NIST CSF 2.0 Govern per le PMI e ISO 27001
Sarah, CISO appena nominata di una PMI FinTech in rapida crescita, aveva una lavagna piena di framework e una scadenza non rinviabile. NIST CSF 2.0. ISO 27001:2022. NIS2. DORA. GDPR. Rischio dei fornitori. Responsabilità del consiglio di amministrazione. Due diligence dei clienti enterprise.
L’innesco era familiare: un foglio di calcolo inviato da un importante cliente del settore dei servizi finanziari. L’ufficio Acquisti chiedeva evidenze di un modello di governance della cibersicurezza, della propensione al rischio, di un programma di sicurezza dei fornitori, della mappatura degli obblighi legali e normativi, del processo di escalation degli incidenti e dell’allineamento a ISO 27001:2022.
L’amministratore delegato non voleva una lezione sulla conformità. Voleva una risposta semplice a una domanda difficile: “Come dimostriamo al consiglio di amministrazione, ai clienti e alle autorità di controllo che abbiamo il controllo del rischio cyber?”
Questo è il problema di governance che molte PMI devono affrontare. Un questionario cliente raramente è soltanto un questionario cliente. Spesso condensa cinque conversazioni di conformità in un’unica richiesta. NIST CSF 2.0, ISO/IEC 27001:2022, GDPR, NIS2, aspettative sui fornitori derivanti da DORA, resilienza cloud, supervisione del consiglio di amministrazione e impegni contrattuali sono tutti presenti nella stessa richiesta di evidenze.
Molte PMI rispondono creando artefatti separati: un foglio di calcolo NIST, una cartella per la certificazione ISO, un registro GDPR, un Registro dei rischi dei fornitori e un Piano di risposta agli incidenti non collegati tra loro. Sei mesi dopo, nessuno sa quale documento faccia fede.
L’approccio di Clarysec è diverso. Usa la funzione Govern di NIST CSF 2.0 come livello di governance esecutiva, quindi mappala su politiche ISO 27001:2022, trattamento del rischio, Dichiarazione di Applicabilità, supervisione dei fornitori, Riesame della direzione ed evidenze di audit. Il risultato non è ulteriore lavoro di conformità. È un unico modello operativo in grado di rispondere ad auditor, clienti, autorità di controllo e leadership con lo stesso set di evidenze.
Perché la funzione Govern di NIST CSF 2.0 è importante per le PMI
NIST CSF 2.0 eleva la governance a funzione autonoma, accanto a Identify, Protect, Detect, Respond e Recover. Questo cambiamento è importante perché la maggior parte degli insuccessi in materia di sicurezza nelle PMI non deriva dall’assenza di un altro strumento. Deriva da responsabilità poco chiare, decisioni sul rischio deboli, eccezioni non documentate, supervisione dei fornitori incoerente e politiche approvate una volta ma mai rese operative.
La funzione Govern di NIST CSF 2.0 sposta la domanda da “quali controlli abbiamo?” a “chi è responsabile, quali obblighi si applicano, come vengono prioritizzati i rischi e come vengono riesaminate le prestazioni?”
Per le PMI, gli esiti Govern forniscono un mandato pratico:
- Comprendere e gestire obblighi legali, normativi, contrattuali, di tutela della privacy e relativi alle libertà civili.
- Stabilire propensione al rischio, tolleranza, punteggio di rischio, prioritizzazione e opzioni di risposta al rischio.
- Definire ruoli, responsabilità, autorità, percorsi di escalation e risorse per la cibersicurezza.
- Stabilire, comunicare, applicare, riesaminare e aggiornare le politiche di cibersicurezza.
- Riesaminare strategia di cibersicurezza, prestazioni e responsabilità della direzione.
- Governare il rischio di cibersicurezza dei fornitori e delle terze parti dalla due diligence all’offboarding.
Per questo NIST CSF 2.0 Govern è una porta d’ingresso molto efficace per ISO 27001:2022. NIST fornisce ai dirigenti il linguaggio della governance. ISO 27001:2022 fornisce il sistema di gestione verificabile in sede di audit.
Le clausole da 4 a 10 di ISO 27001:2022 richiedono alle organizzazioni di comprendere il contesto, definire le parti interessate, stabilire il campo di applicazione del SGSI, dimostrare leadership, pianificare la valutazione e il trattamento del rischio, supportare le informazioni documentate, attuare i controlli, valutare le prestazioni, condurre audit interni e riesami della direzione e migliorare continuamente. L’Appendice A fornisce poi il set di riferimento dei controlli, incluse politiche, responsabilità della direzione, obblighi legali, privacy, rapporti con i fornitori, servizi cloud, gestione degli incidenti e prontezza ICT per la continuità operativa.
La Politica per la sicurezza delle informazioni Enterprise di Clarysec Politica per la sicurezza delle informazioni stabilisce:
L’organizzazione deve mantenere un modello formale di governance per supervisionare il SGSI, allineato alle clausole 5.1 e 9.3 di ISO/IEC 27001.
Questo requisito, tratto dalla clausola 5.1 della Politica per la sicurezza delle informazioni, è il ponte operativo tra la responsabilità NIST GV e le aspettative di leadership di ISO 27001:2022. La governance non è una presentazione annuale. È un modello formale che collega decisioni, politiche, ruoli, rischi, controlli, evidenze e riesami.
La mappatura centrale: da NIST CSF 2.0 Govern alle evidenze ISO 27001:2022
Il modo più rapido per rendere utile NIST CSF 2.0 è trasformare gli esiti Govern in titolarità delle politiche ed evidenze di audit. La tabella seguente è la struttura che Clarysec utilizza con le PMI che si preparano alla certificazione ISO 27001:2022, alla due diligence dei clienti enterprise, alla preparazione a NIS2, all’assurance dei clienti DORA e alla responsabilizzazione GDPR.
| Area NIST CSF 2.0 Govern | Domanda di governance per la PMI | Allineamento ISO 27001:2022 | Ancoraggio alla politica Clarysec | Evidenze attese da auditor e clienti |
|---|---|---|---|---|
| GV.OC, contesto organizzativo | Conosciamo i nostri obblighi legali, normativi, contrattuali, privacy e aziendali? | Clausole da 4.1 a 4.4, Appendice A 5.31 e 5.34 | Politica di conformità legale e normativa | Registro di conformità, campo di applicazione del SGSI, registro delle parti interessate, mappa degli obblighi dei clienti, registro privacy |
| GV.RM, strategia di gestione del rischio | Come definiamo, valutiamo, prioritizziamo, accettiamo e trattiamo i rischi cyber? | Clausole da 6.1.1 a 6.1.3, 8.2 e 8.3 | Politica di gestione del rischio | Metodologia di rischio, Registro dei rischi, Piano di trattamento del rischio, approvazioni dei Responsabili del rischio, mappatura della SoA |
| GV.RR, ruoli e responsabilità | Chi è responsabile delle decisioni di cibersicurezza, delle eccezioni, delle risorse e della reportistica? | Clausole da 5.1 a 5.3, Appendice A 5.2 e 5.4 | Politica sui ruoli e sulle responsabilità di governance per PMI | RACI, descrizioni dei ruoli, verbali di riunione, approvazioni delle eccezioni, registrazioni della formazione |
| GV.PO, politica | Le politiche sono approvate, comunicate, applicate, riesaminate e aggiornate? | Clausole 5.2, 7.5 e 9.3, Appendice A 5.1 | Politica per la sicurezza delle informazioni | Registro delle politiche, registrazioni di approvazione, cronologia delle versioni, prese d’atto dei dipendenti, verbali di riesame delle politiche |
| GV.OV, supervisione | La strategia e le prestazioni di cibersicurezza sono riesaminate e adeguate? | Clausole 9.1, 9.2, 9.3, 10.1 e 10.2 | Politica di audit e monitoraggio della conformità | Dashboard KPI, Piano di audit interno, output del Riesame della direzione, azioni correttive |
| GV.SC, rischio della catena di fornitura | I fornitori sono conosciuti, prioritizzati, valutati, contrattualizzati, monitorati e dismessi? | Appendice A da 5.19 a 5.23 e 5.30 | Politica di sicurezza di terze parti e fornitori per PMI | Inventario dei fornitori, registrazioni di due diligence, clausole contrattuali, log dei riesami, piani di uscita, contatti per gli incidenti |
Questa mappatura è intenzionalmente orientata alle evidenze. Non chiede alla PMI di creare 40 documenti. Pone cinque domande operative:
- Quale decisione viene presa?
- Chi ne è responsabile?
- Quale politica la governa?
- Quale clausola ISO 27001:2022 o controllo dell’Appendice A la supporta?
- Quale evidenza dimostra che è avvenuta?
La Politica sui ruoli e sulle responsabilità di governance per PMI Politica sui ruoli e sulle responsabilità di governance per PMI - PMI rende esplicita questa tracciabilità:
Tutte le decisioni di sicurezza significative, le eccezioni e le escalation devono essere registrate e tracciabili.
Questa citazione proviene dalla clausola 5.5 della Politica sui ruoli e sulle responsabilità di governance per PMI. Trasforma NIST GV.RR da principio di governance in una regola operativa verificabile in sede di audit.
Iniziare con un profilo CSF Govern, non con un foglio di calcolo dei controlli
I Profili organizzativi di NIST CSF 2.0 aiutano le organizzazioni a descrivere gli esiti di cibersicurezza attuali e target. Per le PMI, il Profilo è il punto in cui la governance diventa gestibile.
Un workshop pratico sul Profilo Govern deve rispondere a cinque domande:
- Cosa rientra nell’ambito: l’intera azienda, una piattaforma SaaS, un prodotto regolamentato o un ambiente cliente?
- Quali obblighi guidano il profilo: contratti con i clienti, GDPR, esposizione a NIS2, aspettative dei clienti derivanti da DORA, certificazione ISO 27001:2022 o due diligence degli investitori?
- Che cosa dimostrano le evidenze attuali, non che cosa le persone credono esista?
- Quale stato target è realistico per i prossimi 90 giorni e per i prossimi 12 mesi?
- Quali rischi, politiche, fornitori e voci della SoA devono cambiare?
Lo Zenith Blueprint: roadmap in 30 fasi per l’auditor Zenith Blueprint supporta questo lavoro nella fase ISMS Foundation & Leadership, Step 6, “Informazioni documentate e costruzione della libreria del SGSI”. Raccomanda di preparare la SoA in anticipo e di usarla come libreria dei controlli:
✓ Controlli aggiuntivi: esistono controlli al di fuori dell’Appendice A che potresti includere? ISO 27001 consente di aggiungere altri controlli nella SoA. Ad esempio, potresti voler includere la conformità a NIST CSF o controlli privacy specifici da ISO 27701. In generale, l’Appendice A è completa, ma puoi aggiungere eventuali controlli specifici che prevedi
✓ Usa un foglio di calcolo (SoA Builder): un approccio pratico consiste nel preparare ora il foglio di calcolo della SoA. Abbiamo predisposto un modello SoA_Builder.xlsx che elenca tutti i controlli dell’Appendice A con colonne per applicabilità, stato di attuazione e note.
Per una PMI, questo è importante. Non è necessario forzare NIST CSF 2.0 dentro l’Appendice A di ISO come se i due fossero identici. Puoi includere gli esiti CSF Govern come requisiti aggiuntivi di governance nella tua libreria SoA, mapparli alle clausole ISO 27001:2022 e ai controlli dell’Appendice A e usarli per migliorare Riesame della direzione, governance dei fornitori, reportistica del rischio e monitoraggio della conformità.
Creare un registro delle evidenze Govern
Un registro delle evidenze Govern è lo strumento pratico che trasforma i framework in prova documentata. Deve collegare ogni esito NIST a un riferimento ISO, a un responsabile della politica, a un elemento di evidenza, a una frequenza di riesame, a una lacuna e a un’azione.
| Campo | Voce di esempio |
|---|---|
| Esito CSF | GV.OC-03 |
| Domanda di governance | Gli obblighi legali, normativi, contrattuali, privacy e relativi alle libertà civili sono compresi e gestiti? |
| Riferimento ISO 27001:2022 | Clausole 4.2, 4.3 e 6.1.3, Appendice A 5.31 e 5.34 |
| Politica Clarysec | Politica di conformità legale e normativa |
| Responsabile delle evidenze | Compliance Manager |
| Evidenze | Registro di conformità v1.4, mappa degli obblighi dei clienti, registro dei trattamenti GDPR |
| Frequenza di riesame | Trimestrale e al verificarsi di cambiamenti di mercato, cliente o prodotto |
| Lacuna | Clausole DORA trasferite dal cliente non mappate nei contratti con i fornitori |
| Azione | Aggiornare il modello di contratto fornitore e le note della SoA |
| Data di scadenza | 30 giorni |
La Politica di conformità legale e normativa Enterprise di Clarysec Politica di conformità legale e normativa definisce il requisito di governance:
Tutti gli obblighi legali e normativi devono essere mappati a politiche, controlli e proprietari specifici all’interno del Sistema di gestione per la sicurezza delle informazioni (SGSI).
Questa è la clausola 6.2.1 della Politica di conformità legale e normativa. Per le PMI, la Politica di conformità legale e normativa per PMI Politica di conformità legale e normativa per PMI - PMI aggiunge un requisito pratico di mappatura trasversale:
Quando una normativa si applica a più aree (ad esempio, il GDPR si applica a conservazione, sicurezza e privacy), ciò deve essere chiaramente mappato nel Registro di conformità e nei materiali formativi.
Questa citazione proviene dalla clausola 5.2.2 della Politica di conformità legale e normativa per PMI. Insieme, queste clausole trasformano GV.OC-03 in un processo gestito, riesaminabile e pronto per l’audit.
Collegare il punteggio di rischio al trattamento del rischio e alla SoA
NIST GV.RM richiede obiettivi di rischio, propensione al rischio, tolleranza al rischio, calcolo standardizzato del rischio, opzioni di risposta e linee di comunicazione. ISO 27001:2022 rende operativo questo approccio tramite valutazione del rischio, trattamento del rischio, approvazione del Responsabile del rischio, accettazione del rischio residuo e Dichiarazione di Applicabilità.
La Politica di gestione del rischio per PMI Politica di gestione del rischio per PMI - PMI è volutamente concreta:
Ogni voce di rischio deve includere: descrizione, probabilità, impatto, punteggio, proprietario e Piano di trattamento del rischio.
Questo deriva dalla clausola 5.1.2 della Politica di gestione del rischio per PMI. La Politica di gestione del rischio Enterprise Politica di gestione del rischio rafforza il collegamento con la SoA:
Una Dichiarazione di Applicabilità (SoA) deve riflettere tutte le decisioni di trattamento e deve essere aggiornata ogni volta che la copertura dei controlli viene modificata.
Questa è la clausola 5.4 della Politica di gestione del rischio.
Considera un rischio reale per una PMI: accesso non autorizzato ai dati di produzione dei clienti dovuto all’applicazione incoerente della MFA sugli account di amministrazione cloud.
Una mappatura Govern solida includerebbe:
- NIST GV.RM per documentazione e prioritizzazione standardizzate del rischio.
- NIST GV.RR per titolarità del ruolo e autorità di applicare il controllo degli accessi.
- NIST GV.PO per applicazione e riesame della politica.
- Clausole ISO 27001:2022 6.1.2, 6.1.3, 8.2 e 8.3.
- Controlli dell’Appendice A per controllo degli accessi, gestione delle identità, informazioni di autenticazione, registrazione, monitoraggio, configurazione e servizi cloud.
- Evidenze quali una voce del Registro dei rischi, esportazione della configurazione MFA, approvazione dell’eccezione, riesame IAM cloud, decisione del Riesame della direzione e nota SoA aggiornata.
Lo Zenith Blueprint, fase Risk Management, Step 13, “Pianificazione del trattamento del rischio e Dichiarazione di Applicabilità”, spiega il collegamento:
✓ Assicura l’allineamento con il tuo Registro dei rischi: ogni controllo di mitigazione che hai inserito nel Piano di trattamento del rischio deve corrispondere a un controllo dell’Appendice A contrassegnato come “Applicabile”. Al contrario, se un controllo è contrassegnato come applicabile, dovresti avere un rischio o un requisito che lo giustifica.
Questa è la differenza tra dire “usiamo la MFA” e dimostrare “abbiamo una motivazione governata, basata sul rischio e allineata a ISO 27001:2022 per la MFA, con evidenze, responsabile e frequenza di riesame”.
Governare il rischio dei fornitori senza sovradimensionare il programma
NIST GV.SC è una delle parti più utili della funzione Govern per le PMI, perché le PMI moderne dipendono fortemente dai fornitori: provider cloud, processori di pagamento, piattaforme HR, sistemi helpdesk, repository di codice, strumenti CI/CD, strumenti di monitoraggio e Managed Security Services.
L’Appendice A di ISO 27001:2022 supporta questo aspetto tramite controlli sui fornitori e sul cloud, inclusi 5.19 Sicurezza delle informazioni nei rapporti con i fornitori, 5.20 Gestione della sicurezza delle informazioni negli accordi con i fornitori, 5.21 Gestione della sicurezza delle informazioni nella catena di fornitura ICT, 5.22 Monitoraggio, riesame e gestione delle modifiche dei servizi dei fornitori, 5.23 Sicurezza delle informazioni per l’uso dei servizi cloud e 5.30 Prontezza ICT per la continuità operativa.
La Politica di sicurezza di terze parti e fornitori per PMI Politica di sicurezza di terze parti e fornitori per PMI - PMI rende chiaro il requisito di evidenza:
Questi riesami devono essere documentati e conservati nella registrazione del fornitore. Le azioni di follow-up devono essere chiaramente tracciate.
Questa è la clausola 6.3.2 della Politica di sicurezza di terze parti e fornitori per PMI.
Un modello snello per i fornitori di una PMI può usare tre livelli:
| Livello del fornitore | Criteri | Evidenza minima | Frequenza di riesame |
|---|---|---|---|
| Critico | Supporta produzione, dati dei clienti, autenticazione, monitoraggio di sicurezza, flusso di pagamento o erogazione di servizi regolamentati | Questionario di due diligence, clausole contrattuali di sicurezza, SLA, contatto per incidenti, piano di uscita, riesame del rischio | Annuale e in caso di modifica significativa |
| Importante | Supporta operazioni aziendali o informazioni interne sensibili, ma non l’erogazione diretta di servizi critici | Sintesi di sicurezza, condizioni sul trattamento dei dati, riesame degli accessi, accettazione del rischio in presenza di lacune | Ogni 18 mesi |
| Standard | Strumenti a basso rischio senza dati sensibili o dipendenza critica | Approvazione del titolare dell’attività, verifica di base su dati e accessi | In fase di onboarding e rinnovo |
Questo modello semplice supporta NIST GV.SC, i controlli sui fornitori di ISO 27001:2022, la due diligence dei clienti e le aspettative contrattuali derivanti da DORA da parte dei clienti finanziari.
L’offboarding dei fornitori merita particolare attenzione. NIST GV.SC richiede governance lungo l’intero ciclo di vita del fornitore, inclusa la conclusione del rapporto. Le evidenze devono includere restituzione o cancellazione dei dati, rimozione degli accessi, pianificazione della transizione del servizio, registrazioni contrattuali conservate e riesame del rischio residuo.
Usare Zenith Controls per la conformità trasversale, non come set di controlli separato
Zenith Controls: The Cross-Compliance Guide di Clarysec Zenith Controls è una guida alla conformità trasversale per mappare i temi di controllo ISO/IEC 27002:2022 su più framework e prospettive di audit. Non si tratta di “controlli Zenith” separati. Sono controlli ISO/IEC 27002:2022 analizzati all’interno di Zenith Controls per l’uso nella conformità trasversale.
Per NIST CSF 2.0 Govern, tre aree di controllo ISO/IEC 27002:2022 sono particolarmente importanti:
| Area di controllo ISO/IEC 27002:2022 in Zenith Controls | Collegamento con NIST CSF 2.0 Govern | Interpretazione pratica per la PMI |
|---|---|---|
| 5.1 Politiche per la sicurezza delle informazioni | GV.PO | Le politiche devono essere approvate, comunicate, applicate, riesaminate e aggiornate quando cambiano minacce, tecnologia, legge o obiettivi aziendali |
| 5.4 Responsabilità della direzione | GV.RR e GV.OV | Le responsabilità di sicurezza devono essere assegnate a livello di leadership e operativo, con risorse, reportistica e riesame |
| 5.31 Requisiti legali, statutari, normativi e contrattuali | GV.OC-03 | Gli obblighi devono essere identificati, mappati a controlli e responsabili, monitorati per le modifiche e documentati con evidenze |
Lo Zenith Blueprint, fase Controls in Action, Step 22, “Controlli organizzativi”, fornisce il modello operativo:
Formalizzare la governance della sicurezza delle informazioni
Assicurati che le tue politiche di sicurezza delle informazioni (5.1) siano finalizzate, approvate e sottoposte a controllo delle versioni. Assegna proprietari nominativi per ciascun dominio di politica (ad esempio accesso, cifratura, backup) e documenta ruoli e responsabilità in tutto il SGSI (5.2). Riesamina la separazione dei compiti (5.3) nelle aree ad alto rischio come finanza, amministrazione di sistema e controllo delle modifiche. Produci una semplice mappa di governance che mostri chi approva, chi attua e chi monitora la politica di sicurezza.
Quella mappa di governance è uno degli artefatti di maggior valore che una PMI possa creare. Risponde a NIST GV.RR, ai requisiti di leadership di ISO 27001:2022, alle aspettative NIS2 sulla responsabilità della direzione e alle domande dei clienti su chi è responsabile del rischio cyber.
Un unico modello di governance per NIS2, DORA, GDPR, NIST e ISO
La funzione Govern diventa più preziosa quando una PMI affronta requisiti sovrapposti.
NIS2 richiede alle entità essenziali e importanti rientranti nell’ambito di adottare misure di gestione del rischio di cibersicurezza adeguate e proporzionate. Attribuisce inoltre agli organi di gestione la responsabilità di approvare le misure di gestione del rischio di cibersicurezza, supervisionarne l’attuazione e seguire la formazione. NIST GV.RR supporta la responsabilità della direzione. GV.RM supporta misure basate sul rischio. GV.SC supporta la sicurezza della catena di fornitura. GV.PO supporta le politiche. GV.OV supporta il riesame delle prestazioni.
La governance degli incidenti NIS2 introduce inoltre aspettative di segnalazione per fasi, incluse allerta precoce entro 24 ore, notifica dell’incidente entro 72 ore e relazione finale entro un mese per gli incidenti significativi. Queste tempistiche devono riflettersi nelle procedure di risposta agli incidenti, nei percorsi di escalation, nei piani di comunicazione e nella reportistica alla direzione.
DORA si applica dal 17 gennaio 2025 alle entità finanziarie dell’UE, ma molte PMI ne avvertono l’impatto tramite i contratti dei clienti. I clienti finanziari possono trasferire requisiti DORA ai fornitori ICT, ai fornitori software, ai fornitori di servizi gestiti e ai fornitori dipendenti dal cloud. DORA si concentra su gestione del rischio ICT, responsabilità dell’organo di gestione, segnalazione degli incidenti, test di resilienza, rischio ICT di terze parti, requisiti contrattuali e supervisione.
GDPR aggiunge la responsabilizzazione per il trattamento dei dati personali. Le PMI devono comprendere se sono titolari del trattamento, responsabili del trattamento o entrambi, quali dati personali trattano, quali sistemi e fornitori sono coinvolti, quali basi giuridiche si applicano e quali scenari di incidente potrebbero diventare violazioni dei dati personali.
Lo Zenith Blueprint, fase Risk Management, Step 14, raccomanda di referenziare i requisiti DORA, NIS2 e GDPR nel set di controlli ISO 27001:2022:
Per ciascuna normativa, se applicabile, puoi creare una semplice tabella di mappatura (anche come appendice in un report) che elenchi i principali requisiti di sicurezza della normativa e i controlli/le politiche corrispondenti nel tuo SGSI. Questo non è obbligatorio in ISO 27001, ma è un utile esercizio interno per assicurarsi che nulla sia sfuggito.
Una mappa pratica di conformità trasversale può apparire così:
| Requisito di governance | NIST CSF 2.0 Govern | Ancoraggio ISO 27001:2022 | Rilevanza NIS2, DORA, GDPR | Evidenza primaria |
|---|---|---|---|---|
| Responsabilità della direzione | GV.RR e GV.OV | Clausole 5.1, 5.3 e 9.3, Appendice A 5.4 | Supervisione dell’organo di gestione NIS2, responsabilità dell’organo di gestione DORA | Mappa di governance, RACI, verbali del Riesame della direzione |
| Obblighi legali e contrattuali | GV.OC-03 | Clausole 4.2, 4.3 e 6.1.3, Appendice A 5.31 e 5.34 | Responsabilizzazione GDPR, ambito legale NIS2, requisiti DORA trasferiti contrattualmente | Registro di conformità, mappa degli obblighi dei clienti, registro privacy |
| Misure di sicurezza basate sul rischio | GV.RM | Clausole 6.1.2, 6.1.3, 8.2 e 8.3 | Misure di rischio NIS2, framework di rischio ICT DORA, sicurezza del trattamento GDPR | Registro dei rischi, Piano di trattamento del rischio, SoA |
| Governance dei fornitori | GV.SC | Appendice A da 5.19 a 5.23 e 5.30 | Sicurezza della catena di fornitura NIS2, rischio ICT di terze parti DORA, responsabili del trattamento GDPR | Inventario dei fornitori, due diligence, contratti, log dei riesami |
| Governance delle politiche | GV.PO | Clausola 5.2 e Appendice A 5.1 | Tutti i framework si aspettano regole documentate, approvate e comunicate | Registro delle politiche, cronologia delle versioni, prese d’atto |
| Audit e miglioramento | GV.OV | Clausole 9.1, 9.2, 9.3, 10.1 e 10.2 | Test e azioni correttive DORA, efficacia NIS2, responsabilizzazione GDPR | Rapporti di audit interno, KPI, azioni correttive |
Il valore è l’efficienza. Un SGSI ISO 27001:2022 ben gestito, guidato da NIST CSF 2.0 Govern, può generare evidenze riutilizzabili per più framework contemporaneamente.
Il punto di vista dell’auditor: dimostrare che la governance è reale
Una politica su uno scaffale non è governance. Auditor e assessor cercano un filo conduttore: politica di alto livello, processo definito, registrazione operativa, Riesame della direzione e azione di miglioramento.
I diversi revisori testeranno questo filo conduttore in modi diversi.
| Prospettiva dell’auditor | Su cosa si concentrerà | Evidenze efficaci |
|---|---|---|
| Auditor ISO 27001:2022 | Se la governance è incorporata nel SGSI, se il trattamento del rischio è tracciabile, se le decisioni della SoA sono giustificate e se le informazioni documentate sono controllate | Campo di applicazione del SGSI, Registro delle politiche, Registro dei rischi, SoA, verbali del Riesame della direzione, rapporti di audit interno, azioni correttive |
| Assessor NIST CSF 2.0 | Se esistono profili attuali e target, se le lacune sono prioritizzate e se gli esiti Govern sono collegati al rischio aziendale e alla supervisione | Profilo CSF, gap analysis, POA&M, dichiarazione di propensione al rischio, dashboard della leadership, profilo target dei fornitori |
| Auditor COBIT 2019 o in stile ISACA | Se sono definiti obiettivi di governance, diritti decisionali, misure di prestazione, titolarità dei controlli e attività di assurance | Mappa di governance, RACI, dashboard KPI e KRI, attestazioni dei Responsabili dei controlli, Piano di audit, tracciamento degli issue |
| Revisore GDPR | Se gli obblighi privacy sono identificati, se il trattamento è mappato, se le misure di sicurezza sono adeguate e se esistono evidenze di responsabilizzazione | Registro dei trattamenti, mappatura della base giuridica, DPIA ove necessario, processo di risposta alle violazioni, condizioni sul trattamento dei dati con i fornitori |
| Valutatore della sicurezza del cliente | Se la PMI può dimostrare sicurezza operativa, controllo dei fornitori, preparazione agli incidenti e responsabilità esecutiva senza ritardi eccessivi | Pacchetto di evidenze, politiche, riesami dei fornitori, output di esercitazioni tabletop sugli incidenti, riesami degli accessi, test di backup, roadmap di sicurezza |
La Politica sui ruoli e sulle responsabilità di governance Enterprise di Clarysec Politica sui ruoli e sulle responsabilità di governance stabilisce:
La governance deve supportare l’integrazione con altre discipline (ad esempio rischio, legale, IT, HR) e le decisioni del SGSI devono essere tracciabili fino alla loro fonte (ad esempio registrazioni di audit, log dei riesami, verbali di riunione).
Questa è la clausola 5.5 della Politica sui ruoli e sulle responsabilità di governance. Coglie l’essenza della conformità trasversale: le decisioni di governance devono essere tracciabili.
La Politica di audit e monitoraggio della conformità per PMI Politica di audit e monitoraggio della conformità per PMI - PMI aggiunge una disciplina critica sulle evidenze:
I metadati (ad esempio chi li ha raccolti, quando e da quale sistema) devono essere documentati.
Questa citazione proviene dalla clausola 6.2.3 della Politica di audit e monitoraggio della conformità per PMI. I metadati delle evidenze sono spesso ciò che distingue una cartella di screenshot da evidenze di livello audit.
La Politica di audit e monitoraggio della conformità Enterprise Politica di audit e monitoraggio della conformità aggiunge il requisito a livello di programma:
L’organizzazione deve mantenere un Programma strutturato di audit e monitoraggio della conformità integrato nel SGSI, che copra:
Questa è la clausola 5.1 della Politica di audit e monitoraggio della conformità. L’implicazione di governance è diretta: l’audit non è una corsa annuale dell’ultimo minuto. Fa parte delle operazioni del SGSI.
Errori comuni delle PMI nella mappatura di NIST Govern su ISO 27001:2022
Il primo errore è l’eccesso di documentazione senza titolarità. Una PMI scrive politiche ma non assegna responsabili per trattamento del rischio, riesami dei fornitori, approvazioni delle eccezioni o reportistica alla direzione.
Il secondo errore è trattare gli obblighi legali come separati dal SGSI. NIST GV.OC-03 richiede che gli obblighi siano compresi e gestiti. ISO 27001:2022 richiede che nel SGSI siano considerati i requisiti rilevanti delle parti interessate e gli obblighi legali, normativi e contrattuali.
Il terzo errore è una motivazione debole nella SoA. La SoA non è solo un elenco di controlli applicabili. È il file logico che spiega perché i controlli sono inclusi, esclusi o attuati.
Il quarto errore è la mancanza di evidenze sul ciclo di vita dei fornitori. La governance dei fornitori include onboarding, contratti, monitoraggio, incidenti, modifiche e offboarding.
Il quinto errore è non aggiornare il Profilo Target. Un Profilo CSF deve cambiare quando l’azienda entra in una nuova area geografica, firma un cliente importante, adotta un fornitore critico, lancia un prodotto regolamentato, modifica l’architettura cloud o subisce un incidente.
Una roadmap NIST CSF 2.0 Govern di 30 giorni per le PMI
Se una PMI deve muoversi rapidamente, conviene iniziare con un piano di attuazione mirato di 30 giorni.
| Giorni | Attività | Output |
|---|---|---|
| Da 1 a 3 | Definire il campo di applicazione CSF Govern e raccogliere politiche, contratti, registrazioni dei rischi, elenchi dei fornitori ed evidenze di audit esistenti | Nota di ambito e inventario delle evidenze |
| Da 4 a 7 | Creare il registro delle evidenze Govern per GV.OC, GV.RM, GV.RR, GV.PO, GV.OV e GV.SC | Profilo attuale e lacune iniziali |
| Da 8 a 12 | Mappare gli obblighi alle politiche ISO 27001:2022, alle aree di controllo dell’Appendice A e ai responsabili | Registro di conformità e mappa di titolarità delle politiche |
| Da 13 a 17 | Aggiornare il Registro dei rischi e il Piano di trattamento del rischio, quindi allineare le voci della SoA | Registro dei rischi, Piano di trattamento, aggiornamenti della SoA |
| Da 18 a 22 | Prioritizzare la governance dei fornitori, inclusi classificazione dei fornitori critici, lacune contrattuali ed evidenze di riesame | Registro dei rischi dei fornitori e registro delle azioni |
| Da 23 a 26 | Preparare un pacchetto di evidenze per l’audit con metadati, approvazioni, log dei riesami e decisioni della direzione | Pacchetto di evidenze e indice di audit |
| Da 27 a 30 | Eseguire il Riesame della direzione e approvare la roadmap del Profilo Target | Verbali del Riesame della direzione, decisioni, roadmap |
Questo piano crea evidenze di governance sufficienti per rispondere a domande serie di clienti e auditor, costruendo al tempo stesso le basi per la certificazione ISO 27001:2022, la preparazione a NIS2, l’assurance dei clienti DORA e la responsabilizzazione GDPR.
Il risultato pratico: una storia di governance, molti usi di conformità
Quando Sarah torna dal consiglio di amministrazione, non ha più cinque filoni di lavoro di conformità scollegati. Ha un’unica storia di governance.
Gli esiti NIST CSF 2.0 Govern sono mappati a politiche, responsabili, rischi, controlli ed evidenze ISO 27001:2022. Il campo di applicazione del SGSI include dipendenze da clienti, fornitori, cloud, obblighi legali, normativi, privacy e contrattuali. Il Registro dei rischi guida le decisioni di trattamento e l’applicabilità della SoA. Le politiche sono approvate, sottoposte a controllo delle versioni, assegnate a un responsabile, comunicate e riesaminate. I rischi dei fornitori sono classificati per livello, contrattualizzati, monitorati e tracciati. Gli obblighi di trattamento GDPR, le aspettative NIS2 di responsabilità e i requisiti DORA trasferiti dai clienti sono referenziati in modo incrociato ove applicabile. Le evidenze di audit includono metadati, registrazioni decisionali e output del Riesame della direzione.
Questo è l’aspetto della governance quando è operativa.
Passo successivo: costruisci il tuo pacchetto di evidenze Govern per PMI con Clarysec
Se ti stai preparando a ISO 27001:2022, rispondi alla due diligence di un cliente enterprise, mappi gli esiti NIST CSF 2.0 Govern o cerchi di allineare NIS2, DORA e GDPR senza creare programmi separati, inizia dal livello di governance.
Clarysec può aiutarti a costruire:
- Un profilo NIST CSF 2.0 Govern attuale e target.
- Una mappatura delle politiche ISO 27001:2022 e della SoA.
- Un Registro degli obblighi di conformità trasversale usando Zenith Controls Zenith Controls.
- Una roadmap di attuazione del SGSI in 30 fasi usando Zenith Blueprint Zenith Blueprint.
- Evidenze di policy pronte per le PMI usando il toolkit di politiche Clarysec, incluse Politica sui ruoli e sulle responsabilità di governance per PMI Politica sui ruoli e sulle responsabilità di governance per PMI - PMI, Politica di gestione del rischio per PMI Politica di gestione del rischio per PMI - PMI, Politica di conformità legale e normativa per PMI Politica di conformità legale e normativa per PMI - PMI, Politica di sicurezza di terze parti e fornitori per PMI Politica di sicurezza di terze parti e fornitori per PMI - PMI e Politica di audit e monitoraggio della conformità per PMI Politica di audit e monitoraggio della conformità per PMI - PMI.
Il percorso più rapido non è un altro foglio di calcolo. È un SGSI governato, basato sul rischio e pronto a produrre evidenze, che permette alla tua PMI di rispondere con sicurezza a una domanda:
Puoi dimostrare che la cibersicurezza è gestita, assegnata, riesaminata e migliorata continuamente?
Con Clarysec, la risposta diventa sì.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
