Le aziende operano, ormai, in un contesto in cui la sicurezza informatica e la qualità dei processi aziendali sono essenziali per la competitività e la sostenibilità: l’integrazione tra la norma UNI EN ISO 9001:2015 “Sistemi di gestione per la qualità – Requisiti” e il decreto di recepimento della NIS 2 rappresenta, dunque, una bella opportunità per le organizzazioni.
Già in due precedenti articoli sono stati analizzati i punti di convergenza tra:
Siamo sempre più convinti che l’integrazione tra sistemi di gestione rappresenti un modello in costante ascesa, grazie ai numerosi vantaggi che offre, in termini di riduzione dei costi e semplificazione dei processi.
Questo approccio consente di eliminare le ambiguità che possono emergere quando procedure e indicazioni derivanti da standard differenti si contraddicono o si ripetono, compromettendo, così, nel tempo un allineamento costante e generando ridondanze superflue.
Ecco, quindi, che un esempio di tale integrazione è quello tra la norma UNI EN ISO 9001:2015, che disciplina i Sistemi di Gestione della Qualità (SGQ), e il D.lgs.138/2024 (c.d. Decreto NIS 2), che stabilisce le misure di gestione dei rischi di cyber security.
Data la complessità dell’argomento, riteniamo necessario segmentare l’analisi in più fasi.
In questo articolo, ci concentreremo sui punti di convergenza tra i due standard evidenziando come la loro integrazione possa potenziare i sistemi di gestione aziendale.
Successivamente, approfondiremo i “requisiti trasversali” tra la UNI EN ISO 9001:2015 e il Decreto NIS 2, mostrando come questi elementi comuni possano essere valorizzati per sviluppare un approccio integrato che massimizzi la sinergia tra gestione della qualità e sicurezza informatica. Infine, concluderemo la serie analizzando la gestione degli incidenti di sicurezza, come prevista dall’art. 25 del Decreto NIS 2, in relazione ai requisiti della UNI EN ISO 9001:2015.
La norma UNI EN ISO 9001:2015 è uno dei maggiori standard riconosciuto a livello internazionale per i Sistemi di Gestione della Qualità.
Dalla sua prima versione nel 1987, è stata aggiornata diverse volte, con l’ultima revisione nel 2015 e una prossima prevista entro il 2026.
La norma UNI EN ISO 9001:2015 è strutturata in modo tale da poter essere facilmente integrata con altri standard di gestione, rendendola una scelta ideale per le organizzazioni che cercano di unire i requisiti di qualità con quelli imposti dalla normativa cogente.
L’integrazione con la NIS 2, che si concentra sulla sicurezza informatica, rappresenta un passo avanti significativo nella protezione delle aziende contro le minacce cyber.
La Direttiva NIS 2, recepita nel nostro ordinamento con il D.lgs.138/2024, è stata sviluppata per migliorare la sicurezza delle reti e delle informazioni all’interno dell’Unione Europea.
L’articolo 24 del decreto di recepimento introduce misure specifiche per la gestione del rischio di cyber security che sono fondamentali per proteggere le organizzazioni da attacchi informatici e altre minacce.
L’integrazione di queste misure con i processi definiti dalla UNI EN ISO 9001:2015 garantisce una migliore protezione dei dati e, nel contempo, facilita anche la gestione integrata dei rischi, unendo in un unico sistema la gestione della qualità e la sicurezza informatica.
I punti di convergenza tra la UNI EN ISO 9001:2015 e il Decreto NIS 2 sono numerosi e più ampi di quanto si possa immaginare.
Basti pensare ai sette principi del Quality Management riportati nella UNI EN ISO 9000:2015 Sistemi di gestione per la qualità – Fondamenti e vocabolario, che fungono da base per l’integrazione tra i due standard:
I sette principi declinati assumono una ulteriore rilevanza considerando quelle organizzazioni il cui campo di applicazione del sistema di gestione della qualità implica la progettazione e/o erogazione e/o assistenza nell’erogazione di servizi nel comparto dell’ICT come, ad esempio, lo sviluppo di applicazioni software (sia stand alone che integrate in un prodotto) o supporto alla gestione dei sistemi informativi delle aziende clienti.
Unendo i requisiti della UNI EN ISO 9001:2015, acquistabile nel sito www.uni.com, con le misure del decreto di recepimento della NIS 2, le organizzazioni possono sviluppare un modello di gestione integrato che copre sia la qualità che la cyber security.
Un esempio concreto viene dalla considerazione che la soddisfazione del cliente passa anche attraverso la tutela dei suoi dati come esprime in modo inequivocabile il requisito 8.5.3 “Proprietà che appartengono ai clienti ed ai fornitori esterni” laddove stabilisce che: “L’organizzazione deve aver cura della proprietà dei clienti o dei fornitori esterni, quando essa si trova sotto il suo controllo o viene da essa utilizzata. L’organizzazione deve identificare, verificare, proteggere e salvaguardare la proprietà del cliente o del fornitore esterno, messa a disposizione per essere utilizzata o per essere incorporata nei prodotti e servizi.
Quando la proprietà del cliente o del fornitore esterno viene persa, danneggiata o altrimenti riscontrata inadatta all’utilizzo, l’organizzazione deve riferire ciò al cliente o al fornitore esterno e conservare informazioni documentate su quanto accaduto”.
Nota La proprietà del cliente o del fornitore esterno può comprendere materiali, componenti, strumenti e apparecchiature, siti, proprietà intellettuali o dati personali.”
Il requisito evidenzia, in modo pienamente conforme alle disposizioni del decreto NIS 2, l’importanza di tutelare sia la “proprietà intellettuale” sia i “dati personali”, obbligando sia le entità che devono applicare tale normativa, sia quelle che operano nella catena di subfornitura.
Questi aspetti, a loro volta, devono essere regolamentati mediante un accordo contrattuale tra le parti, con particolare riferimento al requisito 8.2, “Requisiti per i prodotti e i servizi,” per quanto concerne il fornitore, al requisito 8.4, “Controllo dei processi, prodotti e servizi forniti dall’esterno,” per il cliente, e al già citato requisito 8.5.3, “Proprietà appartenenti ai clienti e ai fornitori esterni.
Di seguito vengono riportati, per ciascuna misura prevista dall’art. 24 del D.lgs.138/2024, i requisiti della UNI EN ISO 9001:2015 maggiormente correlati, insieme a una guida su come questi possano essere integrati nell’analisi dei rischi e/o nelle procedure e/o negli scadenzari, al fine di soddisfare quanto richiesto dalla Direttiva.
In particolare, per ogni misura, è necessario:
Inoltre, in maniera trasversale e propedeutica, è fondamentale:
Art. 24 D.lgs.138/2024 Misura tecnica e operativa | Requisito/i UNI EN ISO 9001:2015 | Note integrative |
politiche di analisi dei rischi e di sicurezza dei sistemi informatici | 4.1 Comprendere le esigenze e le aspettative delle parti interessate 4.2 Comprendere le esigenze e le aspettative delle parti interessate 4.4 Sistema di gestione per la qualità e relativi processi 6.1 Azioni per affrontare rischi e opportunità | Integrare l’analisi dei rischi anche con la componente sulla sicurezza dei sistemi informativi sulla base delle analisi di contesto, delle esigenze e delle aspettative delle parti interessate e dei processi aziendali. |
gestione degli incidenti | 6.1 Azioni per affrontare rischi e opportunità 8.7 Controllo degli output non conformi 10 Miglioramento | Integrare le procedure relative alla gestione delle NC anche con la componente degli incidenti che impattano sulla sicurezza dei sistemi informatici.Analogamente integrare quella relativa alla gestione delle azioni correttive con le azioni per rimuovere le cause individuate a seguito di un incidente/potenziale incidente che mina la sicurezza delle informazioni ed analogamente prevedere di integrare anche l’analisi dei rischi a seguito di un evento sia reale che potenziale. |
continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e gestione delle crisi | 6.1 Azioni per affrontare rischi e opportunità 7.5 Informazioni documentate 8.1 Pianificazione e controllo operativi | Integrare l’analisi dei rischi anche con la componente di quelli che possono interrompere la catena di fornitura (si veda a riguardo anche i requisiti del sistema di gestione della continuità operativa UNI EN ISO 22301:2019) ed i rischi di accessi da esterni.Integrare l’impianto di procedure con quelle relative alla gestione dei sistemi informatici.Integrare lo scadenzario con la pianificazione dei test (es. vulnerability e penetration), simulazioni di emergenze e di ripristini (es. restore). |
Art. 24 D.lgs.138/2024 Misura tecnica e operativa | Requisito/i UNI EN ISO 9001:2015 | Note integrative | ||||
sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi | 6.1 Azioni per affrontare rischi e opportunità 8.4 Controllo dei processi, prodotti e servizi forniti dall’esterno | Integrare l’analisi dei rischi con quelli che derivano dall’affidare ai fornitori alcuni processi aziendali (in tutto o in parte) fermo restando che in molti casi tale scelta è vincolata dal costo e complessità delle soluzioni tecnologiche.Integrare la procedura relativa alla valutazione dei fornitori che impattano sulla sicurezza dei fornitori con elementi da tenere in considerazione sia in fase di scelta iniziale che di mantenimento della qualifica. Le valutazioni vanno estese alla catena di fornitura. Considerare i vincoli posti da fornitori con potere negoziale ampiamente superiore a quello del cliente.Integrare la procedura relativa alla gestione degli ordini di acquisti con i vincoli a vari livelli che devono essere posti ai questa tipologia di fornitori ed ai loro subfornitori. | ||||
sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità | 7.1.3 Infrastrutture 6.1 Azioni per affrontare rischi e opportunità 8.4 Controllo dei processi, prodotti e servizi forniti dall’esterno | |||||
strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cibersicurezza | 4.4 Sistema di gestione per la qualità e relativi processi 6.1 Azioni per affrontare rischi e opportunità 6.2 Obiettivi per la qualità e pianificazione per il loro raggiungimento 8.1 Pianificazione e controllo operativi 9.1.3 Analisi e valutazione 9.2 Audit interni 9.3 Riesame della direzione 10 Miglioramento | Individuare indicatori per valutare l’efficacia delle misure per la gestione dei rischi di cibersicurezza in relazione ai vari processi aziendali.Definire procedure per il monitoraggio dei tali indicatori (responsabilità, frequenza, tempi) e degli obiettivi/azioni da mettere in campo laddove non fossero raggiunti e per migliorarli costantemente.Pianificare ed eseguire audit sull’efficacia delle misure di cibersicurezza implementateRendicontare tali indicatori nel riesame della direzione. | ||||
Art. 24 D.lgs.138/2024 Misura tecnica e operativa | Requisito/i UNI EN ISO 9001:2015 | Note integrative | ||||
politiche e procedure relative all’uso della crittografia e, se del caso, della cifratura | 7.5 Informazioni documentate 8.5 Produzione ed erogazione dei servizi (*) | Integrare l’analisi dei rischi con quelli che derivano dagli accessi ai sistemi laddove sono necessarie misure di crittografia e cifratura.Integrare lo scadenzario con la verifica ad intervalli dell’adeguatezza dei sistemi di crittografia e di cifratura utilizzati.Integrare le procedure interne ed in particolare quelle che afferiscono alla progettazione, erogazione ed assistenza del prodotto servizio anche con la componente di misure di crittografia e cifratura. | ||||
sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi | 7.1.2 Persone 7.1.3 Infrastrutture 7.1.4 Ambiente per il funzionamento dei processi (**) | Integrare il set di procedure relative alle risorse umane (non solo dipendenti) con quelle relative al processo di incoming, outcoming, cambio mansione, gestione lunghe assenze. Tali procedure devono comprendere tutti gli aspetti e non solo quelli relativi alla formazione (vedi punto g), come ad esempio la definizione ed assegnazione di privilegi di accesso ai sistemi in base al ruolo ricoperto, il monitoraggio delle attività, la conservazione della posta elettronica al termine della collaborazione, ecc.Integrare lo scadenzario con la pianificazione di controlli e test sulla consapevolezza del personale (es. simulazione di fishing). | ||||
Art. 24 D.lgs.138/2024 Misura tecnica e operativa | Requisito/i UNI EN ISO 9001:2015 | Note integrative | ||||
uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso | 7.4 Comunicazione 7.5 Informazioni documentate 8.5 Produzione ed erogazione dei servizi (*) | Integrare l’analisi dei rischi con quelli che derivano dagli accessi ai sistemi ed in particolare a quelli di comunicazione ed a quelli di comunicazione in fase di emergenza.Integrare lo scadenziario con la verifica ad intervalli del funzionamento dei sistemi di comunicazione di emergenza.Integrare la procedura relativa ai sistemi di comunicazione interna che con le misure da mettere in atto per tutelare i sistemi di comunicazione interna anche in condizioni di emergenza.Integrare le procedure interne ed in particolare quelle che afferiscono alla progettazione, erogazione ed assistenza del prodotto servizio anche con la componente di misure di cibersicurezza per la protezione delle comunicazioni lato cliente/fornitore e più in generale terze parti anche in condizioni di emergenza (***). | ||||
L’adozione di un modello integrato che combini la UNI EN ISO 9001:2015 con la NIS 2 costituisce un passo decisivo verso un nuovo standard di eccellenza nella gestione aziendale.
Le organizzazioni che scelgono questa integrazione potranno ottimizzare la propria efficienza operativa e distinguersi anche per la capacità di tutelare i dati e di rispondere con tempestività alle minacce informatiche.
Questo approccio globale incarna il futuro della gestione integrata, in cui qualità e sicurezza informatica non sono più elementi distinti, ma componenti sinergiche di un unico sistema efficace e innovativo.
Si è cercato di dimostrare come l’integrazione tra la norma UNI EN ISO 9001:2015 e il decreto di recepimento della direttiva NIS 2 rappresenti una grande opportunità per le organizzazioni che cercano di ottimizzare i loro processi e di proteggersi dalle crescenti minacce informatiche.
Un modello ibrido, che unisce la gestione della qualità con la cyber security migliora l’efficienza operativa e, contestualmente, contribuisce a costruire un sistema di gestione più resiliente e sicuro.
In un mondo sempre più interconnesso, questa integrazione non è solo auspicabile, ma necessaria per garantire il successo a lungo termine delle organizzazioni.
Ma il nostro percorso di analisi non si conclude qui.
In un prossimo articolo, ci concentreremo sui “requisiti trasversali” tra la UNI EN ISO 9001:2015 e il decreto NIS 2.
Esamineremo come i requisiti comuni possano essere valorizzati per sviluppare un approccio integrato, in grado di massimizzare la sinergia tra la gestione della qualità e la sicurezza informatica. Analizzeremo nel dettaglio in che modo questi elementi condivisi possano potenziare l’implementazione delle due normative, contribuendo alla creazione di un sistema di gestione aziendale più solido ed efficiente.
Questo approfondimento rappresenta un passaggio fondamentale per coloro che desiderano comprendere pienamente le opportunità offerte da un approccio integrato e sfruttarle al massimo.
Le tematiche legate alla gestione degli incidenti di sicurezza, come delineato dall’articolo 25 del decreto NIS 2, verranno successivamente affrontate attraverso il filtro dei requisiti della UNI EN ISO 9001:2025 in un articolo successivo che completerà questa serie di approfondimenti.