CYBERSICUREZZA E SICUREZZA DELLE INFORMAZIONI: PRASSI DI RIFERIMENTO IN CONSULTAZIONE PUBBLICA

L’Ente Italiano di Normazione (UNI) ha avviato la consultazione pubblica per la nuova Prassi di Riferimento che stabilisce i requisiti per l’implementazione di un sistema di gestione della cybersicurezza e della sicurezza delle informazioni. Il documento si propone di armonizzare la norma UNI CEI EN ISO/IEC 27001 con il NIST Cybersecurity Framework (CSF) 2.0, garantendo alle organizzazioni un approccio integrato e conforme agli standard internazionali di riferimento.

La consultazione pubblica sarà aperta fino al 4 marzo 2025, e rappresenta un’opportunità per le aziende, gli esperti di settore e le parti interessate di contribuire al perfezionamento della prassi.

OBIETTIVI E FINALITÀ DELLA UNI/PDR SULLA CYBERSICUREZZA E LA SICUREZZA DELLE INFORMAZIONI

La crescente complessità delle minacce informatiche impone alle organizzazioni di adottare sistemi di gestione per la cybersicurezza e sicurezza delle informazioni (Cybersecurity and Information Security Management System, in sigla: C-ISMS) che garantiscano protezione, resilienza e conformità normativa. La nuova UNI/PdR si propone di rispondere a questa esigenza offrendo alle aziende un quadro metodologico per rafforzare la propria postura di cybersicurezza.

Tra gli obiettivi principali del documento vi sono:

• Armonizzazione dei requisiti della UNI CEI EN ISO/IEC 27001 con il NIST CSF 2.0, per superare le divergenze metodologiche, di struttura e di approccio, tra i due standard.
• Facilitazione del percorso di certificazione, offrendo uno schema pre-normativo orientato alla certificazione volontaria.
• Adozione di un approccio integrato per la gestione del rischio cyber, combinando i controlli della ISO/IEC 27001 con le strategie di protezione definite dal NIST CSF 2.0.
• Maggiore flessibilità per le organizzazioni che già operano in conformità con la ISO/IEC 27001 o che intendono adottare il NIST CSF 2.0 per migliorare la propria capacità di gestione della sicurezza delle informazioni informatiche.

L’obiettivo è offrire alle aziende una guida strutturata che le aiuti a implementare controlli di sicurezza efficaci, migliorare la gestione del rischio cyber e potenziare la conformità ai requisiti internazionali.

PRINCIPALI NOVITÀ DELLA UNI/PDR SULLA CYBERSICUREZZA E LA SICUREZZA DELLE INFORMAZIONI

La UNI/PdR in consultazione pubblica introduce un modello unificato basato sulle best practice della gestione della sicurezza informatica. La struttura del documento segue l’Harmonized Structure (HS), allineandosi alla ISO/IEC 27001 e facilitando l’integrazione con altri sistemi di gestione (es. ISO 9001, ISO 14001, ISO 45001).

Come per altri sistemi di gestione, anche nel caso del C-ISMS l’organizzazione deve stabilire se il cambiamento climatico è un fattore rilevante (Addendum A1:2024 ).

Il documento armonizza i requisiti della UNI CEI EN ISO/IEC 27001 con gli obiettivi del NIST CSF 2.0, creando un framework unico per la cybersicurezza.

La prassi di riferimento si completa di due appendici (A e B) che forniscono prospetti di correlazione di facile consultazione in cui sono evidenziate le relazioni tra specifici punti della norma UNI CEI EN ISO/IEC 27001 e del Cybersecurity Framework del NIST.

FASE DI CONSULTAZIONE PUBBLICA: COME PARTECIPARE?

Il documento è attualmente in fase di consultazione pubblica e disponibile sul sito ufficiale di UNI fino al 4 marzo 2025. Questa fase è fondamentale per raccogliere feedback e suggerimenti dagli stakeholder del settore, con l’obiettivo di migliorare la prassi prima della pubblicazione definitiva.

Le aziende, i professionisti della sicurezza informatica e gli esperti del settore possono:

• Scaricare il documento dal sito di UNI: UNI – Cybersicurezza e Sicurezza delle Informazioni.
• Esaminare i contenuti e fornire commenti sulle sezioni più rilevanti.
• Inviare suggerimenti e proposte di modifica entro il 4 marzo 2025.