Cyber framework Europei: NIS2 DORA CER

Processframe supporta le azienda nella gestione dei processi associati ai principali framework per la CyberSecurity

Le Normative Europee: Direttiva NIS 2   Regolamento DORA   Direttiva CER

Il NIST Cybersecurity Framework 2.0   e il derivato Framework Nazionale per la Cybersecurity e Data Protection

Diversi Framework normativi: DORA, NIS2 e CER

Direttiva NIS 2

NIS2

La Direttiva NIS2 estende il perimetro, superando la categoria OSE (Operatori Servizi Essenziali), e indirizzando varie tipologie:  aziende dell'energia, dei trasporti, del bancario, delle infrastrutture digitali e della salute, da una parte, e dall'altra aziende che operano nei contesti di produzione, fabbricazione e distribuzione di prodotti (come alimentari, chimici, elettronici), gestione dei rifiuti e servizi postali. La direttiva impone poi una gestione del rischio estesa alla supply chain dell'Azienda, con una gestione degli incidenti di sicurezza e  notifica allo CSIRT (Computer Security Incident Response Team ), un piano di Business Continuity e di test di sicurezza e di ripristino, un'attività di formazione estesa al management.

La normativa prevede sanzioni economiche pesanti in caso di violazione fino ad una possibile sospensione dell'attività.

Regolamento DORA

Digital Operational Resiliance act

Il Regolamento DORA (Digital Operational Resilience Act) riguarda da un lato le Aziende che operano nel settore finanziario, ma dall'altro si estende anche ai fornitori di servizi IT e di comunicazione delle suddette aziende.

Il Regolamento prevede l'implementazione di una serie di misure di protezione, tra le quali si possono citare l'utilizzo di politiche appropriate e complete per le patch e gli aggiornamenti o l'implementazione di politiche e di protocolli per i meccanismi di autenticazione forte e per la limitazione ed il controllo degli accessi fisici e virtuali alle risorse e ai dati del sistema ICT. Tutte queste misure devono essere incluse all'interno del sistema di gestione del rischio dell'Azienda.

Anche in questo caso la normativa prevede un meccanismo di notifica obbligatoria da inviare alle autorità competenti nel caso in cui si dovessero verificare degli incidenti.

Direttiva CER

CER

La  direttiva CER indirizza la protezione di soggetti critici nell’ambito di diversi settori, quali: energia, trasporti, bancario, acque potabili, acque reflue, produzione, trasformazione e distribuzione di alimenti, sanità, spazio, infrastrutture dei mercati finanziari e delle infrastrutture digitali, alcuni settori della pubblica amministrazione.

Come per la NIS2 e la DORA, si prevede un approccio basato sul Risk Management, che includa non solo gli aspetti di Cybersecurity ma anche la continuità dei servizi e delle forniture dei soggetti interessati.

I soggetti critici devono poter prevenire gli incidenti informatici e proteggersi dalle relative conseguenze, specie se tali da intaccare la fornitura dei servizi essenziali. Bisogna quindi che siano in grado di rispondere adeguatamente, mitigare gli effetti e ripristinare le proprie capacità operative.

ProcessFrame - supporto ai processi di Cybersecurity e Business Continuity

I framework normativi di riferimento in quest'ambito prevedono quindi non solo che le Aziende interessate mettano in atto un sistema di gestione del Rischio molto complesso, ma anche che le suddette Aziende abbiano una struttura adeguata per sostenerlo. In questo senso, ProcessFrame è in grado di fornire un supporto concreto: permette infatti di coniugare le diverse dimensioni aziendali in un'unica soluzione integrata e centralizzata, per far sì che la gestione del Rischio e le misure imposte dalla normativa includano tutti i parametri richiesti. Il software è altamente configurabile e supporta tutti i requisiti delle norme già citate.

Risk Management

ProcessFrame supporta una gestione dei Risk Management coerente con lo standard ISO 31000 e può essere adattato ai processi e alle caratteristiche delle singole aziende utilizzatrici.

Gestione degli incidenti

Gli incidenti possono essere tracciati nel sistema, così come le relative azioni di trattamento e di prevenzione.

Le notifiche alle autorità possono essere generate dal sistema tramite integrazione con la posta elettronica e la PEC, e se previsto tramite Web Service o API.

Audit

Le attività di verifica interna sono gestite da ProcessFrame tramite checklist di verifica, verbali di verifica basati sulle checklist definite, creazione di Non Conformità e Osservazioni, monitoraggio e verifica di efficacia dell'esecuzione delle Azioni di Correzione e Miglioramento identificate.

Value Chain

Il sistema di audit può essere esteso a coprire anche le attività di valutazione e verifica dei fornitori rilevanti per la corretta erogazione dei servizi e dei prodotti dell'Azienda.

Le azioni correttive richieste ai fornitori possono essere inviate attraverso la mail integrata nel sistema o attraverso una integrazione con un eventuale portale fornitori.

Più nel dettaglio, il software ProcessFrame supporta l'adattamento dell'azienda al Framework Nazionale, la contestualizzazione del Framework e la creazione e la gestione di checklist di controllo.

Framework Nazionale

Cybersecurity

ProcessFrame consente alle organizzazioni di adattare il Framework Nazionale per la Cybersecurity e la Data Protection alle proprie esigenze, contestualizzandone l'utilizzo così come indicato dalla "Metodologia per il cybersecurity assessment con il Framework". Successivamente possono essere registrati nel sistema gli esiti dei controlli con le relative variazioni nel tempo e gestite le azioni di miglioramento individuate.

Se sei interessato solo a questa configurazione scopri la versione cloud (SaaS) del framework NIST

Contestualizzazione del framework

clicca per ingrandire

 

Il framework è precaricato in ProcessFrame; la contestualizzazione avviene tramite:

  1. Rimozione di categorie e/o sottocategorie non rilevanti;
  2. Definizione di classe (Libera, Consigliata, Obbligatoria) e priorità (Alta, Media, Bassa);
  3. Indicazione del livello di maturità atteso sulla base dei 5 livelli definiti dal CMM1: Libero, Ripetibile, Definito, Gestibile, Ottimizzato.

Checklist di controllo

clicca per ingrandire

 

Per ogni elemento del framework presente nella contestualizzazione, è possibile definire il sistema delle checklist (questionari di controllo) per identificare il livello di copertura dell'obiettivo di maturità identificato come target.

Le checklist possono essere pianificate e attribuite come responsabilità agli auditor incaricati di compilare i questionari. Per tutte le checklist che non hanno raggiunto il livello di copertura degli obiettivi desiderato è possibile ripianificare una nuova compilazione a valle delle azioni di miglioramento indicate, per verificarne l'efficacia.

Inoltre, nel caso di variazioni di tipo organizzativo e/o tecnologico rilevanti, o a maggior ragione nel caso in cui gli obiettivi di maturità e copertura venissero rivisti, è possibile rivedere i questionari e pianificare nuove sessioni di controllo.