Guida al framework

Cos'è il NIST Cybersecurity
Framework 2.0

La guida di riferimento mondiale per proteggere la tua azienda dalle minacce informatiche, pubblicata dal National Institute of Standards and Technology degli Stati Uniti.

Chi è il NIST

Il NIST (National Institute of Standards and Technology) è un'agenzia del Dipartimento del Commercio degli Stati Uniti, fondata nel 1901. Sviluppa standard, linee guida e best practice utilizzati in tutto il mondo per la tecnologia, la sicurezza e l'innovazione.

Il Cybersecurity Framework (CSF) è stato pubblicato per la prima volta nel 2014, su richiesta del governo federale americano, per aiutare le organizzazioni a gestire il rischio informatico in modo strutturato. La versione 2.0, rilasciata a febbraio 2024, rappresenta l'aggiornamento più significativo dalla sua creazione.

Oggi il NIST CSF è adottato da migliaia di organizzazioni in tutto il mondo — aziende private, enti pubblici, infrastrutture critiche — ed è considerato lo standard di riferimento internazionale per la gestione della cybersecurity.

Perché è importante per la tua azienda

Gli attacchi informatici sono in costante aumento e colpiscono aziende di ogni dimensione. Ransomware, phishing, violazioni dei dati e interruzioni operative possono causare danni economici gravissimi e compromettere la reputazione aziendale.

Il NIST CSF 2.0 offre un approccio pratico e strutturato per:

  • Comprendere il proprio livello di rischio informatico
  • Identificare le lacune nella protezione aziendale
  • Definire priorità di intervento basate su evidenze
  • Comunicare lo stato della cybersecurity al management e agli stakeholder
  • Allinearsi a normative come la Direttiva NIS2, il GDPR e gli standard ISO/IEC 27001

Le 6 funzioni del framework

Il NIST CSF 2.0 organizza la cybersecurity in 6 funzioni fondamentali, che coprono l'intero ciclo di vita della gestione del rischio.

GV

GOVERN — Governare

Definisce la strategia di cybersecurity dell'organizzazione: policy, ruoli, responsabilità, gestione del rischio nella supply chain e supervisione a livello dirigenziale. È la funzione introdotta nella versione 2.0 e rappresenta il livello di governo della sicurezza.

ID

IDENTIFY — Identificare

Comprende gli asset aziendali (hardware, software, dati, persone), il contesto operativo e i rischi associati. Include l'inventario delle risorse, la valutazione delle vulnerabilità e l'analisi dell'impatto sul business.

PR

PROTECT — Proteggere

Implementa le misure di sicurezza: controllo degli accessi, formazione del personale, protezione dei dati, sicurezza delle piattaforme tecnologiche e resilienza dell'infrastruttura.

DE

DETECT — Rilevare

Garantisce il monitoraggio continuo dell'infrastruttura per individuare anomalie, eventi sospetti e potenziali violazioni. Include sistemi di rilevamento, analisi dei log e correlazione degli eventi di sicurezza.

RS

RESPOND — Rispondere

Definisce le procedure di risposta agli incidenti: gestione, analisi, contenimento, comunicazione interna ed esterna e mitigazione degli impatti. Un piano di risposta efficace riduce drasticamente i danni di un attacco.

RC

RECOVER — Ripristinare

Riguarda il ripristino delle attività e dei servizi dopo un incidente di sicurezza. Include piani di continuità operativa, ripristino dei backup, comunicazione agli stakeholder e lezioni apprese per migliorare la resilienza futura.

22 categorie, 106 controlli

Ogni funzione si articola in categorie specifiche. Il nostro assessment copre tutte le 106 subcategory del framework, permettendo una valutazione completa e dettagliata della maturità cyber della tua organizzazione.

GOVERN (6 categorie)

  • Contesto organizzativo
  • Strategia di gestione del rischio
  • Ruoli, responsabilità e autorità
  • Policy
  • Supervisione
  • Cybersecurity supply chain

IDENTIFY (3 categorie)

  • Asset management
  • Risk assessment
  • Miglioramento continuo

PROTECT (5 categorie)

  • Identity management e controllo accessi
  • Consapevolezza e formazione
  • Sicurezza dei dati
  • Sicurezza delle piattaforme
  • Resilienza dell'infrastruttura

DETECT (2 categorie)

  • Monitoraggio continuo
  • Analisi degli eventi avversi

RESPOND (4 categorie)

  • Gestione degli incidenti
  • Analisi degli incidenti
  • Segnalazione e comunicazione
  • Mitigazione degli incidenti

RECOVER (2 categorie)

  • Esecuzione del piano di ripristino
  • Comunicazione sul ripristino

Cosa cambia nella versione 2.0

La versione 2.0, pubblicata dal NIST a febbraio 2024, introduce cambiamenti significativi:

GV

Nuova funzione GOVERN

Introduce la governance della cybersecurity come funzione a sé, elevando il ruolo della leadership aziendale.

Applicabilità universale

Non più solo infrastrutture critiche: il framework è pensato per organizzazioni di ogni tipo e dimensione.

Supply chain

Maggiore enfasi sulla gestione del rischio cyber lungo tutta la catena di fornitura.

Miglioramento continuo

Il framework integra il concetto di valutazione periodica e miglioramento progressivo della postura di sicurezza.

Come funziona il nostro assessment

Il nostro strumento online ti permette di valutare gratuitamente il livello di maturità cyber della tua organizzazione rispetto a tutte le 106 subcategory del NIST CSF 2.0.

1

Rispondi alle domande

Per ogni controllo indica se è implementato completamente, parzialmente o non implementato.

2

Ottieni lo score

Ricevi immediatamente un punteggio globale e per ogni funzione NIST, con interpretazione del risultato.

3

Identifica le priorità

Scopri le aree più critiche e ricevi indicazioni sulle azioni di miglioramento da intraprendere.

Valuta la cybersecurity della tua azienda

Gratuito, immediato, basato sullo standard internazionale NIST CSF 2.0.

Inizia l'assessment