La nuova direttiva europea NIS 2 è stata pubblicata alla fine del 2022 con l'obiettivo di rafforzare i requisiti di sicurezza per le imprese ad alta criticità e critiche. L'UE vuole essere certa che tutte le aziende interessate soddisfino il necessario nucleo di elementi nelle loro politiche di gestione del rischio di cybersecurity e nelle misure adottate.
L'Italia è il primo Stato membro dell'UE a definire requisiti specifici per una parte della sua infrastruttura digitale - i fornitori di servizi cloud (CSP). La Strategia Cloud Italia, promossa dall'Agenzia per la Cybersicurezza Nazionale (ACN), definisce i requisiti specifici di conformità per i fornitori di servizi cloud che operano nel settore pubblico italiano.
Anche se la tua azienda non ha sede in Italia, questo nuovo sviluppo può avere un impatto sui tuoi servizi cloud e sugli sforzi di conformità se operi attraverso i confini dell'UE.
Di seguito abbiamo delineato i requisiti della Strategia Cloud Italia, in modo che i fornitori di servizi cloud possano capire cosa viene loro richiesto e le tempistiche necessarie.
Strategia Cloud Italia: Classificazioni dei Dati e dei Servizi
Qualsiasi fornitore esistente o potenziale di servizi cloud per il settore pubblico italiano dovrà soddisfare i requisiti della Strategia Cloud Italia dell’ACN.
Secondo le nostre attuali conoscenze, la Strategia Cloud Italia prevede tre classificazioni di dati e servizi:
- Ordinario (QC1)
- Critico (QC2)
- Strategico (QC3)
Strategico è la classificazione più alta, che richiede il maggior numero di certificazioni e rappresenta circa il 20% dei CSP. La maggior parte è considerata Ordinaria o Critica. Tuttavia, indipendentemente dalla classificazione della tua azienda, dovrai dimostrare i relativi requisiti minimi di conformità che variano a seconda della classificazione. Questi includono:
- Certificazione ISO 27001 (incluse ISO 27017 e ISO 27018)
- Autocertificazione e/o certificazione ISO 22301
- Autocertificazione e/o certificazione ISO 20000-1
- Attestazione o certificazione CSA STAR di livello 2
Strategia Cloud Italia Requisiti di conformità
Esistono requisiti diversi in base alla classificazione di dati e servizi:
|
Classificazione |
Requisiti |
|
Ordinario (QC1)
|
1. Certificazione ISO 9001 2. Certificazione ISO/IEC 27001:2013 con le seguenti estensioni o Certificazione ISO/IEC 27017:2015; e o ISO/IEC 27018:2019. (La certificazione Cloud Security Alliance - STAR Level 2 è un'alternativa accettabile alla certificazione ISO/IEC 27001). |
|
Critico (QC2) |
Come da requisiti QC1, con l’aggiunta di: 1. Autodichiarazione per ISO 22301 2. Autodichiarazione per ISO 20000-1 |
|
Strategico (QC3) |
Come da requisiti QC1, con l’aggiunta di: 1. Certificazione ISO 22301 2. Certificazione ISO/IEC 20000-1 3. Certificazione Cloud Security Alliance STAR Livello 2 |
Le certificazioni di cui sopra dimostrano un chiaro impegno verso la cybersecurity da parte dei CSP, ma è importante che l'ambito (o gli ambiti) di certificazione includano i servizi cloud interessati dalla Strategia Cloud Italia, assicurando che i CSP dispongano di controlli e processi basati sul Framework Nazionale per la Cybersecurity italiano adeguati alla classificazione del fornitore di servizi cloud.
Quali sono le tempistiche della Strategia Cloud Italia?
L'ACN ha imposto ai CSP la scadenza tassativa del luglio 2023 per l'adempimento di questi nuovi requisiti. Anche se riteniamo che tale scadenza possa essere prorogata, è fondamentale che i CSP inizino a prepararsi immediatamente.
In LRQA siamo pronti ad assistere tutte le aziende che dovranno impegnarsi per comprendere meglio e soddisfare i requisiti della nuova Strategia Cloud Italia il più rapidamente possibile.