetro, in possesso di specifiche professionalita' e competenze nella materia della sicurezza cibernetica, che riferisce direttamente al vertice gerarchico del soggetto incluso nel perimetro ed assicura, almeno: a. l'efficace implementazione delle misure di sicurezza di cui al DPCM 2; b. la corretta esecuzione degli adempimenti relativi alla notifica degli incidenti aventi impatto su un bene ICT ai sensi dell'articolo 1, comma 3, lettera a), del decreto-legge; c. la collaborazione con il DIS, anche in relazione alle attivita' connesse all'articolo 5 del decreto-legge e alle attivita' di prevenzione, preparazione e gestione di crisi cibernetiche affidate al Nucleo per la sicurezza cibernetica (NSC), e con i soggetti incaricati dello svolgimento delle attivita' di verifica e ispezione di cui all'articolo 1, comma 6, lettera c), del decreto-legge. 4. Sono nominati, nell'ambito dell'articolazione di cui al punto 2, un referente tecnico, e almeno un suo sostituto, in possesso di competenze tecnico-specialistiche nella materia della sicurezza cibernetica, per lo svolgimento delle funzioni di interlocuzione con il CSIRT italiano ai fini della gestione degli incidenti. 5. L'incaricato di cui al punto 3 e il referente tecnico di cui al punto 4 operano in stretto raccordo. 6. I nominativi e gli estremi di contatto dell'incaricato di cui al punto 3 e del referente tecnico di cui al punto 4 sono comunicati dal soggetto incluso nel perimetro al DIS, che li trasmette tempestivamente alla Presidenza del Consiglio dei ministri e al Ministero dello sviluppo economico per i profili di rispettiva competenza. 7. Esiste un elenco contenente tutto il personale interno e esterno impiegato nei processi di cybersecurity aventi specifici ruoli e responsabilita'. L'elenco e' disseminato presso le articolazioni competenti del soggetto. 8. Esiste un elenco degli omologhi dell'incaricato di cui al punto 3 e del referente tecnico di cui al punto 4 presso terze parti, in relazione alle dipendenze esterne, e presso lo stesso soggetto incluso nel perimetro, in relazione alle dipendenze interne. L'elenco e' disseminato presso le articolazioni competenti del soggetto incluso nel perimetro. 2.2 Governance (ID.GV): Le politiche, le procedure e i processi per gestire e monitorare i requisiti dell'organizzazione (organizzativi, legali, relativi al rischio, ambientali) sono compresi e utilizzati nella gestione del rischio di cybersecurity. 2.2.1 ID.GV-1: E' identificata e resa nota una policy di cybersecurity 1. Esiste un documento aggiornato che descrive le politiche, i processi e le procedure di cybersecurity. Il documento contiene anche il modello di implementazione. 2. Il modello di implementazione di cui al punto 1 e' compilato e trasmesso secondo le modalita' previste dal DPCM 2. 2.2.2 ID.GV-4: La governance ed i processi di risk management includono la gestione dei rischi legati alla cybersecurity 1. Il documento aggiornato che descrive i processi di gestione del rischio include la parte relativa ai rischi legati alla cybersecurity. 2.3 Valutazione del rischio (Risk Assessment) (ID.RA): L'impresa comprende il rischio di cybersecurity inerente l'operativita' dell'organizzazione (incluse la mission, le funzioni, l'immagine o la reputazione), gli asset e gli individui. 2.3.1 ID.RA-1: Le vulnerabilita' delle risorse (es. sistemi, locali, dispositivi) dell'organizzazione sono identificate e documentate 1. Esiste un piano aggiornato di verifica e test di sicurezza che descrive l'insieme delle attivita' finalizzate alla valutazione del livello di sicurezza cibernetica dei beni ICT e dell'efficacia delle misure di sicurezza tecniche e procedurali. Il piano contiene, inoltre, la periodicita' e le modalita' di esecuzione e, ove possibile, i riferimenti agli identificativi della componentistica del bene ICT cosi' come indicati nel modello dei beni ICT. 2. Le relazioni periodiche devono contenere almeno: a. la descrizione generale delle tipologie di verifiche effettuate e gli esiti delle stesse; b. la descrizione dettagliata delle vulnerabilita' rilevate e il relativo livello di impatto sulla sicurezza; c. il livello di esposizione delle risorse del sistema cui e' possibile accedere a seguito dello sfruttamento delle vulnerabilita'. 2.3.2 ID.RA-5: Le minacce, le vulnerabilita', le relative probabilita' di accadimento e i conseguenti impatti sono utilizzati per determinare il rischio 1. Questa misura implica l'analisi del rischio in funzione delle minacce, delle vulnerabilita', delle relative probabilita' di accadimento e dei conseguenti impatti derivanti dal loro sfruttamento alla luce delle minacce considerate. 2. Dopo aver identificato tutti i fattori di rischio e averli analizzati viene effettuata una ponderazione per determinare il livello di rischio. 3. Esiste un documento aggiornato di valutazione del rischio (risk assessment) che comprende almeno: a. l'identificazione delle minacce, sia interne che esterne, opportunamente descritte e valutate e le relative probabilita' di accadimento; b. qualora disponibili, le vulnerabilita' emerse a seguito dell'esecuzione del piano di cui alla sottocategoria ID.RA-1 e a seguito dell'adozione delle misure di cui alla sottocategoria DE.CM-8; c. i potenziali impatti ritenuti significativi sui beni ICT, opportunamente descritti e valutati; d. l'identificazione, l'analisi e la ponderazione del rischio. 2.3.3 ID.RA-6: Sono identificate e prioritizzate le risposte al rischio 1. Esiste un documento aggiornato che descrive le scelte operate in merito al trattamento di ciascun rischio individuato e le relative priorita'. 2. Per il rischio residuo successivo al trattamento di cui al punto precedente esiste un documento aggiornato che ne contiene la chiara descrizione. Il documento, con il quale si accetta il rischio residuo, e' approvato da parte dei vertici del soggetto. 2.4 Strategia della gestione del rischio (ID.RM): Le priorita' e i requisiti dell'organizzazione e la tolleranza al rischio sono definiti e utilizzati per supportare le decisioni sul rischio operazionale. 2.4.1 ID.RM-2: Il rischio tollerato dall'organizzazione e' identificato ed espresso chiaramente 1. Esiste un documento aggiornato di dettaglio che identifica e descrive il rischio tollerato dal soggetto. 2.5 Gestione del rischio relativo alla catena di approvvigionamento (ID.SC): Le priorita', i vincoli, le tolleranze al rischio e le ipotesi dell'organizzazione sono stabilite e utilizzate per supportare le decisioni di rischio associate alla gestione del rischio legato alla catena di approvvigionamento. L'organizzazione ha definito e implementato i processi atti a identificare, valutare e gestire il rischio legato alla catena di approvvigionamento. 2.5.1 ID.SC-1: I processi di gestione del rischio inerenti la catena di approvvigionamento cyber sono identificati, ben definiti, validati, gestiti e approvati da attori interni all'organizzazione 1. Esiste un documento aggiornato di dettaglio, che descrive i processi di gestione del rischio inerente la catena di approvvigionamento cyber. 2. Tali processi sono validati e approvati da parte dei vertici del soggetto. 2.5.2 ID.SC-2: I fornitori e i partner terzi di sistemi informatici, componenti e servizi sono identificati, prioritizzati e valutati utilizzando un processo di valutazione del rischio inerente la catena di approvvigionamento cyber 1. In merito all'affidamento di forniture di beni, sistemi e servizi di information and communication technology (ICT), nonche' di dipendenze esterne, di cui all'articolo 1, comma 6, del decreto-legge n. 105 del 2019, anche mediante ricorso agli strumenti delle centrali di committenza di cui all'articolo 1, comma 512, della legge 28 dicembre 2015, n. 208, sono adottate misure in materia di sicurezza della catena di approvvigionamento attraverso: a. il coinvolgimento dell'organizzazione di cybersecurity, tra cui l'incaricato di cui alla sottocategoria ID.AM-6, punto 2, nel processo di fornitura, gia' a partire dalla fase di progettazione; b. fatti salvi documentati limiti tecnici, il rispetto del requisito di fungibilita', con la possibilita' di ricorrere alla scadenza ad altro fornitore; c. fatti salvi documentati limiti tecnici, la diversificazione dei fornitori e la conseguente resilienza del bene ICT; d. la valutazione dell'affidabilita' tecnica dei fornitori e dei partner terzi, con riferimento alle migliori pratiche in materia e tenendo conto almeno: 1) della qualita' dei prodotti e delle pratiche di sicurezza cibernetica del fornitore e dei partner terzi, anche considerando il controllo degli stessi sulla propria catena di approvvigionamento e la priorita' data agli aspetti di sicurezza; 2) della capacita' del fornitore e dei partner terzi di garantire l'approvvigionamento, l'assistenza e la manutenzione nel tempo. 2. Esiste un elenco aggiornato dei fornitori e partner terzi affidatari di forniture di beni, sistemi e servizi di information and communication technology (ICT), nonche' di dipendenze esterne, corredato dalla relativa documentazione del processo di valutazione di cui al punto 1. L'elenco contiene, ove possibile, i riferimenti agli identificativi della componentistica del bene ICT ove si intendono impiegare i beni, sistemi e servizi, cosi' come indicati nel modello dei beni ICT. 3. Si raccomanda, ove possibile e in relazione alla criticita' della componente software (ivi incluso il firmware) dei beni e dei sistemi di information and communication technology (ICT), anche in esito all'analisi del rischio di cui al DPCM 1, di: a. valutare l'affidabilita' tecnica di cui al punto 1, lettera d, anche tenendo conto: 1) della disponibilita' del fornitore a condividere il codice sorgente; 2) di certificazioni o evidenze utili alla valutazione della qualita' del processo di sviluppo del software del produttore; 3) dell'adozione, da parte del produttore, di procedure e strumenti tecnici per garantire l'autenticita' e l'integrita' del software o firmware installato all'interno dei beni e dei sistemi di information and communication technology; 4) dell'adozione, da parte del produttore, di procedure e strumenti tecnici per garantire una corrispondenza univoca tra il codice sorgente e il codice oggetto installato e eseguito, con riferimento a quanto raccomandato al punto 3 della sottocategoria ID.AM-2. b. adottare processi e strumenti tecnici per: 1) valutare la qualita' e la sicurezza del codice sorgente, qualora reso disponibile dal produttore; 2) acquisire il codice oggetto dai beni e sistemi di information and communication technology; 3) confermare la corrispondenza univoca tra il codice sorgente e il codice oggetto installato ed eseguito, con riferimento a quanto raccomandato al punto 4 della sottocategoria ID.AM-2. 2.5.3 ID.SC-3: I contratti con i fornitori e i partner terzi sono utilizzati per realizzare appropriate misure progettate per rispettare gli obiettivi del programma di cybersecurity dell'organizzazione e del Piano di Gestione del Rischio della catena di approvvigionamento cyber 1. Le misure di sicurezza implementate dai terzi affidatari di servizi esterni sono coerenti, anche in relazione agli esiti dell'analisi del rischio, con le misure di sicurezza applicate al bene ICT. A tal fine, contratti, accordi o convenzioni sono aggiornati di conseguenza. 2. Le misure di sicurezza implementate dal soggetto in relazione a dipendenze interne sono coerenti, anche in relazione agli esiti dell'analisi del rischio, con le misure di sicurezza applicate al bene ICT. A tal fine, i contratti, gli accordi o le convenzioni sono aggiornati di conseguenza. 2.5.4 ID.SC-4: Fornitori e partner terzi sono regolarmente valutati utilizzando audit, verifiche, o altre forme di valutazione per confermare il rispetto degli obblighi contrattuali 1. Esiste un documento aggiornato recante, almeno, le modalita' e la cadenza delle valutazioni per i fornitori e partner terzi, proporzionate agli esiti dell'analisi del rischio effettuata. 2. Esiste una pianificazione aggiornata degli audit, verifiche, o altre forme di valutazione previste, nonche' un registro di quelli effettuati e la relativa documentazione. 3. PROTEZIONE (PROTECT) 3.1 Gestione delle identita', autenticazione e controllo degli accessi (PR.AC): L'accesso agli asset fisici e logici ed alle relative risorse e' limitato al personale, ai processi e ai dispositivi autorizzati, ed e' gestito in maniera coerente con la valutazione del rischio di accesso non autorizzato alle attivita' ed alle transazioni autorizzate 3.1.1 PR.AC-1: Le identita' digitali e le credenziali di accesso per gli utenti, i dispositivi e i processi autorizzati sono amministrate, verificate, revocate e sottoposte a audit sicurezza 1. Le credenziali di accesso sono individuali per gli utenti e rispettano il principio di segregazione delle funzioni. Le credenziali sono aggiornate con una cadenza proporzionata ai privilegi dell'utenza. 2. Esiste un documento aggiornato di dettaglio contenente almeno: a. le politiche di sicurezza adottate per l'amministrazione, la verifica, la revoca e l'audit di sicurezza delle identita' digitali e delle credenziali di accesso per gli utenti; b. i processi, le metodologie e le tecnologie impiegate che concorrono al rispetto delle politiche di sicurezza. 3. Esiste una pianificazione aggiornata degli audit di sicurezza previsti e un registro degli audit di sicurezza effettuati con la relativa documentazione. 3.1.2 PR.AC-2: L'accesso fisico alle risorse e' protetto e amministrato 1. Con riferimento ai censimenti della categoria ID.AM-1, esiste un documento aggiornato di dettaglio contenente almeno: a. le politiche di sicurezza adottate per la protezione e l'amministrazione degli accessi fisici; b. i processi, le metodologie e le tecnologie impiegate che concorrono al rispetto delle politiche di sicurezza. 3.1.3 PR.AC-3: L'accesso remoto alle risorse e' amministrato 1. Gli accessi da remoto effettuati sono monitorati da parte dell'organizzazione di cybersecurity. 2. Fatti salvi documentati limiti tecnici, sono implementate adeguate misure di controllo dell'accesso, adottando sistemi di autenticazione, autorizzazione e registrazione/contabilizzazione centralizzati degli accessi, coadiuvati da sistemi di autenticazione, la cui sicurezza e' proporzionale al rischio. 3. Esiste un documento aggiornato di dettaglio contenente almeno: a. le politiche di sicurezza adottate per la definizione delle attivita' consentite tramite l'accesso remoto e le misure di sicurezza adottate; b. l'elenco, con riferimento ai censimenti della categoria ID.AM e al modello di cui all'articolo 8 del DPCM 1, delle risorse a cui e' possibile accedere da remoto e con quali modalita'; c. i processi, le metodologie e le tecnologie impiegate che concorrono al rispetto delle politiche di sicurezza. 4. Esiste un log degli accessi da remoto eseguiti. 3.1.4 PR.AC-4: I diritti di accesso alle risorse e le relative autorizzazioni sono amministrati secondo il principio del privilegio minimo e della separazione delle funzioni 1. Esiste un documento aggiornato di dettaglio che, con riferimento ai censimenti di cui alla categoria ID.AM, contiene almeno: a. le risorse censite a cui e' necessario accedere, con riferimento alla categoria ID.AM, per quali funzioni e con quali autorizzazioni; b. i gruppi di utenti e i loro privilegi in relazione alle risorse a cui possono accedere e con quali autorizzazioni; c. l'assegnazione degli utenti censiti ai gruppi di utenti. 3.1.5 PR.AC-5: L'integrita' di rete e' protetta (es. segregazione di rete, segmentazione di rete) 1. Con riferimento ai censimenti di cui alla categoria ID.AM, esiste un documento aggiornato di dettaglio contenente almeno: a. le politiche di sicurezza adottate per la segmentazione/segregazione delle reti; b. la descrizione delle reti segregate/segmentate; c. i processi, le metodologie e le tecnologie impiegate che concorrono al rispetto delle politiche di sicurezza; d. le modalita' con cui porte di rete, protocolli e servizi in uso sono limitati e/o monitorati. 3.1.6 PR.AC-7: Le modalita' di autenticazione (es. autenticazione a fattore singolo o multiplo) per gli utenti, i dispositivi e altri asset sono commisurate al rischio della transazione (es. rischi legati alla sicurezza e privacy degli individui e altri rischi dell'organizzazione) 1. Esiste un documento aggiornato di dettaglio che, con riferimento ai censimenti di cui alla categoria ID.AM e alla valutazione del rischio di cui alla categoria ID.RA, contiene almeno: a. le modalita' di autenticazione disponibili; b. la loro assegnazione alle categorie di transazioni. 3.2 Consapevolezza e addestramento (PR.AT): Il personale e le terze parti sono sensibilizzate in materia di cybersecurity e vengono addestrate per adempiere ai loro compiti e ruoli coerentemente con le politiche, le procedure e gli accordi esistenti 3.2.1 PR.AT-1: Tutti gli utenti sono informati e addestrati 1. Esiste un documento aggiornato di dettaglio che indica i contenuti dell'addestramento e della formazione fornita agli utenti e le modalita' di verifica dell'acquisizione dei contenuti. 2. Esiste un registro aggiornato, per ogni utente, di quali istruzioni ha ricevuto. 3.2.2 PR.AT-2: Gli utenti con privilegi (es. Amministratori di Sistema) comprendono i loro ruoli e responsabilita' 1. Esiste un documento aggiornato di dettaglio, che indica i contenuti dell'istruzione fornita agli utenti con privilegi e le modalita' di verifica dell'acquisizione dei contenuti. 2. Esiste un documento aggiornato recante, per ogni utente con privilegi, quali istruzioni ha ricevuto. 3.3 Sicurezza dei dati (PR.DS): I dati sono memorizzati e gestiti in accordo alla strategia di gestione del rischio dell'organizzazione, al fine di garantire l'integrita', la confidenzialita' e la disponibilita' delle informazioni. 3.3.1 PR.DS-1: I dati memorizzati sono protetti 1. I dati digitali trattati mediante l'impiego di beni ICT, ivi compresi quelli relativi alla descrizione degli stessi beni, la cui compromissione sotto il profilo della disponibilita', integrita' e riservatezza puo' avere impatto sullo svolgimento delle funzioni o dei servizi essenziali per i quali il soggetto e' stato incluso nel perimetro, sono conservati, elaborati, ovvero estratti esclusivamente mediante l'impiego di infrastrutture fisiche e tecnologiche, anche se esternalizzate (ad esempio tramite cloud computing), localizzate sul territorio nazionale. Nelle citate infrastrutture sono ricomprese quelle deputate alle funzioni di business continuity. 2. I dati digitali utilizzati dalle infrastrutture deputate alla sicurezza (quali, a titolo esemplificativo, i sistemi di controllo degli accessi), nonche' le infrastrutture di disaster recovery, anche se esternalizzate (ad esempio tramite cloud computing), devono essere localizzati sul territorio nazionale, salvo motivate e documentate ragioni di natura normativa o tecnica. In presenza di tali motivazioni i predetti dati e infrastrutture non devono comunque essere localizzati al di fuori del territorio dell'Unione europea. 3. Qualora opportunamente cifrati, i dati digitali di backup, anche se esternalizzati (ad esempio tramite cloud computing), possono essere conservati al di fuori del territorio nazionale, ma non al di fuori del territorio dell'Unione europea e le chiavi di cifratura devono essere comunque custodite all'interno del territorio nazionale. Le operazioni di cifratura e decifratura devono comunque essere eseguite mediante infrastrutture localizzate sul territorio nazionale. 4. Per i dati digitali e le infrastrutture di cui ai punti 2 e 3, ove localizzati al di fuori del territorio nazionale, l'applicazione delle misure ID.RA-5 e ID.RA-6 deve tenere opportunamente conto della localizzazione estera. 5. Le disposizioni di cui al punto 1, 2, 3 e 4 non si applicano alle sedi diplomatiche o consolari. 6. Esiste un documento aggiornato che descrive in quali sedi e infrastrutture sono conservati, elaborati ovvero estratti i dati digitali relativi ai beni ICT di cui ai punti 1, 2 e 3, ovvero le fattispecie di cui al punto 4. 7. Esiste un documento aggiornato di dettaglio che indica, anche in relazione alla categoria ID.AM, almeno: a. le politiche di sicurezza adottate per la memorizzazione e la protezione dei dati; b. i processi, le metodologie e le tecnologie impiegate che concorrono al rispetto delle politiche di sicurezza. 3.3.2 PR.DS-3: Il trasferimento fisico, la rimozione e la distruzione dei dispositivi atti alla memorizzazione di dati sono gestiti attraverso un processo formale 1. Esiste un documento aggiornato di dettaglio che indica, anche in relazione alla categoria ID.AM, almeno: a. le politiche di sicurezza adottate per il trasferimento fisico, la rimozione e la distruzione di dispositivi atti alla memorizzazione di dati; b. i processi, le metodologie e le tecnologie impiegate che concorrono al rispetto delle politiche di sicurezza. 3.3.3 PR.DS-5: Sono implementate tecniche di protezione (es. controllo di accesso) contro la sottrazione dei dati (data leak). 1. Esiste un documento aggiornato di dettaglio che indica, anche in relazione alla categoria ID.AM, almeno: a. le politiche di sicurezza adottate per l'accesso ai dati; b. i processi, le metodologie e le tecnologie impiegate che concorrono al rispetto delle politiche di sicurezza. 3.3.4 PR.DS-6: Sono impiegati meccanismi di controllo dell'integrita' dei dati per verificare l'autenticita' di software, firmware e delle informazioni 1. Esiste un documento aggiornato di dettaglio che indica, anche in relazione alla categoria ID.AM, almeno: a. l'elenco dei meccanismi di controllo dell'integrita' dei dati per verificare l'autenticita' di software, firmware e delle informazioni; b. le politiche di sicurezza adottate per assegnare un meccanismo a una risorsa e quali di questi meccanismi e' applicato a quale risorsa; c. i processi, le metodologie e le tecnologie impiegate che concorrono al rispetto delle politiche di sicurezza. 3.3.5 PR.DS-7: Gli ambienti di sviluppo e test sono separati dall'ambiente di produzione 1. Esiste un documento aggiornato di dettaglio che indica, anche in relazione alla categoria ID.AM, almeno: a. l'architettura di massima per cui gli ambienti sono separati e, negli eventuali punti di contatto, come la separazione e' realizzata; b. le politiche di sicurezza adottate per garantire la separazione dell'ambiente di sviluppo e test da quello di produzione; c. i processi, le metodologie e le tecnologie impiegate che concorrono al rispetto delle politiche di sicurezza. 3.4 Procedure e processi per la protezione delle informazioni (PR.IP): Sono attuate e adeguate nel tempo politiche di sicurezza (che indirizzano scopo, ambito, ruoli e responsabilita', impegno da parte del management e coordinamento tra le diverse entita' organizzative), processi e procedure per gestire la protezione dei sistemi informativi e degli asset. 3.4.1 PR.IP-1: Sono definite e gestite delle pratiche di riferimento (c.d. baseline) per la configurazione dei sistemi IT e di controllo industriale che incorporano principi di sicurezza (es. principio di minima funzionalita') 1. Esiste un documento aggiornato di dettaglio che indica, anche in relazione alla categoria ID.AM, almeno: a. le politiche di sicurezza adottate per lo sviluppo di configurazioni di sistemi IT e di controllo industriale e il dispiegamento delle sole configurazioni adottate; b. l'elenco delle configurazioni dei sistemi IT e di controllo industriale impiegate e il riferimento alle relative pratiche di riferimento; c. i processi, le metodologie e le tecnologie impiegate che concorrono al rispetto delle politiche di sicurezza. 3.4.2 PR.IP-3: Sono attivi processi di controllo della modifica delle configurazioni 1. Esiste un documento aggiornato di dettaglio che indica almeno: a. le politiche di sicurezza adottate per l'aggiornamento delle configurazioni dei sistemi IT e di controllo industriale e per il controllo della modifica delle configurazioni in uso rispetto a quelle previste; b. i processi, le metodologie e le tecnologie impiegate che concorrono al rispetto delle politiche di sicurezza. 3.4.3 PR.IP-4: I backup delle informazioni sono eseguiti, amministrati e verificati 1. Esiste un documento aggiornato di dettaglio che indica, anche in relazione alla categoria ID.AM, almeno: a. le politiche di sicurezza adottate per il backup delle informazioni; b. i processi, le metodologie e le tecnologie impiegate che concorrono al rispetto delle politiche di sicurezza. 3.4.4 PR.IP-9: Sono attivi ed amministrati piani di risposta (Incident Response e Business Continuity) e recupero (Incident Recovery e Disaster Recovery) in caso di incidente/disastro 1. Esiste un documento aggiornato di dettaglio che indica i livelli di servizio attesi dal bene ICT, e, se previsti, dalle hot-replica e/o cold-replica nonche' dal sito(i) di disaster recovery, anche al fine di caratterizzare gli incidenti di cui all'articolo 1, comma 3, lettera a) del decretolegge. 2. Esiste un documento aggiornato di dettaglio contenente i piani di continuita' operativa/disaster recovery, nonche' quelli di risposta e di recupero in caso di incidenti, che comprende almeno: a. le politiche e i processi impiegati per identificare le priorita' degli eventi; b. le fasi di attuazione dei piani; c. i ruoli e le responsabilita' del personale; d. i flussi di comunicazione e reportistica; e. il raccordo con il CSIRT italiano. 3. Esiste un documento aggiornato recante l'elenco delle attivita' di istruzione, formazione ed esercitazione svolte. 3.4.5 PR.IP-12: Viene sviluppato e implementato un piano di gestione delle vulnerabilita' 1. Esiste un documento aggiornato di dettaglio che indica almeno: a. le politiche di sicurezza adottate per gestire le vulnerabilita'; b. i processi, le metodologie e le tecnologie impiegate che concorrono al rispetto delle politiche di sicurezza. 3.5 Manutenzione (PR.MA): La manutenzione dei sistemi informativi e di controllo industriale e' fatta in accordo con le politiche e le procedure esistenti. 3.5.1 PR.MA-1: La manutenzione e la riparazione delle risorse e dei sistemi e' eseguita e registrata con strumenti controllati ed autorizzati 1. Esiste un documento aggiornato di dettaglio che indica, anche in relazione alla categoria ID.AM, almeno: a. le politiche di sicurezza adottate per la registrazione della manutenzione e riparazione delle risorse e dei sistemi; b. i processi, le metodologie e le tecnologie impiegate che concorrono al rispetto delle politiche di sicurezza. 2. Esiste un registro aggiornato delle manutenzioni e riparazioni eseguite. 3. In base all'analisi del rischio, ogni aggiornamento dei software ritenuti critici, fatte salve motivate esigenze di tempestivita' relative alla sicurezza, dovra' essere verificato in ambiente di test prima dell'effettivo impiego in ambiente operativo e il relativo codice oggetto dovra' essere custodito per almeno 24 mesi. 3.5.2 PR.MA-2: La manutenzione remota delle risorse e dei sistemi e' approvata, documentata e svolta in modo da evitare accessi non autorizzati 1. La manutenzione delle risorse e dei sistemi (ivi incluse le attivita' relative alle funzioni di sicurezza) svolta da remoto e' eseguita nel rispetto delle misure di cui alla sottocategoria PR.AC-3 e dei seguenti punti. 2. Tutti gli accessi eseguiti da remoto da personale di terze parti dovranno essere autorizzati dall'organizzazione di cybersecurity e limitati ai soli casi essenziali. 3. Sono adottati stringenti meccanismi di protezione per l'autenticazione, l'identificazione e per il tracciamento degli eventi. 4. Sono adottati meccanismi di gestione e controllo delle utenze privilegiate, in termini di limitazioni di natura temporale e delle funzionalita' amministrative disponibili. 5. Tutti i log relativi alle sessioni di comunicazione remota e alle attivita' eseguite sui sistemi remoti, dovranno essere prodotti e custoditi su sistemi separati da quelli oggetto di intervento e non accessibili dalle utenze remote. 6. Esiste un documento aggiornato che descrive, almeno, i processi e gli strumenti tecnici impiegati per realizzare i punti 2, 3, 4 e 5. 3.6 Tecnologie per la protezione (PR.PT): Le soluzioni tecniche di sicurezza sono gestite per assicurare sicurezza e resilienza di sistemi e asset, in coerenza con le relative politiche, procedure ed accordi. 3.6.1 PR.PT-1: Esiste ed e' attuata una policy per definire, implementare e revisionare i log dei sistemi 1. I log sono conservati in modo sicuro, possibilmente centralizzato, per almeno 24 mesi. 2. Esiste un documento aggiornato di dettaglio che indica almeno: a. le politiche di sicurezza adottate per la gestione dei log dei sistemi; b. i processi, le metodologie e le tecnologie impiegate che concorrono al rispetto delle politiche di sicurezza con particolare riguardo all'integrita' e alla disponibilita' dei log. 3.6.2 PR.PT-4: Le reti di comunicazione e controllo sono protette 1. I sistemi perimetrali, quali firewall, anche a livello applicativo, sono presenti, aggiornati, mantenuti e ben configurati. 2. Sistemi di prevenzione delle intrusioni (intrusion prevention systems - IPS) sono presenti, aggiornati, mantenuti e ben configurati. 3. Gli strumenti tecnici di cui ai punti 1 e 2 concorrono al rispetto delle politiche di cui alla categoria ID.AM, ID.GV, ID.SC, PR.AC e PR.DS. 4. l'aggiornamento, manutenzione e configurazione degli strumenti tecnici di cui ai punti 1 e 2 sono effettuati nel rispetto delle politiche di cui alla categoria PR.AC, PR.DS, PR.IP e PR.MA. 5. Gli strumenti tecnici di cui ai punti 1 e 2 sono impiegati anche per i fini di cui alla funzione DE. 6. Esiste un documento aggiornato che descrive almeno i processi e gli strumenti tecnici impiegati per realizzare i punti 1, 2, 3 e 4. 3.6.3 PR.PT-5: Sono implementati meccanismi (es. failsafe, load balancing, hot swap) che permettono di soddisfare requisiti di resilienza sia durante il normale esercizio che in situazioni avverse 1. In relazione ai piani previsti dalla sottocategoria PR.IP-9: a. sono adottate architetture ridondate di rete, di connettivita', nonche' applicative; b. esiste un sito di disaster recovery. 2. Esistono meccanismi per garantire la continuita' di servizio, nel rispetto delle misure di sicurezza qui elencate. 3. Esiste un documento aggiornato che descrive, almeno: a. le politiche di sicurezza adottate in relazione ai punti 1 e 2; b. i processi, le metodologie e le tecnologie impiegate che concorrono al rispetto delle politiche di sicurezza. 4. RILEVAMENTO (DETECT) 4.1 Anomalie e eventi (DE.AE): Le attivita' anomale sono rilevate e il loro impatto potenziale viene analizzato. 4.1.1 DE.AE-3: Le informazioni relative agli eventi sono raccolte e correlate da sensori e sorgenti multiple 1. Ai fini di rilevare tempestivamente incidenti con impatto soggetti alla notifica obbligatoria, sono adottati gli strumenti tecnici e procedurali per: a. acquisire le informazioni da piu' sensori e sorgenti; b. ottenere tempestivamente eventi, occorsi a carico di dipendenze interne o esterne, con impatti, anche potenziali, sul bene ICT; c. ricevere e raccogliere informazioni inerenti alla sicurezza dei beni ICT rese note dal CSIRT italiano, da fonti interne o esterne al soggetto; d. analizzare e correlare, anche in maniera automatizzata, i dati e le informazioni di cui alle lettere a), b) e c), per rilevare tempestivamente eventi di interesse. 2. Le attivita' di analisi e correlazione di cui al punto precedente sono monitorate e registrate. La relativa documentazione, anche elettronica, e' conservata per almeno 24 mesi. 3. Esiste un documento aggiornato di dettaglio che indica almeno: a. le politiche applicate per individuare i sensori e le sorgenti di cui al punto 1, lettera a); b. le procedure e gli strumenti tecnici per ottenere le informazioni di cui al punto 1, lettere a), b) e c); c. le politiche, i processi e gli strumenti tecnici per l'analisi e la correlazione di cui al punto 1, lettera d). d. i processi e gli strumenti tecnici per il monitoraggio e la registrazione di cui al punto 2. 4.2 Monitoraggio continuo per la sicurezza (DE.CM): I sistemi informativi e gli asset sono monitorati per indentificare eventi di cybersecurity e per verificare l'efficacia delle misure di protezione. 4.2.1 DE.CM-1: Viene svolto il monitoraggio della rete informatica per rilevare potenziali eventi di cybersecurity 1. Sono presenti sistemi di rilevamento delle intrusioni (intrusion detection systems - IDS). 2. Il traffico in ingresso e uscita, le attivita' dei sistemi perimetrali, quali router e firewall, gli eventi amministrativi di rilievo, nonche' gli accessi eseguiti o falliti alle risorse di rete e alle postazioni terminali sono monitorati e correlati al fine di identificare eventi di cybersecurity. 3. Gli strumenti tecnici di cui ai punti 1 e 2 sono aggiornati, mantenuti e ben configurati, nel rispetto delle politiche di cui alle categorie PR.AC, PR.DS, PR.IP e PR.MA e concorrono al rispetto delle politiche di cui alla categoria ID.AM, ID.GV, ID.SC, PR.AC e PR.DS. 4. Gli strumenti tecnici di cui ai punti 1 e 2 sono impiegati anche per i fini di cui alla funzione DE. 5. Esiste un documento aggiornato che descrive, almeno: a. le politiche di sicurezza adottate in relazione ai punti 1 e 2; b. i processi, le metodologie e le tecnologie impiegate che concorrono al rispetto delle politiche di sicurezza. 4.2.2 DE.CM-4: Il codice malevolo viene rilevato 1. Sistemi di protezione delle postazioni terminali (endpoint protection systems - EPS) e antimalware sono presenti. 2. I file in ingresso (tramite posta elettronica, download, dispositivi removibili, etc.) sono analizzati, anche tramite sandbox, prima di essere inseriti nel bene ICT. 3. Gli strumenti tecnici di cui ai punti 1 e 2 sono aggiornati, mantenuti e ben configurati, nel rispetto delle politiche di cui alle categorie PR.AC, PR.DS, PR.IP e PR.MA e concorrono al rispetto delle politiche di cui alle categorie ID.AM, ID.GV, ID.SC, PR.AC e PR.DS. 4. Esiste un documento aggiornato che descrive, almeno: a. le politiche di sicurezza adottate in relazione ai punti 1, 2 e 3; b. i processi, le metodologie e le tecnologie impiegate che concorrono al rispetto delle politiche di sicurezza. 4.2.3 DE.CM-7: Viene svolto il monitoraggio per rilevare personale, connessioni, dispositivi o software non autorizzati 1. Con riferimento alle sottocategorie PR.AC-2 e PR.AC-3, viene rilevata la presenza di personale con potenziale accesso fisico o remoto non autorizzato alle risorse. A tal fine, sono presenti sistemi di sorveglianza e controllo di accesso, anche automatizzati. 2. Con riferimento alla sottocategoria ID.AM-1, vengono rilevati dispositivi (anche fisici) non approvati. A tal fine, fatti salvi documentati limiti tecnici, sono presenti almeno dei sistemi di controllo di accesso di rete. 3. Con riferimento alla sottocategoria ID.AM-2, fatti salvi documentati limiti tecnici, sono presenti sistemi di controllo per il rilevamento dei software non approvati. 4. Con riferimento alla sottocategoria ID.AM-3, sono presenti sistemi di controllo per il rilevamento delle connessioni non autorizzate. 5. Gli strumenti tecnici di cui ai punti 1, 2, 3 e 4 sono aggiornati, mantenuti e ben configurati, nel rispetto delle politiche di cui alle categorie PR.AC, PR.DS, PR.IP e PR.MA e concorrono al rispetto delle politiche di cui alle categorie ID.AM, ID.GV, ID.SC, PR.AC e PR.DS. 6. Esiste un documento aggiornato che descrive, almeno: a. le politiche di sicurezza adottate in relazione ai punti 1, 2, 3 e 4; b. i processi, le metodologie e le tecnologie impiegate che concorrono al rispetto delle politiche di sicurezza. 4.2.4 DE.CM-8: Vengono svolte scansioni per l'identificazione di vulnerabilita' 1. In base all'analisi del rischio, sulle piattaforme e sulle applicazioni software ritenute critiche sono eseguiti penetration test e vulnerability assessment, prima della loro messa in esercizio. 2. Sono eseguiti periodicamente penetration test e vulnerability assessment in relazione alla criticita' delle piattaforme e delle applicazioni software. 3. Esiste un documento aggiornato recante la tipologia di penetration test e vulnerability assessment previsti. 4. Esiste un registro aggiornato dei penetration test e vulnerability assessment eseguiti corredato dalla relativa documentazione. 4.3 Processi di rilevamento (DE.DP): Sono adottati, mantenuti e verificati processi e procedure di monitoraggio per assicurare la comprensione di eventi anomali. 4.3.1 DE.DP-1: Ruoli e responsabilita' per i processi di monitoraggio sono ben definiti al fine di garantire l'accountability 1. Le nomine dell'incaricato e del referente di cui alla sottocategoria ID-AM-6 sono rese note all'interno del soggetto. 2. I ruoli, i processi e le responsabilita' per le attivita' propedeutiche al rilevamento di incidenti con impatto e la successiva notifica al CSIRT italiano sono ben definiti e resi noti alle articolazioni competenti del soggetto. 3. Esiste un documento aggiornato di dettaglio che indica almeno: a. i ruoli, i processi e le responsabilita' di cui al punto 2; b. i processi per la diffusione delle nomine, dei ruoli e dei processi di cui ai punti 1 e 2. 5. RISPOSTA (RESPOND) 5.1 Pianificazione della risposta (RS.RP): Procedure e processi di risposta sono eseguiti e mantenuti per assicurare una risposta agli incidenti di cybersecurity rilevati. 5.1.1 RS.RP-1: Esiste un piano di risposta (response plan) e questo viene eseguito durante o dopo un incidente 1. Esiste un piano di risposta aggiornato che prevede, almeno, l'esecuzione tempestiva della valutazione degli eventi rilevati tramite l'analisi e la correlazione di cui alla categoria DE, nonche' la disseminazione immediata degli esiti verso le articolazioni competenti del soggetto, anche ai fini della notifica al CSIRT italiano degli incidenti con impatto sul bene ICT. 2. Il piano di risposta prevede anche le procedure per la mitigazione e risposta agli incidenti di cui all'articolo 1, comma 3, lettera a) del decreto-legge. 5.2 Comunicazione (RS.CO): Le attivita' di risposta sono coordinate con le parti interne ed esterne (es. eventuale supporto da parte degli organi di legge o dalle forze dell'ordine). 5.2.1 RS.CO-1: Il personale conosce il proprio ruolo e le operazioni che deve svolgere in caso sia necessaria una risposta ad un incidente 1. Le fasi e i processi di gestione e risposta ad un incidente, incluse le relative interazioni con il CSIRT italiano, sono definite e rese note alle articolazioni competenti del soggetto. 2. I ruoli e le responsabilita' per lo svolgimento delle fasi e dei processi di cui al punto 1 sono ben definiti e resi noti alle articolazioni competenti del soggetto. 3. Sono eseguite periodicamente esercitazioni. 4. Esiste un documento aggiornato di dettaglio che indica almeno: a. le fasi, i processi, dei ruoli e le responsabilita' di cui ai punti 1 e 2; b. i processi per la diffusione delle fasi, dei processi, dei ruoli e delle responsabilita' di cui ai punti 1 e 2; c. le modalita' per le esercitazioni di cui al punto 3. 5. Esiste un registro aggiornato delle esercitazioni effettuate e dei partecipanti, con le relative lezioni apprese (lesson learned). 5.3 Analisi (RS.AN): Vengono condotte analisi per assicurare un'efficace riposta e supporto alle attivita' di ripristino. 5.3.1 RS.AN-5: Sono definiti processi per ricevere, analizzare e rispondere a informazioni inerenti vulnerabilita' rese note da fonti interne o esterne all'organizzazione (es. test interni, bollettini di sicurezza, o ricercatori in sicurezza) 1. Gli esiti delle valutazioni di cui alla sottocategoria DE.AE-3 e dei penetration test e vulnerability assessment di cui alla sottocategoria DE.CM-8, qualora disponibili, sono diffusi alle articolazioni competenti del soggetto e trasmessi al CSIRT italiano. 2. I canali di comunicazione del CSIRT italiano di cui all'articolo 4 del decreto del Presidente del Consiglio dei ministri 8 agosto 2019, dell'Autorita' di riferimento del proprio settore produttivo, nonche' di eventuali CERT e Information Sharing & Analysis Centre (ISAAC) di riferimento sono monitorati. 3. Esiste un documento aggiornato che descrive, almeno: a. le modalita' per ricevere, analizzare e rispondere almeno alle informazioni raccolte tramite le attivita' di cui ai punti 1 e 2; b. i processi, i ruoli, le responsabilita' e gli strumenti tecnici per lo svolgimento delle attivita' di cui ai punti 1 e 2. 5.4 Mitigazione (RS.MI): Vengono eseguite azioni per prevenire l'espansione di un evento di sicurezza, per mitigare i sui effetti e per risolvere l'incidente. 5.4.1 RS.MI-2: In caso di incidente vengono messe in atto procedure atte a mitigarne gli effetti 1. Viene implementato il piano di risposta di cui alla sottocategoria RS.RP-1 e gli esiti vengono riportati in un documento aggiornato anche ai fini dell'aggiornamento del citato piano di risposta. 5.4.2 RS.MI-3: Le nuove vulnerabilita' sono mitigate o documentate come rischio accettato 1. Le vulnerabilita' sono mitigate secondo quanto previsto dal piano di gestione delle vulnerabilita' (PR.IP-12), ovvero ne viene documentato e accettato il rischio residuo derivante dalla mancata mitigazione. 6. RECUPERO (RECOVER) 6.1 Pianificazione del ripristino (RC.RP): I processi e le procedure di ripristino sono eseguite e mantenute per assicurare un recupero dei sistemi o asset coinvolti da un incidente di cybersecurity. 6.1.1 RC.RP-1: Esiste un piano di ripristino (recovery plan) e viene eseguito durante o dopo un incidente di cybersecurity 1. Esiste un piano di ripristino che prevede, almeno, i processi e le procedure necessarie al ripristino del normale funzionamento dei beni ICT coinvolti da un incidente di cybersecurity. 2. Il piano di ripristino prevede anche le procedure per il ripristino a seguito degli incidenti di cui all'articolo 1, comma 3, lettera a) del decreto-legge. 6.2 Miglioramenti (RC.IM): I piani di ripristino ed i relativi processi sono migliorati tenendo conto delle "lesson learned" per le attivita' future. 6.2.1 RC.IM-2: Le strategie di recupero sono aggiornate 1. Il piano di cui alla sottocategoria RC.RP-1 e' mantenuto aggiornato tenendo anche conto delle lezioni apprese nel corso delle attivita' di ripristino occorse. 6.3 Comunicazione (RC.CO): Le attivita' di ripristino a seguito di un incidente sono coordinate con le parti interne ed esterne (es. le vittime, gli ISP, i proprietari dei sistemi attaccati, i vendor, i CERT/CSIRT). 6.3.1 RC.CO-3: Le attivita' di ripristino condotte a seguito di un incidente vengono comunicate alle parti interessate interne ed esterne all'organizzazione, inclusi i dirigenti ed i vertici dell'organizzazione 1. Le attivita' di ripristino a seguito di un incidente sono comunicate alle parti interne ed esterne interessate (es. le vittime, gli ISP, i proprietari dei sistemi attaccati, i vendor, i CERT/CSIRT), ivi incluse le articolazioni competenti del soggetto, anche ai fini dell'eventuale notifica al CSIRT italiano. APPENDICE n. 1 - TABELLA DI CORRISPONDENZA (ambiti di cui all'articolo 1, comma 3, lettera b), del decreto-legge) ===================================================================== | Ambiti del decreto-legge ai sensi | Misure del presente | | dell'articolo 1, comma 3, lettera b). | allegato | +===========================================+=======================+ |1) struttura organizzativa preposta alla | | |gestione della sicurezza |2.1.4 ID.AM-6 | | +-----------------------+ | |3.4.4 PR.IP-9, | | |limitatamente al punto | | |2, lettera c | | +-----------------------+ | |4.3.1 DE.DP-1, | | |limitatamente ai punti | | |1, 2 e 4, lettera a | | +-----------------------+ | |5.2.1 RS.CO-1, | | |limitatamente ai punti | | |2 e 4 | | +-----------------------+ | |5.3.1 RS.AN-5, | | |limitatamente al punto | | |5 | +-------------------------------------------+-----------------------+ |1-bis) politiche di sicurezza e gestione | | |del rischio |2.2.1 ID.GV-1 | | +-----------------------+ | |2.2.2 ID.GV-4 | | +-----------------------+ | |2.3.1 ID.RA-1 | | +-----------------------+ | |2.3.2 ID.RA-5 | | +-----------------------+ | |2.3.3 ID.RA-6 | | +-----------------------+ | |2.4.1 ID.RM-2 | | +-----------------------+ | |2.5.1 ID.SC-1 | | +-----------------------+ | |2.5.2 ID.SC-2 | | +-----------------------+ | |2.5.3 ID.SC-3 | | +-----------------------+ | |2.5.4 ID.SC-4 | | +-----------------------+ | |3.1.1 PR.AC-1, | | |limitatamente al punto | | |2 | | +-----------------------+ | |3.1.2 PR.AC-2 | | +-----------------------+ | |3.1.3 PR.AC-3, | | |limitatamente al punto | | |3 | | +-----------------------+ | |3.1.5 PR.AC-5 | | +-----------------------+ | |3.3.1 PR.DS-1, | | |limitatamente al punto | | |4 | | +-----------------------+ | |3.3.2 PR.DS-3 | | +-----------------------+ | |3.3.3 PS.DS-5 | | +-----------------------+ | |3.3.4 PR.DS-6 | | +-----------------------+ | |3.3.5 PR.DS-7 | | +-----------------------+ | |3.4.1 PR.IP-1 | | +-----------------------+ | |3.4.2 PR.IP-3 | | +-----------------------+ | |3.4.3 PR.IP-4 | | +-----------------------+ | |3.4.4 PR.IP-9, | | |limitatamente al punto | | |2 | | +-----------------------+ | |3.4.5 PR.IP-12 | | +-----------------------+ | |3.5.1 PR.MA-1 | | +-----------------------+ | |3.5.2 PR.MA-2 | | +-----------------------+ | |3.6.1 PR.PT-1 | | +-----------------------+ | |3.6.2 PR.PT-4, | | |limitatamente ai punti | | |3, 4 e 6 | | +-----------------------+ | |3.6.3 PR.PT-5, | | |limitatamente al punto | | |3 | | +-----------------------+ | |4.1.1 DE.AE-3, | | |limitatamente al punto | | |2 | | +-----------------------+ | |4.2.1 DE.CM-1, | | |limitatamente ai punti | | |3 e 5 | | +-----------------------+ | |4.2.2 DE.CM-4, | | |limitatamente ai punti | | |3 e 5 | | +-----------------------+ | |4.2.3 DE.CM-7, | | |limitatamente ai punti | | |5 e 7 | +-------------------------------------------+-----------------------+ |2) mitigazione e gestione degli incidenti e| | |loro prevenzione, anche attraverso | | |interventi su apparati o prodotti che |2.1.4 ID.AM-6, | |risultino gravemente inadeguati sul piano |limitatamente al punto | |della sicurezza |4 | | +-----------------------+ | |3.4.4 PR.IP-9 | | +-----------------------+ | |5.1.1 RS.RP-1 | | +-----------------------+ | |5.2.1 RS.CO-1 | | +-----------------------+ | |5.3.1 RS.AN-5 | | +-----------------------+ | |5.4.1 RS.MI-2 | | +-----------------------+ | |5.4.2 RS.MI-3 | | +-----------------------+ | |6.1.1 RC.RP-1 | | +-----------------------+ | |6.2.1 RC.IM-2 | | +-----------------------+ | |6.3.1 RC.CO-3 | +-------------------------------------------+-----------------------+ |3) protezione fisica e logica dei dati |3.3.1 PR.DS-1 | | +-----------------------+ | |3.3.2 PR.DS-3 | | +-----------------------+ | |3.3.3 PR.DS-5 | | +-----------------------+ | |3.3.4 PR.DS-6 | | +-----------------------+ | |3.3.5 PR.DS-7 | | +-----------------------+ | |3.4.3 PR.IP-4 | +-------------------------------------------+-----------------------+ |4) integrita' delle reti e dei sistemi | | |informativi |2.1.1 ID.AM-1 | | +-----------------------+ | |2.1.2 ID.AM-2 | | +-----------------------+ | |2.1.3 ID.AM-3 | | +-----------------------+ | |3.1.1 PR.AC-1 | | +-----------------------+ | |3.1.2 PR.AC-2 | | +-----------------------+ | |3.1.3 PR.AC-3 | | +-----------------------+ | |3.1.4 PR.AC-4 | | +-----------------------+ | |3.1.5 PR.AC-5 | | +-----------------------+ | |3.1.6 PR.AC-7 | | +-----------------------+ | |3.3.5 PR.DS-7 | | +-----------------------+ | |3.4.1 PR.IP-1 | | +-----------------------+ | |3.4.2 PR.IP-3 | | +-----------------------+ | |3.4.3 PR.IP-4 | | +-----------------------+ | |3.4.5 PR.IP-12 | | +-----------------------+ | |3.5.2 PR.MA-2 | +-------------------------------------------+-----------------------+ |5) gestione operativa, ivi compresa la | | |continuita' del servizio |3.4.4 PR.IP-9 | | +-----------------------+ | |3.6.3 PR.PT-5 | | +-----------------------+ | |6.1.1 RC.RP-1 | | +-----------------------+ | |6.2.1 RC.IM-2 | +-------------------------------------------+-----------------------+ |6) monitoraggio, test e controllo |2.3.1 ID.RA-1 | | +-----------------------+ | |2.5.4 ID.SC-4 | | +-----------------------+ | |3.1.1 PR.AC-1, | | |limitatamente al punto | | |3 | | +-----------------------+ | |3.1.3 PR.AC-3, | | |limitatamente al punto | | |1 | | +-----------------------+ | |3.5.1 PR.MA-1, | | |limitatamente al punto | | |3 | | +-----------------------+ | |3.6.2 PR.PT-4 | | +-----------------------+ | |4.1.1 DE.AE-3 | | +-----------------------+ | |4.2.1 DE.CM-1 | | +-----------------------+ | |4.2.2 DE.CM-4 | | +-----------------------+ | |4.2.3 DE.CM-7 | | +-----------------------+ | |4.2.4 DE.CM-8 | | +-----------------------+ | |4.3.1 DE.DP-1 | +-------------------------------------------+-----------------------+ |7) formazione e consapevolezza |3.2.1 PR.AT-1 | | +-----------------------+ | |3.2.2 PR.AT-2 | | +-----------------------+ | |3.4.4 PR.IP-9, | | |limitatamente ai punti | | |3 e 4 | | +-----------------------+ | |5.2.1 RS.CO-1, | | |limitatamente ai punti | | |3, 4 e 5 | +-------------------------------------------+-----------------------+ |8) affidamento di forniture di beni, | | |sistemi e servizi di information and | | |communication technology (ICT), anche | | |mediante definizione di caratteristiche e |2.1.4 ID.AM-6, | |requisiti di carattere generale, di |limitatamente al punto | |standard e di eventuali limiti |8 | | +-----------------------+ | |2.5.1 ID.SC-1 | | +-----------------------+ | |2.5.2 ID.SC-2 | | +-----------------------+ | |2.5.3 ID.SC-3 | | +-----------------------+ | |2.5.4 ID.SC-4 | +-------------------------------------------+-----------------------+ APPENDICE n. 2 - CATEGORIE (Tabella recante la ripartizione delle misure di sicurezza nelle categorie di cui all'art. 8, comma 1, lettere a) e b)) ========================================================= | | Categorie di cui | | Misure del presente allegato | all'art. 8 | +===================================+===================+ | 2.1.1 ID.AM-1 | A | +-----------------------------------+-------------------+ | 2.1.2 ID.AM-2 | B | +-----------------------------------+-------------------+ | 2.1.3 ID.AM-3 | A | +-----------------------------------+-------------------+ | 2.1.4 ID.AM-6 | A | +-----------------------------------+-------------------+ | 2.2.1 ID.GV-1 | A | +-----------------------------------+-------------------+ | 2.2.2 ID.GV-4 | A | +-----------------------------------+-------------------+ | 2.3.1 ID.RA-1 | A | +-----------------------------------+-------------------+ | 2.3.2 ID.RA-5 | A | +-----------------------------------+-------------------+ | 2.3.3 ID.RA-6 | B | +-----------------------------------+-------------------+ | 2.4.1 ID.RM-2 | A | +-----------------------------------+-------------------+ | 2.5.1 ID.SC-1 | A | +-----------------------------------+-------------------+ | 2.5.2 ID.SC-2 | B | +-----------------------------------+-------------------+ | 2.5.3 ID.SC-3 | B | +-----------------------------------+-------------------+ | 2.5.4 ID.SC-4 | A | +-----------------------------------+-------------------+ | 3.1.1 PR.AC-1 | B | +-----------------------------------+-------------------+ | 3.1.2 PR.AC-2 | B | +-----------------------------------+-------------------+ | 3.1.3 PR.AC-3 | B | +-----------------------------------+-------------------+ | 3.1.4 PR.AC-4 | B | +-----------------------------------+-------------------+ | 3.1.5 PR.AC-5 | B | +-----------------------------------+-------------------+ | 3.1.6 PR.AC-7 | B | +-----------------------------------+-------------------+ | 3.2.1 PR.AT-1 | A | +-----------------------------------+-------------------+ | 3.2.2 PR.AT-2 | A | +-----------------------------------+-------------------+ | 3.3.1 PR.DS-1 | B | +-----------------------------------+-------------------+ | 3.3.2 PR.DS-3 | A | +-----------------------------------+-------------------+ | 3.3.3 PR.DS-5 | B | +-----------------------------------+-------------------+ | 3.3.4 PR.DS-6 | B | +-----------------------------------+-------------------+ | 3.3.5 PR.DS-7 | B | +-----------------------------------+-------------------+ | 3.4.1 PR.IP-1 | B | +-----------------------------------+-------------------+ | 3.4.2 PR.IP-3 | B | +-----------------------------------+-------------------+ | 3.4.3 PR.IP-4 | B | +-----------------------------------+-------------------+ | 3.4.4 PR.IP-9 | A | +-----------------------------------+-------------------+ | 3.4.5 PR.IP-12 | A | +-----------------------------------+-------------------+ | 3.5.1 PR.MA-1 | B | +-----------------------------------+-------------------+ | 3.5.2 PR.MA-2 | B | +-----------------------------------+-------------------+ | 3.6.1 PR.PT-1 | B | +-----------------------------------+-------------------+ | 3.6.2 PR.PT-4 | B | +-----------------------------------+-------------------+ | 3.6.3 PR.PT-5 | B | +-----------------------------------+-------------------+ | 4.1.1 DE.AE-3 | B | +-----------------------------------+-------------------+ | 4.2.1 DE.CM-1 | B | +-----------------------------------+-------------------+ | 4.2.2 DE.CM-4 | B | +-----------------------------------+-------------------+ | 4.2.3 DE.CM-7 | B | +-----------------------------------+-------------------+ | 4.2.4 DE.CM-8 | B | +-----------------------------------+-------------------+ | 4.3.1 DE.DP-1 | A | +-----------------------------------+-------------------+ | 5.1.1 RS.RP-1 | A | +-----------------------------------+-------------------+ | 5.2.1 RS.CO-1 | A | +-----------------------------------+-------------------+ | 5.3.1 RS.AN-5 | A | +-----------------------------------+-------------------+ | 5.4.1 RS.MI-2 | A | +-----------------------------------+-------------------+ | 5.4.2 RS.MI-3 | B | +-----------------------------------+-------------------+ | 6.1.1 RC.RP-1 | A | +-----------------------------------+-------------------+ | 6.2.1 RC.IM-2 | A | +-----------------------------------+-------------------+ | 6.3.1 RC.CO-3 | A | +-----------------------------------+-------------------+