la proposta

ISO 9001 e framework nazionale, un modello ibrido per la sicurezza delle PMI



Indirizzo copiato

Le PMI affrontano, spesso, sfide significative nella gestione della sicurezza informatica. Limitazioni strutturali e di fatturato rendono difficile implementare misure di sicurezza sistematiche e adeguate. Ecco come l’unione della ISO 9001 e del framework nazionale per la cyber security può fornire un approccio completo e robusto alla gestione della qualità e della sicurezza

Pubblicato il 16 lug 2024

Giuseppe Alverone

Consulente e formatore Privacy. DPO certificato UNI 11697:2017

Monica Perego

Consulente, Formatore Privacy & DPO



ISO 9001 e Framework nazionale per la sicurezza delle PMI

Il Direttore dell’ACN, Bruno Frattasi, ha recentemente evidenziato che la minaccia cyber si abbatte e riguarda in maniera particolare il settore manifatturiero che è il fulcro dell’economia italiana ed è costituito in gran parte da piccole e medie imprese (PMI). Queste ultime sono, dunque, chiamate a comprendere l’importanza di acquisire sempre maggiore consapevolezza e conoscenza del rischio cyber a cui sono esposte.

Le PMI devono comprendere l’importanza di investire in cyber security per proteggere i propri dati e la proprietà intellettuale nonché per garantire la continuità operativa. Questo comporta:

  1. adottare misure di sicurezza adeguate;
  2. formare i dipendenti;
  3. mantenere aggiornati i sistemi e prepararsi a rispondere efficacemente agli eventuali attacchi.

L’integrazione della norma ISO 9001 (attualmente nella versione del 2015 comprensiva dell’Annex 1:2022) con i 15 controlli essenziali del framework nazionale per la cybersecurity e la data protection rappresenta un modello ibrido innovativo.

Questo approccio può fornire alle piccole e medie imprese (PMI) una strategia efficace per rafforzare la propria postura di sicurezza informatica, migliorare l’efficienza operativa e garantire la conformità alle normative vigenti.

La norma tecnica ISO 9001

ISO 9001 è uno standard internazionale per i Sistemi di Gestione della Qualità (SGQ). Questa norma definisce i criteri per un Sistema di Gestione progettato per aiutare le organizzazioni a presidiare e migliorare l’efficienza dei processi, garantire la conformità normativa e, in ultima analisi, ridurre i rischi a beneficio della soddisfazione del cliente.

Tale obiettivo è raggiunto attraverso diverse misure, tra cui la necessità di proteggere le informazioni del cliente e il know-how dell’organizzazione[1].

ISO 9001 si basa su diversi principi di gestione della qualità, tra cui il focus sul cliente, il coinvolgimento della leadership, l’approccio per processi e il miglioramento continuo.

Il framework nazionale per la cybersecurity e la data protection

Sviluppato dal CIS – Research Center of Cyber Intelligence and Information Security dell’Università Sapienza di Roma e dal CINI – Cybersecurity National Lab, liberamente scaricabile, fornisce un insieme di misure di sicurezza per supportare le organizzazioni nella protezione dei dati personali e nella gestione della sicurezza informatica.

Sebbene non sia uno strumento di conformità normativa, il framework offre linee guida pratiche per sviluppare strategie di sicurezza efficaci, riducendo i costi di implementazione e aumentando l’efficacia delle misure adottate.

La possibile integrazione tra ISO 9001 e framework

Si è detto che il framework nazionale, come gli altri standard internazionali, non può essere utilizzato come strumento per garantire la conformità ai regolamenti vigenti.

Tuttavia, la sua implementazione può indubbiamente assistere le organizzazioni nel definire un percorso strategico verso una robusta capacità di cyber sicurezza e di protezione dei dati personali, proprio in linea con i requisiti normativi vigenti.

Questo non solo riduce i costi di implementazione ma aumenta anche l’efficacia delle misure adottate proprio in linea con quanto richiesto da ISO 9001.

Lo stesso framework evidenzia che il tessuto economico italiano è prevalentemente costituito da piccole e medie imprese, che spesso non dispongono di risorse dedicate per gestire in modo sistematico le sfide legate alla cyber security, a causa di limitazioni strutturali e di fatturato.

Di fronte a tali sfide, il framework nazionale introduce 15 Controlli Essenziali di Cybersecurity, progettati per essere implementati facilmente e, nella maggior parte dei casi, con un impatto economico contenuto.

Questi controlli costituiscono pratiche di sicurezza fondamentali che non possono essere trascurate.

L’integrazione di ISO 9001 con il framework nazionale determina la creazione di un modello ibrido che combina la gestione della qualità con la sicurezza informatica.

Questo approccio sinergico offre numerosi vantaggi per le piccole e medie imprese (PMI), che possono così rafforzare la loro sicurezza e migliorare l’efficienza operativa. Di seguito, esploreremo in dettaglio i principali benefici di questa integrazione.

Peraltro, non va dimenticato che per le PMI che saranno chiamate ad applicare la NIS 2 le misure proposte dal framework nazionale ben si integrano con quelle richieste dalla stessa Direttiva, con vantaggi in termini di riduzione di costi ed a favore di una sempre più completa integrazione.

Il modello ibrido

I 15 controlli essenziali vanno a declinare 8 capacità/funzioni che possono essere potenziate con l’integrazione dei requisiti previsti dalla norma ISO 9001. Nella tabella seguente viene riportato il modello ibrido proposto. Per ogni controllo sono riportati i requisiti della ISO 9001:2015 di riferimento ed una traccia di misure da mettere in atto per integrare il controllo nel framework della norma.

Inoltre, sono riportati dei riferimenti a quelle che possono essere considerate procedure di supporto da documentare.

L’integrazione con tutti i controlli risulta trasversale. Così, il Requisito 6.1 “Azioni per affrontare i rischi e le opportunità” porta a considerare, nell’analisi dei rischi, anche quelli che incidono sulla sicurezza delle informazioni, i quali sono mitigati dalle misure del framework.

Tale requisito è richiamato anche dal requisito 4.4.1 f)[2] Affrontare i rischi e le opportunità come determinanti in conformità ai requisiti di cui al 6.1.

Analogamente risulta trasversale anche il requisito 5.3 Ruoli, responsabilità e autorità secondo il quale sono da identificare le responsabilità delle figure apicali e subordinate che hanno in capo il controllo[3].

Infine, per tutti i controlli dovrebbero essere:

  1. previste delle registrazioni di supporto per le quali devono essere definite le responsabilità in termini di modalità, luogo e tempi di conservazione (come definito dal requisito 7.5 Informazioni documentate);
  2. previsti audit nel corso della pianificazione degli stessi come richiesto dal requisito 9.2 Audit interno.

Dette registrazioni costituirebbero ovviamente evidenze, mentre i criteri sono rappresentati dal framework e dalle procedure indicate nella seguente tabella.

Capacità/funzioneControllo essenzialeRequisito ISO 9001:2015
Inventario dispositivi e softwareEsiste ed è mantenuto aggiornato un inventario dei sistemi, dispositivi, software, servizi e applicazioni informatiche in uso all’interno del perimetro aziendale.Requisito 7.5 Informazioni documentate – integrare nell’elenco dei sistemi per la gestione della documentazione anche i SW, i servizi e le applicazioni informatiche (vedi 7.5.2 a) e 7.5.3.1 b). Requisito 7.1.3 Infrastrutture – integrare l’elenco delle infrastrutture con i dispositivi che impattano sulla sicurezza delle informazioni (anche le reti ed i dispositivi di rete vedi controllo 13) e pianificare la loro manutenzione e dismissione. Procedura – ciclo di vita del dispositivo (dalla valutazione di acquisto alla eliminazione sicura).
I servizi web (social network, cloud computing, posta elettronica, spazio web ecc.) offerti da terze parti a cui si è registrati sono quelli strettamente necessari.Requisito 5.3 Ruoli, responsabilità e autorità – aggiornamento del mansionario con indicate le limitazioni per registrazione a servizi web di terze parti per le varie funzioni aziendali 7.5 Informazioni documentate. – per il riesame periodico dei servizi web associati alle varie funzioni aziendali. Procedura – ciclo di vita del collaboratore (dall’ingresso nell’organizzazione al termine del rapporto di collaborazione) Procedura – gestione delle misure di sicurezza delle informazioni (nello specifico per la parte di gestione degli accessi e delle configurazioni). Nel caso in cui i fornitori fornissero del personale le misure devono essere estesi anche tali soggetti
Sono individuate le informazioni, i dati e i sistemi critici per l’azienda affinché siano adeguatamente protetti.Requisito 7.5 Informazioni documentate – Completo inventario di tutte le informazioni; valutazione dell’adeguatezza delle misure poste in atto per la tutela delle informazioni (vedi 7.5.3.1 b). Procedura – ciclo di vita dell’informazione (dall’ingresso/creazione nell’organizzazione alla cancellazione/distruzione/trasferimento a terze parti e misure poste in atto per la tutela). Per i sistemi critici vedi anche misure di cui al controllo n. 1. Nel caso in cui i fornitori fornissero del personale e/o dispositivi le misure devono essere estesi anche tali soggetti.
È stato nominato un referente che sia responsabile per il coordinamento delle attività di gestione e di protezione delle informazioni e dei sistemi informatici.Requisito 5.3 Ruoli, responsabilità e autorità – Integrazione dell’organigramma/ funzionigramma, aggiornamento del mansionario con la funzione del referente che ha in capo l’attività di gestione e di protezione delle informazioni e dei sistemi informatici (indicato anche come funzione/i responsabile della sicurezza come indicato anche nel controllo 14). 7.2 Competenza – piano di formazione – definire le competenze necessarie, assicurare la competenza (sia iniziale che nel corso delle attività) e registrare la l’evidenza di tale competenza per tale funzione ed i collaboratori. Procedura – gestione del processo di selezione con la definizione dei profili minimi per il ricoprimento del ruolo associato alle varie funzioni. Procedura – formazione del personale.
Capacità/funzioneControllo essenzialeRequisito ISO 9001:2015
Governance5. Sono identificate e rispettate le leggi e/o i regolamenti con rilevanza in tema di cybersecurity che risultino applicabili per l’azienda.Requisito 4.1 Comprendere l’organizzazione ed il suo contesto – comprendere i fattori che emergono dall’ambiente legale (a livello internazionale, nazionale, regionale e locale) che incidono sull’organizzazione Requisito 7.5 Informazioni documentate – identificazione delle norme, leggi e regolamenti di origine esterna che trattano del tema della sicurezza delle informazioni documentate, fonti affidabilità per tenersi aggiornato sulla identificazione e valutazione dell’applicabilità di tali norme (vedi 7.5.3.2). Requisito 5.3 Ruoli, responsabilità e autorità – identificazione delle responsabilità ed aggiornamento del mansionario con la funzione referente dell’aggiornamento normativo. Procedura – gestione della documentazione di origine esterna.

Capacità/funzioneControllo essenzialeRequisito ISO 9001:2015
Protezione da Malware6. Tutti i dispositivi che lo consentono sono dotati di software di protezione (antivirus, antimalware ecc.) regolarmente aggiornato.Requisito 7.1.3 Infrastrutture – messa in atto misure (compreso uno scadenziario) per garantire che le infrastrutture (di cui al controllo 1) le adeguate misure di protezione e l’aggiornamento continuo. Requisito 7.5 Informazioni documentate – verificare attraverso adeguate misure che le informazioni documentate siano adeguatamente protette da perdita di riservatezza utilizzo improprio o perdita di integrità (vedi 7.5.3.1 a). Procedura – ciclo di vita del dispositivo (dalla valutazione di acquisto alla eliminazione sicura). Procedura – gestione delle misure di sicurezza delle informazioni (nello specifico per la parte di gestione delle protezioni ai dispositivi). Nel caso in cui i fornitori fornissero del personale che opera con i propri dispositivi le misure devono essere estesi anche tali soggetti.
7. Le password sono diverse per ogni account, della complessità adeguata e viene valutato l’utilizzo dei sistemi di autenticazione più sicuri offerti dal provider del servizio (es. autenticazione a due fattori).Requisito 7.5 Informazioni documentate – verificare attraverso adeguate misure che le informazioni documentate siano adeguatamente protette da perdita di riservatezza utilizzo improprio o perdita di integrità (vedi 7.5.3.1 a). Procedura – ciclo di vita del dispositivo (dalla valutazione di acquisto alla eliminazione sicura) Procedura – gestione delle misure di sicurezza delle informazioni (nello specifico per la parte di gestione degli accessi e delle configurazioni)
8. Il personale autorizzato all’accesso, remoto o locale, ai servizi informatici dispone di utenze personali non condivise con altri; l’accesso è opportunamente protetto; i vecchi account non più utilizzati sono disattivati.Requisito 5.3 Ruoli, responsabilità e autorità – aggiornamento del mansionario con indicate le limitazioni per registrazione a servizi di terze parti per le varie funzioni aziendali. 7.2 Competenza – piano di formazione – il personale che accede ai sistemi è formato in merito alle proprie responsabilità sulla protezione degli accessi (disciplinare da aggiornare in relazione all’evoluzione del contesto). 7.5 Informazioni documentate – per il riesame periodico dei servizi web associati alle varie funzioni aziendali. Procedura – ciclo di vita del collaboratore (dall’ingresso nell’organizzazione al termine del rapporto di collaborazione) Procedura – formazione del personale [4] Nel caso in cui i fornitori fornissero del personale le misure devono essere estesi anche tali soggetti.
9. Ogni utente può accedere solo alle informazioni e ai sistemi di cui necessita e/o di sua competenza.Requisito 5.3 Ruoli, responsabilità e autorità – aggiornamento del mansionario con indicate le limitazioni per gli accessi alle informazioni per le varie funzioni aziendali. Requisito 7.5 Informazioni documentate – verificare attraverso adeguate misure che le informazioni documentate ed i relativi permessi di accesso siano adeguatamente protetti da perdita di riservatezza utilizzo improprio o perdita di integrità (vedi 7.5.3.1 a). Procedura – ciclo di vita del collaboratore (dall’ingresso nell’organizzazione al termine del rapporto di collaborazione). Procedura gestione delle misure di sicurezza delle informazioni (nello specifico per la parte di gestione degli accessi alle informazioni) .
Capacità/funzioneControllo essenzialeRequisito ISO 9001:2015
Formazione e consapevolezza10. Il personale è adeguatamente sensibilizzato e formato sui rischi di cybersecurity e sulle pratiche da adottare per l’impiego sicuro degli strumenti aziendali (es. riconoscere allegati e-mail, utilizzare solo software autorizzato, …). I vertici aziendali hanno cura di predisporre per tutto il personale aziendale la formazione necessaria a fornire almeno le nozioni basilari di sicurezza.Requisito 5.1 Leadership – il vertice dell’organizzazione rende disponibili adeguate risorse per sensibilizzare il personale sui rischi della cybersecurity[5]. Requisito 5.3 Ruoli, responsabilità e autorità aggiornamento del mansionario con indicate le responsabilità in capo al vertice di rendere disponibili adeguate risorse e delle varie funzioni aziendali sulle misure di sicurezza di loro competenze da applicare. Requisito 7.2 Competenza – piano di formazione – il personale che accede ai sistemi è sensibilizzato (formato) in merito ai rischi, alle proprie responsabilità sulla protezione degli accessi (disciplinare da aggiornare in relazione all’evoluzione del contesto) ed alle misure da mettere in atto. Tale formazione è sostenuta (anche da adeguate risorse economiche) da parte del vertice dell’organizzazione. Tale formazione è pianificata ad intervalli oltre che all’ingresso del nuovo collaboratore. Requisito 9.3 Riesame di direzione – nel contesto del riesame tra gli elementi di ingresso (vedi 9.3.2) anche le azioni poste in atto per sensibilizzare il personale in materia di cybersecurity (periodo precedente) e tra quelli in uscita (vedi 9.3.3) la pianificazione delle misure da porre in atto per sensibilizzare il personale in materia di cybersecurity (periodo successivo) anche sulla base dei risultati del periodo precedente. Procedura – ciclo di vita del collaboratore (dall’ingresso nell’organizzazione al termine del rapporto di collaborazione). Procedura – formazione del personale Nel caso in cui i fornitori fornissero del personale le misure devono essere estesi anche tali soggetti.
Capacità/funzioneControllo essenzialeRequisito ISO 9001:2015
Protezione dei dati11. La configurazione iniziale di tutti i sistemi e dispositivi è svolta da personale esperto, responsabile per la configurazione sicura degli stessi. Le credenziali di accesso di default sono sempre sostituite.Requisito 5.3 Ruoli, responsabilità e autorità – Integrazione dell’organigramma/ funzionigramma, aggiornamento del mansionario con la funzione/i del responsabile della sicurezza che ha in capo l’attività di configurazione sicura dei sistemi e dei dispositivi (si veda anche il controllo 4). Procedura – formazione del personale Requisito 7.1.3 Infrastrutture – integrare l’elenco delle infrastrutture con le chiavi di accesso e verificare la loro corretta getsione (ciclo id vita). 7.2 Competenza – piano di formazione – definire le competenze necessarie, assicurare la competenza (sia iniziale che nel corso delle attività) e registrare la l’evidenza di tale competenza per tale funzione per la funzione/i che ha in capo la sicurezza ed i collaboratori (personale esperto). Requisito 7.5 Informazioni documentate – verificare attraverso adeguate misure che le informazioni documentate e le relative misure di configurazione siano adeguatamente protetti da perdita di riservatezza utilizzo improprio o perdita di integrità (vedi 7.5.3.1 a) Requisito 8.4 Controllo dei processi, prodotti e servizi forniti dall’esterno – tra i fornitori considerare anche quelli esperti (se l’organizzazione ricorre all’interno) considerando iter di qualifica iniziale, dinamica e ciclo di fornitura. Procedura – gestione del processo di selezione con la definizione dei profili minimi per il ricoprimento del ruolo associato alle varie funzioni e nello specifico Responsabile della sicurezza ed i suoi collaboratori. Procedura – gestione dei fornitori e gestione ciclo approvvigionamento (estesa anche agli eventuali fornitori che intervengono sui sistemi di sicurezza con personale esperto) Procedura – ciclo di vita del collaboratore (dall’ingresso nell’organizzazione al termine del rapporto di collaborazione) . Procedura – gestione delle misure di sicurezza delle informazioni (nello specifico per la parte di gestione degli accessi e delle configurazioni). Nel caso in cui i fornitori fornissero del personale le misure devono essere estesi anche tali soggetti.
12. Sono eseguiti periodicamente backup delle informazioni e dei dati critici per l’azienda (identificati al controllo 3). I backup sono conservati in modo sicuro e verificati periodicamente.Requisito 7.5 Informazioni documentate – verificare attraverso adeguate misure che le informazioni documentate ed i relativi back-up siano adeguatamente protetti da perdita di riservatezza utilizzo improprio o perdita di integrità (vedi 7.5.3.1 a). Requisito 8.4 Controllo dei processi, prodotti e servizi forniti dall’esterno – tra i fornitori considerare anche quelli coinvolti nell’erogazione di servizi che garantiscono la sicurezza delle informazioni (vedi anche controllo cacca compresi i back-up) considerando iter di qualifica iniziale, dinamica e ciclo di fornitura. Procedura gestione delle misure di sicurezza delle informazioni (nello specifico per la parte relativa alla gestione dei back-up dalla pianificazione alla eliminazione). Procedura – gestione dei fornitori e gestione ciclo approvvigionamento (estesa anche agli eventuali fornitori che forniscono servizi di back-up).
Capacità/funzioneControllo essenzialeRequisito ISO 9001:2015
Protezione delle reti 13. Le reti e i sistemi sono protetti da accessi non autorizzati attraverso strumenti specifici (es: Firewall e altri dispositivi/software anti-intrusione).Requisito 7.1.3 Infrastrutture – integrare l’elenco delle infrastrutture con le reti ed i dispositivi di rete e verificare le protezioni (presenza, adeguamento tecnologico, efficacia). Procedura – ciclo di vita del dispositivo (dalla valutazione di acquisto alla eliminazione sicura). Procedura – verifica delle reti.
Capacità/funzioneControllo essenzialeRequisito ISO 9001:2015
Prevenzione e mitigazione14. In caso di incidente (es. venga rilevato un attacco o un malware) vengono informati i responsabili della sicurezza e i sistemi vengono messi in sicurezza da personale esperto.Requisito 5.3 Ruoli, responsabilità e autorità – Integrazione dell’organigramma/ funzionigramma, aggiornamento del mansionario con la funzione/i del responsabile della sicurezza che ha in capo l’attività di gestione degli incidenti (si veda anche il controllo 4). 7.2 Competenza – piano di formazione – definire le competenze necessarie, assicurare la competenza (sia iniziale che nel corso delle attività) e registrare la l’evidenza di tale competenza per tale funzione per la funzione/i che ha in capo la sicurezza ed i collaboratori (personale esperto). Requisito 8.4 Controllo dei processi, prodotti e servizi forniti dall’esterno – tra i fornitori considerare anche quelli esperti (se l’organizzazione ricorre all’interno) considerando iter di qualifica iniziale, dinamica e ciclo di fornitura. Requisito 8.7 Controllo degli output non conformi – tra gli output non conformi anche gli eventi che minano o avrebbero potuto minare la sicurezza dei sistemi. Requisito 10.2 Conformità ed azioni correttive – tra le azioni da mettere in atto anche quelle relative alle misure per rimuove le cause degli incidenti/potenziali incidenti sulla sicurezza delle informazioni. Procedura – gestione del processo di selezione con la definizione dei profili minimi per il ricoprimento del ruolo associato alle varie funzioni e nello specifico Responsabile della sicurezza ed i suoi collaboratori. Procedura – formazione del personale Procedura – gestione degli incidenti sulla sicurezza delle informazioni[6]. Procedura – gestione dei fornitori e gestione ciclo approvvigionamento (estesa anche agli eventuali fornitori che intervengono sulle misure di sicurezza con personale esperto).
15. Tutti i software in uso (inclusi i firmware) sono aggiornati all’ultima versione consigliata dal produttore. I dispositivi o i software obsoleti e non più aggiornabili sono dismessi.Requisito 7.5 Informazioni documentate – integrare nell’elenco dei sistemi per la gestione della documentazione anche i SW, i servizi e le applicazioni informatiche (vedi 7.5.2 a) e 7.5.3.1 b); verificare che tali elementi siamo costantemente aggiornati e quando il caso dismessi. Requisito 7.1.3 Infrastrutture – integrare l’elenco delle infrastrutture con i dispositivi che impattano sulla sicurezza delle informazioni e pianificare la loro manutenzione e dismissione. Procedura – ciclo di vita del dispositivo (dalla valutazione di acquisto alla eliminazione sicura). Procedura – ciclo di vita del SW, i servizi e le applicazioni informatiche (dalla valutazione di acquisto alla eliminazione sicura dell’applicazione e dei dati ed eventualmente il trasferimento degli stessi su una nuova applicazione).

In un’ottica più ampia tutte le misure proposte dovrebbero essere estese a tutti i sistemi informativi e non solo a quelli informatici[7].

Resta inteso che le integrazioni proposte sono una traccia ed ogni organizzazione, in relazione al contesto in cui opera potrebbe affinare/integrare i suggerimenti forniti.

Inoltre, molte delle misure definite potrebbero avere anche rilevanti implicazioni per quanto concerne la protezione dei dati personali come, ad esempio, nel caso del controllo n. 3 “Sono individuate le informazioni, i dati e i sistemi critici per l’azienda affinché siano adeguatamente protetti”.

Conclusioni

Con questo intervento si è cercato di dimostrare come l’integrazione della norma ISO 9001 con il framework nazionale per la cybersecurity e la data protection offra un approccio completo e robusto per le PMI che desiderano migliorare la qualità dei propri processi e la sicurezza dei dati.

Questo modello ibrido non solo aiuta a ottimizzare l’efficienza operativa e a ridurre i rischi, ma facilita anche il rispetto delle normative e aumenta la soddisfazione dei clienti.

Le PMI che adottano questo approccio possono ottenere un vantaggio competitivo significativo in un mercato sempre più esigente e complesso, fornendo anche garanzie ai propri clienti sui loro sistemi di business continuity per la componente della gestione delle informazioni.


[1] Come si evince dal contenuto rispettivamente dei requisiti 8.5.3 Proprietà che appartengono ai clienti ed ai fornitori e 7.5 Informazioni documentate

[2] Si veda il requisito 4.4 Sistema di gestione per la qualità e relativi processi.

[3] Solo laddove fosse necessario mettere in evidenza un aspetto peculiare di tale requisito, nella tabella è stato riportato un riferimento esplicito.

[4] Per quanto sono riportati, rispetto al controllo, diversi requisiti, la ISO 9001 è piuttosto lacunosa per quanto riguarda un riferimento esplicito alla gestione degli accessi (sia logici che fisici) a differenza, comprensibilmente dei numerosi controlli presenti nella ISO/IEC 27001:2022.

[5] Nel contesto dell’analisi dei rischi sono da individuare quelli specifici che devono essere mitigati anche con misure di sensibilizzazione nei confronti del personale.

[6] Potrebbe essere un’estensione della procedura sui data breach (vedi GDPR artt. 33 e 34).

[7] In linea con quanto previsto anche dalla ISO/IEC 27001:2022.

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati

Articolo 1 di 5