Evidenze di igiene informatica NIS2 mappate a ISO 27001
Sono le 08:40 di un lunedì. Sarah, CISO di un provider SaaS B2B in rapida crescita, si collega alla riunione del gruppo dirigente aspettandosi un riesame ordinario delle azioni di rischio aperte. Invece, il responsabile legale interno apre con una domanda più incisiva:
“Se domani l’autorità nazionale competente ci chiedesse di dimostrare l’igiene informatica e la formazione in materia di cibersicurezza richieste da NIS2 articolo 21, che cosa invieremmo esattamente?”
Il direttore HR afferma che ogni dipendente ha completato la formazione annuale di sensibilizzazione. Il responsabile SOC riferisce che i risultati delle simulazioni di phishing stanno migliorando. Il responsabile delle operazioni IT conferma che la MFA è applicata, i backup sono testati e l’applicazione delle patch è tracciata. Il Responsabile Compliance aggiunge che il fascicolo di audit ISO/IEC 27001:2022 contiene le registrazioni della formazione, ma il gruppo di lavoro DORA dispone di proprie evidenze sulla formazione alla resilienza, mentre la cartella GDPR contiene log separati di sensibilizzazione privacy.
Tutti hanno lavorato. Nessuno è certo che le evidenze raccontino una storia unica e coerente.
Questo è il vero problema di NIS2 articolo 21 per i soggetti essenziali e importanti. Il requisito non è semplicemente “formare gli utenti”. L’articolo 21 richiede misure tecniche, operative e organizzative adeguate e proporzionate per gestire il rischio cyber. L’insieme minimo di controlli comprende l’igiene informatica e la formazione in materia di cibersicurezza, ma anche la gestione degli incidenti, la continuità operativa, la sicurezza della catena di fornitura, la gestione delle vulnerabilità, la crittografia, la sicurezza delle risorse umane, il controllo degli accessi, la gestione degli asset, la MFA o l’autenticazione continua, le comunicazioni sicure e le procedure per valutare l’efficacia.
L’igiene informatica non è una campagna di sensibilizzazione. È la disciplina operativa quotidiana che collega persone, controlli, evidenze e responsabilità della direzione.
Per CISO, Responsabili Compliance, MSP, provider SaaS, operatori cloud e fornitori di servizi digitali, la risposta pratica non è creare un progetto separato di “formazione NIS2”. L’approccio più solido consiste nel costruire un’unica catena di evidenze pronta per l’audit all’interno di un SGSI ISO/IEC 27001:2022, supportata dalle pratiche di controllo ISO/IEC 27002:2022, gestita in ottica di rischio secondo ISO/IEC 27005:2022 e riferita in modo incrociato a NIS2, DORA, GDPR, assurance in stile NIST e aspettative di governance COBIT 2019.
Perché NIS2 articolo 21 trasforma la formazione in evidenza per l’organo di gestione
NIS2 si applica a molti soggetti medi e grandi nei settori dell’Allegato I e dell’Allegato II che forniscono servizi o svolgono attività nell’Unione. Per le aziende tecnologiche, il campo di applicazione può essere più ampio di quanto molti gruppi dirigenti si aspettino. L’Allegato I copre l’infrastruttura digitale, inclusi fornitori di servizi di cloud computing, fornitori di servizi di data center, fornitori di reti di distribuzione dei contenuti, prestatori di servizi fiduciari, fornitori di servizi DNS e registri TLD. L’Allegato I copre anche la gestione dei servizi ICT B2B, inclusi i fornitori di servizi gestiti e i Managed Security Services. L’Allegato II include fornitori digitali quali marketplace online, motori di ricerca online e piattaforme di servizi di social networking.
Alcuni soggetti possono rientrare nel campo di applicazione indipendentemente dalla dimensione, inclusi determinati fornitori di servizi DNS e registri TLD. Anche le decisioni nazionali sulla criticità possono includere fornitori più piccoli, quando un’interruzione potrebbe incidere sulla sicurezza pubblica, sul rischio sistemico o su servizi essenziali.
L’articolo 21(1) richiede ai soggetti essenziali e importanti di attuare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi per i sistemi informativi e di rete utilizzati per le operazioni o per l’erogazione dei servizi, nonché per prevenire o minimizzare l’impatto degli incidenti. L’articolo 21(2) elenca le misure minime, incluse politiche su analisi dei rischi e sicurezza dei sistemi informativi, gestione degli incidenti, continuità operativa, sicurezza della catena di fornitura, acquisizione e manutenzione sicure, valutazione dell’efficacia, pratiche di base di igiene informatica e formazione in materia di cibersicurezza, crittografia, sicurezza delle risorse umane, controllo degli accessi, gestione degli asset e MFA o autenticazione continua, ove appropriato.
L’articolo 20 innalza il livello di responsabilità. Gli organi di gestione devono approvare le misure di gestione dei rischi di cibersicurezza, supervisionarne l’attuazione e possono essere ritenuti responsabili delle violazioni. I membri degli organi di gestione devono seguire una formazione; i soggetti sono inoltre incoraggiati a fornire formazione periodica analoga ai dipendenti, affinché possano individuare i rischi e valutare le pratiche di gestione dei rischi di cibersicurezza e il relativo impatto sui servizi.
L’articolo 34 aggiunge pressione finanziaria. Le violazioni dell’articolo 21 o dell’articolo 23 possono comportare sanzioni amministrative pecuniarie pari ad almeno EUR 10,000,000 o al 2% del fatturato annuo mondiale per i soggetti essenziali, e ad almeno EUR 7,000,000 o all'1.4% per i soggetti importanti, a seconda di quale importo sia superiore.
Per questo “abbiamo erogato la formazione annuale di sensibilizzazione” non è sufficiente. Un’autorità di regolamentazione, un auditor ISO, un valutatore della sicurezza di un cliente o un assicuratore cyber si aspetterà evidenze che dimostrino che la formazione è basata sui ruoli, commisurata al rischio, aggiornata, misurata, collegata agli incidenti e compresa dalla direzione.
La Policy di consapevolezza e formazione sulla sicurezza delle informazioni enterprise di Clarysec, clausola 5.1.1.3, richiede che la formazione:
Copra temi quali phishing, igiene delle password, segnalazione e gestione degli incidenti, sicurezza fisica e protezione e minimizzazione dei dati
La stessa policy, clausola 8.3.1.1, identifica la linea di evidenza che gli auditor richiedono di norma per prima:
Registrazioni di assegnazione, presa d’atto e completamento della formazione
Per le PMI, la Policy di consapevolezza e formazione sulla sicurezza delle informazioni - PMI di Clarysec, clausola 8.4.1, è ancora più diretta sulla verificabilità:
Le registrazioni della formazione sono soggette ad audit interno e riesame esterno. Le registrazioni devono essere accurate, complete e dimostrabili su richiesta (ad esempio, per la certificazione ISO, audit GDPR o validazione assicurativa).
Questa frase coglie la differenza tra sensibilizzazione come attività HR e sensibilizzazione come controllo di conformità. Se le registrazioni sono incomplete, non verificabili o non collegate al rischio del ruolo, il controllo può esistere sul piano operativo ma fallire in sede di audit.
Usare ISO/IEC 27001:2022 come dorsale delle evidenze
ISO/IEC 27001:2022 è la dorsale naturale per NIS2 articolo 21 perché obbliga l’organizzazione a definire campo di applicazione, parti interessate, rischi, controlli, obiettivi, evidenze, audit interno, riesame della direzione e miglioramento continuo.
Le clausole da 4.1 a 4.4 richiedono all’organizzazione di comprendere le questioni interne ed esterne, determinare le parti interessate e i relativi requisiti, definire il campo di applicazione del SGSI, considerare interfacce e dipendenze con attività svolte da altre organizzazioni e mantenere il SGSI come insieme interagente di processi. Per un provider SaaS o un MSP, il campo di applicazione del SGSI deve includere esplicitamente gli obblighi NIS2, gli obblighi contrattuali verso i clienti, le dipendenze dal provider cloud, la copertura del SOC esternalizzato, i ruoli nel trattamento dei dati e gli impegni di disponibilità del servizio.
Le clausole da 5.1 a 5.3 introducono la responsabilità di governance. L’alta direzione deve allineare la politica per la sicurezza delle informazioni e gli obiettivi alla direzione strategica, integrare i requisiti del SGSI nei processi aziendali, fornire risorse, assegnare responsabilità e assicurare la rendicontazione delle prestazioni. Questo si allinea direttamente a NIS2 articolo 20, in cui gli organi di gestione approvano e supervisionano le misure di gestione dei rischi di cibersicurezza.
Le clausole da 6.1.1 a 6.1.3 e 6.2 trasformano le aspettative legali in trattamento del rischio. L’organizzazione deve pianificare azioni per rischi e opportunità, gestire un processo ripetibile di valutazione del rischio per la sicurezza delle informazioni, determinare i titolari del rischio, selezionare le opzioni di trattamento, confrontare i controlli con l’Allegato A, creare una Dichiarazione di Applicabilità, formulare un piano di trattamento, ottenere l’approvazione del titolare del rischio e definire obiettivi di sicurezza misurabili.
È qui che NIS2 articolo 21 diventa gestibile. Non serve un programma di sensibilizzazione NIS2 scollegato. Serve una narrazione mappata di rischio e controllo.
| Area dei requisiti NIS2 | Meccanismo di evidenza ISO/IEC 27001:2022 | Evidenze pratiche |
|---|---|---|
| Approvazione e supervisione della direzione | Clausole 5.1, 5.3, 9.3 | Verbali dell’organo di gestione, pacchetto per il riesame della direzione, assegnazione dei ruoli, approvazioni di budget |
| Igiene informatica e formazione | Clausola 7.2, clausola 7.3, controlli dell’Allegato A relativi a persone e tecnologia | Piano di formazione, esportazioni LMS, matrice dei ruoli, risultati di phishing, prese d’atto delle policy |
| Analisi dei rischi e politica di sicurezza | Clausole 6.1.2, 6.1.3, 6.2 | Valutazione del rischio, piano di trattamento del rischio, Dichiarazione di Applicabilità, obiettivi di sicurezza |
| Valutazione dell’efficacia | Clausole 9.1, 9.2, 10.2 | KPI, risultati di audit interno, azioni correttive, risultati dei test dei controlli |
| Gestione degli incidenti e preparazione alla segnalazione | Controlli dell’Allegato A sulla gestione degli incidenti | Runbook degli incidenti, log di escalation, report di esercitazioni tabletop, registrazioni di preservazione delle evidenze |
| Catena di fornitura e dipendenza dal cloud | Controlli dell’Allegato A su fornitori e servizi cloud | Registro dei fornitori, due diligence, contratti, piani di uscita, riesami dei servizi |
| Accesso, gestione degli asset e MFA | Controlli dell’Allegato A su accessi, asset e identità | Inventario degli asset, riesami degli accessi, report MFA, evidenze sugli accessi privilegiati |
Le clausole da 8.1 a 8.3, da 9.1 a 9.3 e da 10.1 a 10.2 completano il ciclo operativo. Richiedono controllo operativo pianificato, rivalutazione del rischio, attuazione dei piani di trattamento, monitoraggio e misurazione, audit interno, riesame della direzione, miglioramento continuo e azione correttiva. ISO/IEC 27001:2022 diventa il motore delle evidenze per NIS2 articolo 21, non solo un marchio di certificazione.
Tradurre l’igiene informatica in ancoraggi di controllo ISO
“Igiene informatica” è volutamente ampia. Per gli auditor deve essere tradotta in controlli specifici e testabili. Clarysec avvia di norma le evidenze sull’igiene informatica NIS2 articolo 21 con tre ancoraggi pratici di controllo tratti da ISO/IEC 27002:2022, interpretati tramite Zenith Controls: la guida alla conformità incrociata.
Il primo ancoraggio è il controllo ISO/IEC 27002:2022 6.3, consapevolezza, istruzione e formazione sulla sicurezza delle informazioni. In Zenith Controls, 6.3 è trattato come controllo preventivo a supporto di riservatezza, integrità e disponibilità. La sua capacità operativa è la sicurezza delle risorse umane e il suo concetto di cibersicurezza è protezione. Questo inquadra la sensibilizzazione come controllo di protezione, non come esercizio di comunicazione.
Zenith Controls mostra inoltre come 6.3 dipenda da altri controlli e li rafforzi. Si collega a 5.2 ruoli e responsabilità per la sicurezza delle informazioni, perché la formazione deve riflettere le responsabilità assegnate. Si collega a 6.8 segnalazione degli eventi di sicurezza delle informazioni, perché il personale non può segnalare ciò che non riconosce. Si collega a 8.16 attività di monitoraggio, perché gli analisti SOC e il personale operativo devono essere formati per riconoscere anomalie e seguire i protocolli di risposta. Si collega a 5.36 conformità alle politiche, alle regole e agli standard per la sicurezza delle informazioni, perché le politiche funzionano solo quando le persone le comprendono.
Come afferma Zenith Controls per il controllo ISO/IEC 27002:2022 6.3:
La conformità dipende dalla consapevolezza. 6.3 assicura che i dipendenti conoscano le politiche di sicurezza e comprendano la propria responsabilità personale nel rispettarle. L’istruzione e la formazione periodiche mitigano il rischio di violazioni involontarie delle politiche dovute a ignoranza.
Il secondo ancoraggio è il controllo ISO/IEC 27002:2022 5.10, uso accettabile delle informazioni e degli altri asset associati. L’igiene informatica dipende dalla comprensione, da parte delle persone, di ciò che possono fare con endpoint, unità cloud, strumenti SaaS, piattaforme di collaborazione, supporti rimovibili, dati di produzione, dati di test e strumenti basati su AI. Zenith Controls mappa 5.10 come controllo preventivo nell’ambito della gestione degli asset e della protezione delle informazioni. In pratica, le evidenze dell’uso accettabile non consistono solo in una policy firmata. Includono la prova che la policy copre il reale perimetro degli asset, che l’onboarding include la presa d’atto, che il monitoraggio supporta il rispetto della policy e che le eccezioni sono gestite.
Il terzo ancoraggio è il controllo ISO/IEC 27002:2022 5.36, conformità alle politiche, alle regole e agli standard per la sicurezza delle informazioni. Questo è il ponte verso l’audit. Zenith Controls mappa 5.36 come controllo preventivo di governance e assurance. Si collega a 5.1 politiche per la sicurezza delle informazioni, 6.4 processo disciplinare, 5.35 riesame indipendente della sicurezza delle informazioni, 5.2 ruoli e responsabilità, 5.25 valutazione e decisione sugli eventi di sicurezza delle informazioni, 8.15 logging, 8.16 attività di monitoraggio e 5.33 protezione delle registrazioni.
Per NIS2 articolo 21, questo è cruciale. Le autorità di regolamentazione e gli auditor non chiedono solo se una policy esiste. Chiedono se l’aderenza è monitorata, se le violazioni sono rilevate, se le evidenze sono protette, se vengono intraprese azioni correttive e se la direzione vede i risultati.
Costruire un pacchetto di evidenze su igiene informatica e formazione NIS2
Consideriamo un provider SaaS di medie dimensioni che si prepara sia alla prontezza NIS2 sia a un audit di sorveglianza ISO/IEC 27001:2022. L’organizzazione ha 310 dipendenti, inclusi sviluppatori, SRE, addetti al supporto, personale commerciale, contraenti e dirigenti. Fornisce servizi di workflow basati sul cloud a clienti UE e si affida a un provider cloud hyperscale, due piattaforme di identità, un fornitore MDR esternalizzato e diversi strumenti di supporto subappaltati.
Il Responsabile Compliance dispone di esportazioni della formazione dal LMS, ma queste non sono mappate a NIS2 articolo 21, ai controlli ISO, ai ruoli aziendali o agli scenari di rischio. Uno sprint pratico di remediation produce un pacchetto di evidenze su igiene informatica e formazione con sei componenti.
| Componente di evidenza | Cosa dimostra | Proprietario | Test di audit |
|---|---|---|---|
| Matrice di formazione basata sui ruoli | La formazione è associata a responsabilità ed esposizione al rischio | Responsabile del SGSI e HR | Campionare i ruoli e verificare che i moduli richiesti siano stati assegnati |
| Piano annuale di formazione | Competenza e consapevolezza sono pianificate, non ad hoc | Responsabile del SGSI | Verificare date, temi, destinatari, approvazione e obiettivi di completamento |
| Esportazione dei completamenti LMS | Il personale ha completato la formazione assegnata | HR o People Ops | Riconciliare l’elenco dei dipendenti con il report di completamento, nuovi assunti e cessati |
| Report delle simulazioni di phishing | L’efficacia della sensibilizzazione è misurata | Operazioni di sicurezza | Riesaminare risultati delle campagne, utenti recidivi al clic e formazione correttiva |
| Log di presa d’atto delle policy | Il personale ha accettato regole e responsabilità | HR e Compliance | Confermare la presa d’atto delle politiche di sicurezza, uso accettabile e segnalazione degli incidenti |
| Sintesi del riesame della direzione | La leadership supervisiona tendenze e azioni correttive | CISO e sponsor esecutivo | Verificare che i verbali includano metriche, eccezioni, rischi e decisioni |
Il punto chiave è la tracciabilità.
Partire da NIS2 articolo 21(2)(g), pratiche di base di igiene informatica e formazione in materia di cibersicurezza. Collegarlo alle clausole ISO/IEC 27001:2022 7.2 e 7.3 per competenza e consapevolezza, alle clausole 9.1 e 9.2 per monitoraggio e audit, e ai controlli dell’Allegato A, inclusi consapevolezza, uso accettabile, gestione delle vulnerabilità, gestione della configurazione, backup, logging, monitoraggio, crittografia, controllo degli accessi e gestione degli incidenti. Collegare quindi le evidenze al registro dei rischi.
| Gruppo di ruoli | Rischio di igiene informatica NIS2 | Formazione richiesta | Evidenze |
|---|---|---|---|
| Tutti i dipendenti | Phishing, password deboli, scarsa segnalazione degli incidenti, gestione impropria dei dati | Formazione di base sulla consapevolezza della sicurezza, igiene delle password, MFA, protezione dei dati, segnalazione degli incidenti | Completamento LMS, punteggio del quiz, presa d’atto della policy |
| Dirigenti | Accettazione del rischio, responsabilità legale, decisioni di crisi, supervisione della reportistica | Responsabilità di governance, responsabilità della direzione NIS2, escalation degli incidenti, propensione al rischio | Partecipazione al workshop esecutivo, pacchetto per l’organo di gestione, registro delle decisioni |
| Sviluppatori | Vulnerabilità, codice non sicuro, esposizione dei segreti, dati di test non sicuri | Sviluppo sicuro, gestione delle dipendenze, divulgazione delle vulnerabilità, minimizzazione dei dati | Registrazione della formazione, checklist SDLC sicuro, campioni di revisione del codice |
| SRE e operazioni IT | Errata configurazione, ritardo nelle patch, fallimento dei backup, lacune nei log | Gestione delle patch, configurazione sicura, ripristino dei backup, monitoraggio, risposta agli incidenti | Report delle patch, test di backup, evidenze di allerte SIEM, report tabletop |
| Supporto clienti | Ingegneria sociale, divulgazione non autorizzata, violazione privacy | Verifica dell’identità, gestione dei dati, escalation, segnalazione delle violazioni | Riesame degli accessi CRM, registrazione della formazione, campione QA del supporto |
| Contraenti con accesso | Obblighi non chiari, accessi non gestiti, perdite di dati | Onboarding di sicurezza sintetico, uso accettabile, canale di segnalazione | Presa d’atto del contraente, approvazione degli accessi, evidenze di offboarding |
La Policy di consapevolezza e formazione sulla sicurezza delle informazioni enterprise supporta questa struttura. La clausola 5.1.2.4 include esplicitamente i temi formativi per i dirigenti:
Dirigenti (ad esempio, governance, accettazione del rischio, obblighi legali)
Questa riga è rilevante ai sensi di NIS2 articolo 20 perché la formazione della direzione non è facoltativa. Se l’organo di gestione approva misure di gestione del rischio ma non sa spiegare accettazione del rischio, soglie degli incidenti o routine di supervisione, la catena delle evidenze si interrompe.
La Policy per la sicurezza delle informazioni - PMI di Clarysec, clausola 6.4.1, mostra come l’igiene informatica diventi comportamento di controllo quotidiano:
I controlli di sicurezza obbligatori devono essere applicati in modo coerente, inclusi backup regolari, aggiornamenti antivirus, password robuste e smaltimento sicuro dei documenti sensibili.
È una formulazione concisa per PMI dell’igiene informatica pratica. L’auditor richiederà comunque evidenze, come report dei job di backup, copertura EDR, configurazione delle password o della MFA e log di smaltimento sicuro, ma la policy stabilisce il comportamento atteso.
Mappare NIS2 articolo 21 alle evidenze di audit
Gli auditor testano il funzionamento dei controlli, non gli slogan. Seguiranno il filo conduttore dal requisito legale al campo di applicazione del SGSI, alla valutazione del rischio, alla Dichiarazione di Applicabilità, alla policy, alla procedura, alle evidenze e al riesame della direzione.
| Area NIS2 articolo 21 | Mappatura ISO/IEC 27001:2022 o ISO/IEC 27002:2022 | Riferimento Clarysec | Evidenza primaria di audit |
|---|---|---|---|
| Formazione in materia di cibersicurezza | Clausola 7.2, clausola 7.3, A.6.3 consapevolezza, istruzione e formazione sulla sicurezza delle informazioni | Policy di consapevolezza e formazione sulla sicurezza delle informazioni | Policy di formazione, piano annuale, registrazioni LMS, risultati di phishing, checklist di onboarding, verbali della formazione dell’organo di gestione |
| Comportamento accettabile di igiene informatica | A.5.10 uso accettabile delle informazioni e degli altri asset associati | Policy per la sicurezza delle informazioni - PMI | Presa d’atto dell’uso accettabile, registrazioni di onboarding, registrazioni delle eccezioni, evidenze di monitoraggio |
| Igiene delle vulnerabilità e delle patch | A.8.8 gestione delle vulnerabilità tecniche | Zenith Blueprint Step 19 | Scansioni di vulnerabilità, report delle patch, ticket di remediation, registrazioni di accettazione del rischio |
| Configurazione sicura | A.8.9 gestione della configurazione | Zenith Blueprint Step 19 | Baseline sicure, riesami della configurazione, approvazioni delle modifiche, report di scostamento |
| Resilienza e ripristino | A.8.13 backup delle informazioni | Policy per la sicurezza delle informazioni - PMI | Log di backup, test di ripristino, riesami dei fallimenti dei backup, evidenze di ripristino |
| Rilevazione e risposta | A.8.15 logging, A.8.16 attività di monitoraggio, A.6.8 segnalazione degli eventi di sicurezza delle informazioni | Zenith Controls | Allerte SIEM, procedure di monitoraggio, formazione sulla segnalazione degli incidenti, output tabletop |
| Protezione crittografica | A.8.24 uso della crittografia | Allegato A di ISO/IEC 27001:2022 | Standard di cifratura, evidenze di gestione delle chiavi, configurazione TLS, report sulla cifratura dello storage |
| Integrità delle evidenze | A.5.33 protezione delle registrazioni | Zenith Controls | Cartelle di audit controllate, marcature temporali delle esportazioni, regole di conservazione, log degli accessi |
Un’autorità di regolamentazione potrebbe non usare la terminologia ISO, ma il percorso delle evidenze resta lo stesso. Occorre mostrare che il requisito è identificato, valutato in ottica di rischio, trattato, attuato, monitorato, riportato alla direzione e migliorato.
Usare Zenith Blueprint per passare dal piano alle evidenze
Zenith Blueprint: una roadmap in 30 passaggi per auditor offre ai team un percorso pratico dall’intento alle evidenze. Nella fase ISMS Foundation & Leadership, Step 5, Communication, Awareness, and Competence, il Blueprint richiede alle organizzazioni di identificare le competenze richieste, valutare le competenze attuali, fornire formazione per colmare le lacune, mantenere registrazioni delle competenze e trattare la competenza come un requisito continuativo.
L’azione del Blueprint è volutamente operativa:
Eseguire una rapida analisi dei fabbisogni formativi. Elencare i ruoli chiave del SGSI (dallo Step 4) e, per ciascuno, annotare eventuali formazioni o certificazioni note già possedute e quale ulteriore formazione potrebbe essere utile. Elencare inoltre i temi generali di sensibilizzazione alla sicurezza necessari per tutti i dipendenti. Sulla base di ciò, predisporre un semplice Piano di formazione per l’anno successivo – ad esempio, “Q1: sensibilizzazione alla sicurezza per tutto il personale; Q2: formazione avanzata sulla risposta agli incidenti per l’IT; Q3: formazione da auditor interno ISO 27001 per due membri del team; …”.
Nella fase Controls in Action, Step 15, People Controls I, Zenith Blueprint raccomanda formazione annuale obbligatoria per tutti i dipendenti, moduli specifici per ruolo, onboarding di sicurezza dei nuovi assunti entro la prima settimana, campagne di phishing simulate, newsletter, briefing di team, evidenze di partecipazione, bollettini di sicurezza mirati dopo minacce emergenti e formazione per contraenti o terze parti con accesso.
Step 16, People Controls II, avverte che gli auditor testeranno l’attuazione, non solo la documentazione. Per il lavoro da remoto, gli auditor possono richiedere la Policy di lavoro da remoto, evidenze VPN o di cifratura degli endpoint, implementazione MDM, restrizioni BYOD e registrazioni della formazione che dimostrino le precauzioni per il lavoro da remoto. Se il lavoro ibrido fa parte del modello operativo, le evidenze della formazione NIS2 devono includere uso sicuro del Wi‑Fi, blocco dei dispositivi, archiviazione approvata, MFA e segnalazione di attività sospette dagli ambienti domestici.
Step 19, Technological Controls I, collega l’igiene informatica al livello dei controlli tecnici. Zenith Blueprint raccomanda di riesaminare report delle patch, scansioni di vulnerabilità, baseline sicure, copertura EDR, log malware, allerte DLP, ripristini dei backup, evidenze di ridondanza, miglioramenti del logging e sincronizzazione temporale. L’articolo 21(2)(g) non può essere valutato in isolamento. Una forza lavoro formata ha comunque bisogno di endpoint aggiornati, log monitorati, backup testati e configurazioni sicure.
Rendere il piano di formazione basato sul rischio con ISO/IEC 27005:2022
Una debolezza comune in sede di audit è un piano di formazione generico, identico per sviluppatori, finanza, supporto, dirigenti e contraenti. ISO/IEC 27005:2022 aiuta a evitare questa debolezza rendendo la formazione parte del trattamento del rischio.
La clausola 6.2 raccomanda di identificare i requisiti di base delle parti interessate rilevanti e lo stato di conformità, inclusi l’Allegato A di ISO/IEC 27001:2022, altri standard SGSI, requisiti settoriali, normative nazionali e internazionali, regole interne di sicurezza, controlli di sicurezza contrattuali e controlli già attuati mediante precedenti attività di trattamento del rischio. Questo supporta un unico registro dei requisiti invece di fogli di calcolo separati per NIS2, ISO, DORA, GDPR, clienti e assicurazioni.
Le clausole da 6.4.1 a 6.4.3 spiegano che i criteri di accettazione e valutazione del rischio devono considerare aspetti legali e normativi, attività operative, rapporti con i fornitori, vincoli tecnologici e finanziari, privacy, danno reputazionale, violazioni contrattuali, violazioni dei livelli di servizio e impatti su terze parti. Un incidente di phishing che coinvolge un sistema interno di newsletter è diverso dalla compromissione di credenziali che interessa un servizio di sicurezza gestito, una piattaforma di supporto clienti, un’integrazione di pagamento o un’operazione DNS.
Le clausole da 7.1 a 7.2.2 richiedono una valutazione del rischio coerente e riproducibile, inclusi rischi per riservatezza, integrità e disponibilità, e titolari del rischio nominati. Le clausole da 8.2 a 8.6 guidano quindi la selezione del trattamento, la determinazione dei controlli, il confronto con l’Allegato A, la documentazione della Dichiarazione di Applicabilità e il dettaglio del piano di trattamento.
La formazione è un trattamento, ma non l’unico. Se simulazioni di phishing ripetute mostrano che gli utenti dell’area finanza sono vulnerabili alle frodi sulle fatture, il piano di trattamento può includere formazione di aggiornamento, workflow di approvazione dei pagamenti più robusto, accesso condizionale, monitoraggio delle regole delle mailbox ed esercitazioni per i dirigenti su scenari di frode.
Le clausole 9.1, 9.2, 10.4.2, 10.5.1 e 10.5.2 enfatizzano rivalutazione pianificata, metodi documentati, monitoraggio dell’efficacia e aggiornamenti quando cambiano nuove vulnerabilità, asset, uso della tecnologia, leggi, incidenti o propensione al rischio. Questo dimostra che l’organizzazione non congela il proprio piano di formazione una volta l’anno.
Riutilizzare le stesse evidenze per NIS2, DORA, GDPR, NIST e COBIT
Il pacchetto di evidenze NIS2 più solido deve supportare più conversazioni di assurance.
NIS2 articolo 4 riconosce che gli atti giuridici settoriali dell’Unione possono sostituire i corrispondenti obblighi NIS2 di gestione del rischio e segnalazione, quando producono effetti almeno equivalenti. Il Considerando 28 identifica DORA come regime settoriale specifico per i soggetti finanziari rientranti nel suo campo di applicazione. Per i soggetti finanziari coperti, le regole DORA su gestione del rischio ICT, gestione degli incidenti, test di resilienza, condivisione delle informazioni e rischio ICT di terze parti si applicano al posto delle corrispondenti disposizioni NIS2. NIS2 resta altamente rilevante per i soggetti esterni a DORA e per i fornitori terzi ICT quali provider cloud, MSP e MSSP.
DORA rafforza la stessa logica di sistema di gestione. Gli articoli da 4 a 6 richiedono gestione proporzionata del rischio ICT, responsabilità dell’organo di gestione, ruoli ICT chiari, strategia di resilienza operativa digitale, piani di audit ICT, budget e risorse per sensibilizzazione o formazione. Gli articoli da 8 a 13 richiedono identificazione di asset e dipendenze, protezione e prevenzione, controlli degli accessi, autenticazione forte, backup, continuità, risposta e ripristino, apprendimento post-incidente, reportistica ICT alla direzione e formazione obbligatoria sulla sensibilizzazione alla sicurezza ICT e sulla resilienza operativa digitale. Gli articoli da 17 a 23 richiedono gestione strutturata degli incidenti, classificazione, escalation e comunicazioni ai clienti. Gli articoli da 24 a 30 collegano i test alla governance dei fornitori, alla due diligence, ai contratti, ai diritti di audit e alle strategie di uscita.
GDPR aggiunge il livello di accountability privacy. L’articolo 5 richiede integrità e riservatezza mediante misure tecniche e organizzative adeguate, e l’articolo 5(2) richiede ai titolari del trattamento di dimostrare la conformità. L’articolo 6 richiede una base giuridica per il trattamento, mentre gli articoli 9 e 10 impongono garanzie più rigorose per categorie particolari di dati e dati relativi a condanne penali e reati. Per un provider SaaS, le evidenze della formazione devono includere privacy, minimizzazione dei dati, divulgazione sicura, escalation delle violazioni e gestione dei dati dei clienti specifica per ruolo.
Le lenti di audit in stile NIST e COBIT 2019 compaiono spesso nell’assurance verso i clienti, nell’audit interno e nella reportistica all’organo di gestione. Un valutatore in stile NIST chiederà di norma se sensibilizzazione e formazione sono basate sul rischio, basate sui ruoli, misurate e collegate a risposta agli incidenti, identità, gestione degli asset e monitoraggio continuo. Un auditor COBIT 2019 o in stile ISACA si concentrerà su governance, responsabilità, metriche di prestazione, supervisione della direzione, titolarità dei processi e allineamento agli obiettivi aziendali.
| Lente del quadro di riferimento | Cosa interessa all’auditor | Evidenze da preparare |
|---|---|---|
| NIS2 articolo 21 | Misure proporzionate di rischio cyber, igiene informatica, formazione, supervisione della direzione | Mappatura articolo 21, approvazione dell’organo di gestione, piano di formazione, KPI di igiene informatica, evidenze di preparazione agli incidenti |
| ISO/IEC 27001:2022 | Campo di applicazione del SGSI, trattamento del rischio, competenza, consapevolezza, monitoraggio, audit interno, miglioramento | Campo di applicazione, registro dei rischi, SoA, matrice delle competenze, registrazioni della formazione, report di audit, azioni correttive |
| DORA | Ciclo di vita del rischio ICT, formazione alla resilienza, test, classificazione degli incidenti, rischio ICT di terze parti | Quadro di riferimento del rischio ICT, formazione sulla resilienza, risultati dei test, procedura sugli incidenti, registro dei fornitori |
| GDPR | Accountability, protezione dei dati, consapevolezza delle violazioni privacy, riservatezza, minimizzazione | Formazione privacy, mappa dei ruoli di trattamento, evidenze di escalation delle violazioni, procedure di gestione dei dati |
| Riesame in stile NIST | Sensibilizzazione basata sui ruoli, operatività misurabile dei controlli, monitoraggio, risposta | Matrice dei ruoli, metriche delle simulazioni, evidenze degli accessi, evidenze di logging, output tabletop |
| Riesame COBIT 2019 o ISACA | Governance, titolarità dei processi, prestazioni, assurance sui controlli, reportistica alla direzione | RACI, dashboard KPI, verbali di riesame della direzione, programma di audit interno, tracciamento della remediation |
Il beneficio pratico è semplice: un pacchetto di evidenze, più narrazioni di audit.
Come gli auditor testeranno lo stesso controllo
Un auditor ISO/IEC 27001:2022 partirà dal SGSI. Chiederà se i requisiti di competenza e consapevolezza sono determinati, se il personale comprende le proprie responsabilità, se le registrazioni sono conservate, se gli audit interni testano il processo e se il riesame della direzione considera prestazioni e miglioramento. Potrebbe campionare i dipendenti e chiedere loro come segnalare un incidente, come viene usata la MFA, quali sono le regole di uso accettabile o cosa fare dopo aver ricevuto un’e-mail sospetta.
Un riesame di vigilanza NIS2 sarà più focalizzato sugli esiti e sul rischio per il servizio. Il revisore potrà chiedere come l’igiene informatica riduce il rischio per l’erogazione dei servizi, come la direzione ha approvato le misure, come la formazione è adattata ai servizi essenziali, come è coperto il personale di terze parti, come è valutata l’efficacia e come l’organizzazione comunicherebbe minacce cyber o incidenti significativi ai sensi dell’articolo 23. Poiché l’articolo 23 prevede un preallarme entro 24 ore e una notifica dell’incidente entro 72 ore per incidenti significativi, la formazione deve includere riconoscimento e rapidità di escalation.
Un auditor DORA per un soggetto finanziario collegherà la sensibilizzazione alla resilienza operativa digitale. Potrà chiedere se la sensibilizzazione alla sicurezza ICT e la formazione sulla resilienza sono obbligatorie, se la reportistica ICT senior raggiunge l’organo di gestione, se i criteri di classificazione degli incidenti sono compresi, se le comunicazioni di crisi sono state esercitate e se i fornitori terzi partecipano alla formazione quando rilevante contrattualmente.
Un auditor GDPR o valutatore privacy si concentrerà sulla comprensione, da parte del personale, di dati personali, ruoli di trattamento, riservatezza, identificazione delle violazioni, escalation delle violazioni, minimizzazione dei dati e divulgazione sicura. Si aspetterà che la formazione vari per supporto, HR, sviluppatori e amministratori, perché questi ruoli generano rischi privacy differenti.
Un auditor interno COBIT 2019 o ISACA chiederà chi possiede il processo, quali obiettivi supporta, come sono misurate le prestazioni, quali eccezioni esistono, se le azioni correttive sono tracciate e se la direzione riceve reportistica significativa anziché metriche di facciata.
Risultanze comuni sulla preparazione della formazione NIS2
La risultanza più comune è la copertura incompleta della popolazione. Il report LMS mostra il 94% di completamento, ma il 6% mancante include amministratori privilegiati, contraenti o nuovi assunti. Gli auditor non accetteranno una percentuale senza capire chi manca e perché.
La seconda risultanza è l’assenza di sensibilità al ruolo. Tutti ricevono lo stesso modulo annuale, ma gli sviluppatori non sono formati sullo sviluppo sicuro, gli addetti al supporto non sono formati sulla verifica dell’identità e i dirigenti non sono formati sui doveri di governance o sulle decisioni di crisi. NIS2 articolo 20 e articolo 21 rendono questa situazione difficile da difendere.
La terza risultanza è la debolezza delle evidenze di efficacia. Il completamento non equivale a comprensione o cambiamento del comportamento. Gli auditor si aspettano sempre più punteggi dei quiz, tendenze di phishing, tendenze di segnalazione degli incidenti, lezioni apprese dalle esercitazioni tabletop, riduzione delle recidive e azioni correttive.
La quarta risultanza è l’igiene tecnica scollegata. La formazione dice “segnala attività sospette”, ma non esiste un canale di segnalazione testato. La formazione dice “usa la MFA”, ma gli account di servizio bypassano la MFA. La formazione dice “proteggi i dati”, ma dati di produzione compaiono negli ambienti di test. L’articolo 21 si aspetta un sistema di controllo, non slogan.
La quinta risultanza è la scarsa integrità delle registrazioni. Le evidenze sono conservate in un foglio di calcolo modificabile, senza proprietario, marcatura temporale di esportazione, controllo degli accessi o riconciliazione con le registrazioni HR. Le relazioni tra controlli ISO/IEC 27002:2022 in Zenith Controls rimandano alla protezione delle registrazioni per un motivo. Le evidenze devono essere affidabili.
Uno sprint di remediation di 10 giorni per evidenze pronte per l’audit
Se la tua organizzazione è sotto pressione, inizia con uno sprint focalizzato.
| Giorno | Azione | Output |
|---|---|---|
| Giorno 1 | Confermare applicabilità NIS2 e campo di applicazione dei servizi | Decisione su soggetto essenziale o importante, servizi nel campo di applicazione, funzioni di supporto |
| Giorno 2 | Costruire il registro dei requisiti | NIS2 articoli 20, 21, 23, clausole ISO, controlli dell’Allegato A, GDPR, DORA, contratti, requisiti assicurativi |
| Giorno 3 | Creare la matrice di formazione basata sui ruoli | Formazione mappata a famiglie professionali, accessi privilegiati, sviluppatori, supporto, contraenti, dirigenti |
| Giorno 4 | Mappare la formazione agli scenari di rischio | Phishing, compromissione delle credenziali, perdita di dati, ransomware, errata configurazione, compromissione del fornitore, violazione privacy |
| Giorno 5 | Raccogliere le evidenze | Esportazioni LMS, prese d’atto, report di phishing, registrazioni di onboarding, registrazioni dei contraenti, partecipazione dei dirigenti |
| Giorno 6 | Riconciliare le evidenze | Popolazione formativa verificata rispetto a registrazioni HR, gruppi di identità, account privilegiati, elenchi dei contraenti |
| Giorno 7 | Testare la comprensione dei dipendenti | Note di intervista che dimostrino che il personale conosce segnalazione degli incidenti, aspettative MFA, gestione delle e-mail sospette, regole sui dati |
| Giorno 8 | Riesaminare i controlli tecnici di igiene | MFA, backup, EDR, applicazione delle patch, scansione delle vulnerabilità, logging, monitoraggio, evidenze di configurazione sicura |
| Giorno 9 | Produrre il pacchetto per il riesame della direzione | Completamento, eccezioni, tendenze di phishing, azioni aperte, ruoli ad alto rischio, incidenti, esigenze di budget |
| Giorno 10 | Aggiornare il piano di trattamento del rischio e la SoA | Rischio residuo, proprietari, scadenze, misure di efficacia, aggiornamenti della Dichiarazione di Applicabilità |
Questo sprint fornisce una baseline di evidenze difendibile. Non sostituisce l’operatività continua del SGSI, ma crea la struttura che autorità di regolamentazione e auditor si aspettano.
Come si presenta un buon risultato
Un programma maturo di igiene informatica e formazione NIS2 articolo 21 ha cinque caratteristiche.
Primo, è visibile all’organo di gestione. La direzione approva l’approccio, vede metriche significative, comprende il rischio residuo e finanzia il miglioramento.
Secondo, è basato sul rischio. La formazione varia per ruolo, criticità del servizio, livello di accesso, esposizione dei dati e responsabilità sugli incidenti.
Terzo, è guidato dalle evidenze. Registrazioni di completamento, prese d’atto, simulazioni, esercitazioni tabletop, report di igiene tecnica e azioni correttive sono completi, riconciliati e protetti.
Quarto, è consapevole della conformità incrociata. Le stesse evidenze supportano NIS2, ISO/IEC 27001:2022, DORA, GDPR, assurance in stile NIST e reportistica di governance COBIT 2019.
Quinto, migliora. Incidenti, risultanze dell’audit, modifiche normative, cambiamenti dei fornitori, nuove tecnologie e minacce emergenti aggiornano il piano di formazione.
Quest’ultimo punto è la differenza tra teatro della conformità e resilienza operativa.
Prossimi passi con Clarysec
Se il tuo gruppo dirigente si sta chiedendo: “Possiamo dimostrare domani l’igiene informatica e la formazione in materia di cibersicurezza richieste da NIS2 articolo 21?”, Clarysec può aiutarti a passare da evidenze sparse a un pacchetto di evidenze SGSI pronto per l’audit.
Inizia con Zenith Blueprint per strutturare competenza, consapevolezza, controlli relativi al personale, pratiche di lavoro da remoto, gestione delle vulnerabilità, backup, logging, monitoraggio e azioni di igiene tecnica lungo la roadmap in 30 passaggi.
Usa Zenith Controls per creare riferimenti incrociati tra consapevolezza, uso accettabile, conformità, monitoraggio, registrazioni e aspettative di assurance ISO/IEC 27002:2022 nelle conversazioni di audit su NIS2, ISO/IEC 27001:2022, DORA, GDPR, NIST e COBIT 2019.
Quindi rendi operativi i requisiti tramite la Policy di consapevolezza e formazione sulla sicurezza delle informazioni, la Policy di consapevolezza e formazione sulla sicurezza delle informazioni - PMI e la Policy per la sicurezza delle informazioni - PMI di Clarysec.
L’azione immediata è semplice: costruisci questa settimana una mappa di una pagina delle evidenze formative NIS2 articolo 21. Elenca i ruoli nel campo di applicazione, la formazione assegnata, le evidenze di completamento, le prese d’atto delle policy, le metriche di phishing, le evidenze tecniche di igiene informatica, la data del riesame della direzione e le azioni correttive. Se una cella è vuota, hai trovato la prossima attività di remediation dell’audit.
Per un percorso più rapido, scarica i template di policy Clarysec, usa la roadmap Zenith Blueprint e pianifica una valutazione della prontezza delle evidenze NIS2 per trasformare le registrazioni formative, i controlli di igiene informatica e il SGSI ISO/IEC 27001:2022 attuali in un unico fascicolo di audit difendibile.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
