Il dominio Protection (PR) delle specifiche baseline NIS traduce le decisioni di rischio in salvaguardie concrete su identità, dati, piattaforme e infrastrutture. Per i team compliance, l’obiettivo è implementare controlli di protezione basati sul rischio, applicati in modo coerente e supportati da evidenze operative.
Fonti: Determinazione ACN obblighi di base, Guida ACN lettura specifiche
Punti chiave
- I controlli PR sono il livello esecutivo principale per ridurre probabilità e impatto degli incidenti.
- I requisiti baseline coprono identità e accessi, formazione, sicurezza dei dati, sicurezza delle piattaforme e resilienza infrastrutturale.
- Diversi controlli sono esplicitamente condizionati dagli esiti del rischio e richiedono giustificazione documentata.
- Sono necessarie evidenze su implementazione, monitoraggio e riesame periodico.
Fonti: Determinazione ACN obblighi di base
Modello PR in pratica
1. Identità, autenticazione e controllo accessi (PR.AA)
Definire e governare identità, credenziali, autorizzazioni e accessi fisici/logici, inclusa autenticazione rafforzata dove il rischio lo richiede.
2. Consapevolezza e formazione (PR.AT)
Adottare un piano formativo approvato, eseguire programmi ricorrenti di awareness e mantenere evidenze di completamento.
3. Sicurezza dati e backup (PR.DS)
Proteggere riservatezza, integrità e disponibilità dei dati in transito e a riposo, e gestire backup protetti con test di ripristino.
4. Sicurezza delle piattaforme (PR.PS)
Governare ciclo di vita software, generazione e conservazione dei log e pratiche di sviluppo sicuro coerenti con il rischio.
5. Resilienza infrastrutturale (PR.IR)
Proteggere reti e ambienti da usi non autorizzati e mantenere misure orientate alla resilienza dei servizi critici.
Fonti: Determinazione ACN obblighi di base, Guida ACN lettura specifiche
Set minimo di evidenze per prontezza PR
| Area PR | Obiettivo pratico | Evidenze tipiche |
|---|---|---|
| PR.AA | Ciclo accessi controllato e governance autenticazione | Policy accessi, registri ciclo utenze, riesami privilegi |
| PR.AT | Esecuzione dimostrabile della formazione sicurezza | Piano formativo approvato, registri frequenza/completamento |
| PR.DS | Protezione dati e recuperabilità | Procedure data protection, registri backup, esiti test restore |
| PR.PS | Operatività piattaforme sicura e tracciabile | Registri patch/change, configurazioni logging, procedure secure dev |
| PR.IR | Infrastruttura protetta e resiliente | Procedure protezione rete, evidenze segmentazione/accesso |
Fonti: Determinazione ACN obblighi di base
Checklist operativa per 90 giorni
- Riallineare le policy accessi al ciclo di vita identità e alla governance privilegi.
- Confermare i requisiti di autenticazione basati sul rischio e documentare eventuali eccezioni motivate.
- Validare la strategia backup e pianificare test di ripristino con esiti registrati.
- Riesaminare pratiche di logging, conservazione log e manutenzione sicura del software.
- Consolidare i pacchetti evidenze PR per famiglia di controllo in ottica audit.
FAQ
I controlli PR sono solo tecnici?
No. Il dominio PR combina salvaguardie tecniche e controlli organizzativi, come formazione, enforcement policy e procedure approvate. Fonte: Determinazione ACN obblighi di base
L’autenticazione multifattore è sempre obbligatoria ovunque?
L’implementazione è condizionata dal rischio nel modello baseline. Ambito e modalità vanno allineati agli esiti del risk assessment con razionale documentato. Fonti: Guida ACN lettura specifiche, Determinazione ACN obblighi di base
Qual è l’evidenza minima attesa sui backup?
Al minimo, registri sulla protezione dei backup e risultati di test periodici di ripristino che dimostrino recuperabilità. Fonte: Determinazione ACN obblighi di base