Framework Nazionale per la Cybersecuritye la Data Protection

Il Framework Nazionale per la Cybersecurity e la Data Protection riflette il profondo cambiamento del panorama nazionale della cybersecurity negli ultimi anni in Italia.

Questo cambiamento ha portato a una maggiore consapevolezza del rischio cyber e della necessità di adeguate misure di sicurezza. In particolare, la pubblicazione del “Quadro strategico nazionale per la sicurezza dello spazio cibernetico” e il relativo piano operativo hanno delineato rischi e priorità nel campo della sicurezza informatica.

Tra le varie indicazioni, il piano suggeriva di “elaborare e pubblicare documenti di riferimento quali manuali da utilizzare per lo scambio di informazioni”.

La Nascita del Framework Nazionale per la Cybersecurity

In questo contesto, nel 2015 è stato presentato il Framework Nazionale per la Cybersecurity, frutto della collaborazione tra accademia, enti pubblici e imprese private.

Questo framework, ispirato al Cybersecurity Framework del NIST (National Institute of Standards and Technology), fornisce uno strumento operativo per organizzare i processi di cybersecurity adatto a organizzazioni pubbliche e private di qualsiasi dimensione.

Il problema della piccole e medie imprese

Il panorama economico italiano è costituito prevalentemente da piccole e medie imprese (PMI), che spesso non dispongono di personale specifico per affrontare sistematicamente le pratiche di cybersecurity, a causa di limitazioni strutturali e di budget.

Per rispondere a queste esigenze, nel 2016 il CIS ha presentato il documento “Controlli essenziali di Cybersecurity”, che descrive 15 controlli di facile e, quasi sempre, economica implementazione, rappresentando pratiche di sicurezza indispensabili.

Come il GDPR ha impattato il framework?

Il 25 maggio 2018 è entrato in vigore il Regolamento Generale sulla Protezione dei Dati (GDPR), che disciplina il trattamento e la circolazione dei dati personali.

Questo regolamento ha introdotto il principio dell’accountability, imponendo un cambiamento di prospettiva rispetto alla protezione dei dati personali. A più di sei mesi dalla sua applicazione, il GDPR rappresenta un passo fondamentale per qualsiasi organizzazione che intenda trattare dati personali.

Il Framework Nazionale per la Cybersecurity e la Data Protection 2.0

Il Framework Nazionale per la Cybersecurity e la Data Protection è progettato per supportare le organizzazioni che necessitano di strategie e processi volti alla protezione dei dati personali e alla sicurezza informatica.

Rispetto alla versione del 2015, il nuovo documento introduce contributi specifici per cogliere gli aspetti fondamentali legati alla protezione dei dati secondo quanto previsto dal GDPR (Capitolo 3 ad esempio)

Il Framework come strumento di supporto

Il Framework è uno strumento di supporto per le organizzazioni e NON può essere considerato uno strumento di conformità ai regolamenti vigenti.

Tuttavia, la sua adozione può aiutare le organizzazioni a definire un percorso di cybersecurity e protezione dei dati coerente con i regolamenti stessi, riducendo i costi necessari e aumentando l’efficacia delle misure realizzate.

Per le organizzazioni che già implementano misure coerenti con il GDPR, il Framework può rappresentare un utile strumento per guidare le attività di continuo monitoraggio.

Elementi Fondamentali del Framework

Il Framework eredita le tre nozioni fondamentali del Cybersecurity Framework NIST: Framework Core, Profile e Implementation Tier.

Il Framework Core rappresenta la struttura del ciclo di vita del processo di gestione della cybersecurity, organizzato in funzione, categoria e sottocategoria. Ogni funzione (IDENTIFY, PROTECT, DETECT, RESPOND, RECOVER) copre un’area critica della gestione del rischio cyber.

Contestualizzazione del Framework

Per favorire l’adozione del Framework, è possibile contestualizzarlo per specifici ambiti applicativi, selezionando le funzioni, categorie e sottocategorie rilevanti per l’organizzazione.

Questa contestualizzazione permette di adattare il Framework alle esigenze specifiche dell’organizzazione, considerando la sua maturità nell’affrontare il rischio cyber.

Conclusioni

Il Cybersecurity Framework 2.0 della Sapienza di Roma rappresenta un importante passo avanti per la sicurezza informatica in Italia.

Fornisce un set completo di strumenti e linee guida per aiutare le organizzazioni a proteggere i propri dati e a gestire i rischi informatici in modo efficace. L’adozione di questo framework può contribuire significativamente a migliorare la resilienza e la sicurezza delle organizzazioni italiane in un panorama digitale sempre più complesso e minaccioso.