SPS_2026

24 SPECIALE SPS ITALIA 2026 Tutorial Misure di sicurezza - Sono censiti i sistemi e gli apparati fisici in uso nell’organizzazione. - Sono censite le piattaforme e le applicazioni software in uso nell’or- ganizzazione. - I flussi di dati e comunicazioni inerenti all’organizzazione sono iden- tificati. - Sono definiti e resi noti ruoli e responsabilità inerenti alla cybersecuri- ty per tutto il personale e per eventuali terze parti rilevanti (es. fornitori, clienti e partner). - È identificata e resa nota una policy di cybersecurity. - La governance e i processi di risk management includono la gestione dei rischi legati alla cybersecurity. - Le vulnerabilità delle risorse (es. sistemi, locali e dispositivi) dell’orga- nizzazione sono identificate e documentate. - Le minacce, le vulnerabilità, le relative probabilità di accadimento e i conseguenti impatti sono utilizzati per determinare il rischio. - Sono identificate e prioritizzate le risposte al rischio. - I fornitori e i partner terzi di sistemi informatici, componenti e servi- zi sono identificati, prioritizzati e valutati utilizzando un processo di va- lutazione del rischio inerente alla catena di approvvigionamento cyber. - Le identità digitali e le credenziali di accesso per gli utenti, i dispositivi e i processi autorizzati sono amministrate, verificate, revocate e sotto- poste ad audit di sicurezza. - L’accesso remoto alle risorse è amministrato. - I diritti di accesso alle risorse e le relative autorizzazioni sono ammini- strati secondo il principio del privilegio minimo e della separazione del- le funzioni. - Tutti gli utenti sono informati e addestrati. - Gli utenti con privilegi (es. amministratori di sistema) comprendono i loro ruoli e le responsabilità. - I dati memorizzati sono protetti. - I backup delle informazioni sono eseguiti, amministrati e verificati. - Sono attivi e amministrati piani di risposta (Incident response e Bu- siness continuity) e recupero (Incident recovery e Disaster recovery) in caso di incidente/disastro. - Viene sviluppato e implementato un piano di gestione delle vulnera- bilità. - La manutenzione e la riparazione delle risorse e dei sistemi è eseguita e registrata con strumenti controllati e autorizzati. - Le reti di comunicazione e controllo sono protette. - Viene svolto il monitoraggio della rete informatica per rilevare poten- ziali eventi di cybersecurity. - Il codice malevolo viene rilevato. - Esiste un piano di risposta (Response plan) e questo viene eseguito durante o dopo un incidente. - Sono definiti processi per ricevere, analizzare e rispondere a informa- zioni inerenti vulnerabilità rese note da fonti interne o esterne all’orga- nizzazione (es. test interni, bollettini di sicurezza o ricercatori in sicu- rezza). - Esiste un piano di ripristino (Recovery plan) e viene eseguito durante o dopo un incidente di cybersecurity. Media impresa* <250 persone <50 000 000 EUR di fatturato annuo o <43 000 000 EUR di totale di bilancio annuo *Secondo la Raccomandazione della Commissione europea 2003/361/CE la categoria delle microimprese, delle piccole imprese e delle medie imprese (PMI) è costituita da imprese che occupano meno di 250 persone, il cui fatturato annuo non supera i 50 milioni di euro oppure il cui totale di bilancio annuo non supera i 43 milioni. ficativi. Segnalare in modo tempesti- vo ed efficace gli incidenti significativi è alla base della Direttiva NIS2 perché permette di capire più approfondita- mente il loro impatto, migliora le ca- pacità di risposta agli incidenti e la re- silienza informatica. Un incidente è considerato significati- vo se ha causato o è in grado di cau- sare una grave perturbazione operati- va dei servizi o perdite finanziarie per il soggetto interessato (perdita finan- ziaria superiore a 500.000 euro o al 5% del fatturato annuo secondo il re- golamento attuativo Enisa); si è riper- cosso o è in grado di ripercuotersi su altre persone fisiche o giuridiche cau- sando perdite materiali o immateriali considerevoli. I soggetti essenziali e i soggetti impor- tanti devono notificare: • senza ingiustificato ritardo, e co- munque entro 24 ore da quando sono venuti a conoscenza dell’inci- dente significativo, una pre-notifica che, ove possibile, indichi se l’inci- dente significativo possa ritenersi il risultato di atti illegittimi o malevoli oppurepossa avereun impatto tran- sfrontaliero; • senza ingiustificato ritardo, e co- munque entro 72 ore (24 ore nel caso di un prestatore di servizi fidu- ciari) da quando sono venuti a cono- scenza dell’incidente significativo, una notifica dell’incidente che, ove possibile, aggiorni le informazioni già trasmessenella pre-notifica e in- dichi una valutazione iniziale dell’in- cidente significativo, comprensiva della sua gravità e del suo impatto, nonché, ove disponibili, gli indicato- ri di compromissione; • una relazione finale entro un mese dalla trasmissione della notifica di incidente. 3. I soggetti essenziali sono sottoposti a supervisione ex ante ed ex post. 4. I soggetti importanti sono sottopo- sti solo alla supervisione ex post. In tema di supervisione gli attori chia- ve sono tre: ACN, Csirt e soggetti es- senziali/importanti. Le autorità na- zioni centrali di cui all’allegato III, let- tera a); - i soggetti eventualmente individuati dall’Autorità competente NIS. Tutti gli altri soggetti rientranti nell’ambito di applicazione del decre- to che non sono considerati essenziali, sono considerati soggetti importanti. Obblighi dei soggetti 1. Tutti i soggetti sono tenuti a imple- mentare misure di gestione dei rischi. Devono quindi attuare misure tecni- che, operative e organizzative per ge- stire efficacemente i rischi per i loro sistemi e minimizzare l’impatto degli incidenti. Queste misure devono basarsi su un approccio completo (all-hazards, che considera tutti i rischi e pericoli) e in- cludere almeno: politiche sull’anali- si del rischio e sicurezza dei sistemi informativi, gestione degli incidenti, continuità operativa e gestione del- le crisi, sicurezza della supply chain, sicurezza nell’acquisizione, svilup- po e gestione di sistemi, politiche di valutazione dell’efficacia delle misu- re, pratiche base di igiene informati- ca e formazione, crittografia, politiche di controllo degli accessi e asset ma- nagement, utilizzo di autenticazione multi-fattore e comunicazioni sicure. Lemisure di sicurezza riportate in det- taglio nelle ‘Linee guida per il raffor- zamento della resilienza’ dell’Agenzia per la cybersicurezza nazionale sono riepilogate in tabella. 2. Tutti i soggetti sono tenuti a segna- lare gli incidenti di cybersecurity signi- decreto legislativo 4 settembre 2024, n. 138