NIS 2 e ISO 9001: modello ibrido per la gestione integrata della qualità e della cyber security
2024-12-11 10:2:9 Author: www.cybersecurity360.it(查看原文) 阅读量:0 收藏

Le aziende operano, ormai, in un contesto in cui la sicurezza informatica e la qualità dei processi aziendali sono essenziali per la competitività e la sostenibilità: l’integrazione tra la norma UNI EN ISO 9001:2015 “Sistemi di gestione per la qualità – Requisiti” e il decreto di recepimento della NIS 2 rappresenta, dunque, una bella opportunità per le organizzazioni.

Già in due precedenti articoli sono stati analizzati i punti di convergenza tra:

  1. la NIS 2 ed il sistema di gestione della sicurezza delle informazioni (qui);
  2. la UNI EN ISO 9001:2015 e il framework nazionale della cybersicurezza (qui) dove sono stati già analizzati i vantaggi dell’integrazione tra la norma del sistema di gestione della qualità ed uno standard, mirato per le PMI, sulla cybersicurezza.

Siamo sempre più convinti che l’integrazione tra sistemi di gestione rappresenti un modello in costante ascesa, grazie ai numerosi vantaggi che offre, in termini di riduzione dei costi e semplificazione dei processi.

Questo approccio consente di eliminare le ambiguità che possono emergere quando procedure e indicazioni derivanti da standard differenti si contraddicono o si ripetono, compromettendo, così, nel tempo un allineamento costante e generando ridondanze superflue.

Ecco, quindi, che un esempio di tale integrazione è quello tra la norma UNI EN ISO 9001:2015, che disciplina i Sistemi di Gestione della Qualità (SGQ), e il D.lgs.138/2024 (c.d. Decreto NIS 2), che stabilisce le misure di gestione dei rischi di cyber security.

Data la complessità dell’argomento, riteniamo necessario segmentare l’analisi in più fasi.

In questo articolo, ci concentreremo sui punti di convergenza tra i due standard evidenziando come la loro integrazione possa potenziare i sistemi di gestione aziendale.

Successivamente, approfondiremo i “requisiti trasversali” tra la UNI EN ISO 9001:2015 e il Decreto NIS 2, mostrando come questi elementi comuni possano essere valorizzati per sviluppare un approccio integrato che massimizzi la sinergia tra gestione della qualità e sicurezza informatica. Infine, concluderemo la serie analizzando la gestione degli incidenti di sicurezza, come prevista dall’art. 25 del Decreto NIS 2, in relazione ai requisiti della UNI EN ISO 9001:2015.

ISO 9001: un pilastro dei sistemi di gestione della qualità

La norma UNI EN ISO 9001:2015 è uno dei maggiori standard riconosciuto a livello internazionale per i Sistemi di Gestione della Qualità.

Dalla sua prima versione nel 1987, è stata aggiornata diverse volte, con l’ultima revisione nel 2015 e una prossima prevista entro il 2026.

La norma UNI EN ISO 9001:2015 è strutturata in modo tale da poter essere facilmente integrata con altri standard di gestione, rendendola una scelta ideale per le organizzazioni che cercano di unire i requisiti di qualità con quelli imposti dalla normativa cogente.

L’integrazione con la NIS 2, che si concentra sulla sicurezza informatica, rappresenta un passo avanti significativo nella protezione delle aziende contro le minacce cyber.

NIS 2: rafforzare la cyber security nelle organizzazioni

La Direttiva NIS 2, recepita nel nostro ordinamento con il D.lgs.138/2024, è stata sviluppata per migliorare la sicurezza delle reti e delle informazioni all’interno dell’Unione Europea.

L’articolo 24 del decreto di recepimento introduce misure specifiche per la gestione del rischio di cyber security che sono fondamentali per proteggere le organizzazioni da attacchi informatici e altre minacce.

L’integrazione di queste misure con i processi definiti dalla UNI EN ISO 9001:2015 garantisce una migliore protezione dei dati e, nel contempo, facilita anche la gestione integrata dei rischi, unendo in un unico sistema la gestione della qualità e la sicurezza informatica.

Punti di convergenza tra ISO 9001 e NIS 2

I punti di convergenza tra la UNI EN ISO 9001:2015 e il Decreto NIS 2 sono numerosi e più ampi di quanto si possa immaginare.

Basti pensare ai sette principi del Quality Management riportati nella UNI EN ISO 9000:2015 Sistemi di gestione per la qualità – Fondamenti e vocabolario, che fungono da base per l’integrazione tra i due standard:

  1. attenzione al cliente: la soddisfazione del cliente dipende anche dalla protezione dei suoi dati, un aspetto critico sia per la qualità che per la cyber security;
  2. leadership: una leadership forte è essenziale per guidare sia la qualità dei processi che le iniziative di presidio e di sicurezza informatica;
  3. coinvolgimento del personale: il personale deve essere coinvolto e formato su entrambe le discipline per garantire un’efficace gestione integrata, inoltre deve essere consapevole del suo ruolo del contesto della protezione dei dati e del know-how aziendale sia dell’organizzazione che dei suoi clienti;
  4. approccio per processi: un approccio sistemico ai processi permette di includere considerazioni di cyber security all’interno della gestione della qualità, come ad esempio per tutti quei processi che hanno una componente digitalizzata o che fanno/faranno ricorso ad applicazioni di AI;
  5. miglioramento continuo: l’adattamento costante alle nuove minacce informatiche è un aspetto cruciale del miglioramento continuo, che comporta sistemi di monitoraggio delle vulnerabilità ed azioni tempestive proattive;
  6. decisioni basate sui dati: le decisioni informate sono essenziali in entrambi i campi, che si basano su dati concreti per migliorare la qualità e la sicurezza delle informazioni, anche attraverso azioni reattive;
  7. gestione delle relazioni: la sicurezza e la qualità dei servizi richiedono una gestione attenta delle relazioni con tutte le parti interessate.

I sette principi declinati assumono una ulteriore rilevanza considerando quelle organizzazioni il cui campo di applicazione del sistema di gestione della qualità implica la progettazione e/o erogazione e/o assistenza nell’erogazione di servizi nel comparto dell’ICT come, ad esempio, lo sviluppo di applicazioni software (sia stand alone che integrate in un prodotto) o supporto alla gestione dei sistemi informativi delle aziende clienti.

Proposta di modello ibrido: verso un sistema integrato

Unendo i requisiti della UNI EN ISO 9001:2015, acquistabile nel sito www.uni.com, con le misure del decreto di recepimento della NIS 2, le organizzazioni possono sviluppare un modello di gestione integrato che copre sia la qualità che la cyber security.

Un esempio concreto viene dalla considerazione che la soddisfazione del cliente passa anche attraverso la tutela dei suoi dati come esprime in modo inequivocabile il requisito 8.5.3 “Proprietà che appartengono ai clienti ed ai fornitori esterni” laddove stabilisce che: “L’organizzazione deve aver cura della proprietà dei clienti o dei fornitori esterni, quando essa si trova sotto il suo controllo o viene da essa utilizzata. L’organizzazione deve identificare, verificare, proteggere e salvaguardare la proprietà del cliente o del fornitore esterno, messa a disposizione per essere utilizzata o per essere incorporata nei prodotti e servizi.

Quando la proprietà del cliente o del fornitore esterno viene persa, danneggiata o altrimenti riscontrata inadatta all’utilizzo, l’organizzazione deve riferire ciò al cliente o al fornitore esterno e conservare informazioni documentate su quanto accaduto”.

Nota La proprietà del cliente o del fornitore esterno può comprendere materiali, componenti, strumenti e apparecchiature, siti, proprietà intellettuali o dati personali.”

Il requisito evidenzia, in modo pienamente conforme alle disposizioni del decreto NIS 2, l’importanza di tutelare sia la “proprietà intellettuale” sia i “dati personali”, obbligando sia le entità che devono applicare tale normativa, sia quelle che operano nella catena di subfornitura.

Questi aspetti, a loro volta, devono essere regolamentati mediante un accordo contrattuale tra le parti, con particolare riferimento al requisito 8.2, “Requisiti per i prodotti e i servizi,” per quanto concerne il fornitore, al requisito 8.4, “Controllo dei processi, prodotti e servizi forniti dall’esterno,” per il cliente, e al già citato requisito 8.5.3, “Proprietà appartenenti ai clienti e ai fornitori esterni.

Punti di contatto tra le misure NIS 2 e i requisiti ISO 9001

Di seguito vengono riportati, per ciascuna misura prevista dall’art. 24 del D.lgs.138/2024, i requisiti della UNI EN ISO 9001:2015 maggiormente correlati, insieme a una guida su come questi possano essere integrati nell’analisi dei rischi e/o nelle procedure e/o negli scadenzari, al fine di soddisfare quanto richiesto dalla Direttiva.

In particolare, per ogni misura, è necessario:

  1. definire le responsabilità delle varie funzioni coinvolte nelle attività previste;
  2. identificare indicatori per valutare l’efficacia delle misure adottate (considerando ciò che è rilevante);
  3. prevedere registrazioni di supporto, specificando le responsabilità riguardanti le modalità, il luogo e i tempi di conservazione, come stabilito dal requisito 7.5 “Informazioni documentate”;
  4. monitorare lo stato di adozione e mantenimento delle misure attraverso il controllo dei calendari di scadenza;
  5. pianificare e prevedere audit, come richiesto dal requisito 9.2 “Audit interno”, per verificare l’efficacia delle misure implementate.

Inoltre, in maniera trasversale e propedeutica, è fondamentale:

  1. identificare gli elementi di contesto relativi ai sistemi informativi (ad esempio, gestione interna o esterna, principali fornitori), oltre alle normative vincolanti applicabili all’organizzazione;
  2. rilevare le esigenze e le aspettative delle parti interessate in relazione ai dati gestiti dall’organizzazione.
Art. 24 D.lgs.138/2024 Misura tecnica e operativaRequisito/i UNI EN ISO 9001:2015Note integrative
politiche di analisi dei rischi e di sicurezza dei sistemi informatici4.1 Comprendere le esigenze e le aspettative delle parti interessate 4.2 Comprendere le esigenze e le aspettative delle parti interessate 4.4 Sistema di gestione per la qualità e relativi processi 6.1 Azioni per affrontare rischi e opportunitàIntegrare l’analisi dei rischi anche con la componente sulla sicurezza dei sistemi informativi sulla base delle analisi di contesto, delle esigenze e delle aspettative delle parti interessate e dei processi aziendali.
gestione degli incidenti6.1 Azioni per affrontare rischi e opportunità 8.7 Controllo degli output non conformi 10 MiglioramentoIntegrare le procedure relative alla gestione delle NC anche con la componente degli incidenti che impattano sulla sicurezza dei sistemi informatici.Analogamente integrare quella relativa alla gestione delle azioni correttive con le azioni per rimuovere le cause individuate a seguito di un incidente/potenziale incidente che mina la sicurezza delle informazioni ed analogamente prevedere di integrare anche l’analisi dei rischi a seguito di un evento sia reale che potenziale.
continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e gestione delle crisi6.1 Azioni per affrontare rischi e opportunità 7.5 Informazioni documentate 8.1 Pianificazione e controllo operativiIntegrare l’analisi dei rischi anche con la componente di quelli che possono interrompere la catena di fornitura (si veda a riguardo anche i requisiti del sistema di gestione della continuità operativa UNI EN ISO 22301:2019) ed i rischi di accessi da esterni.Integrare l’impianto di procedure con quelle relative alla gestione dei sistemi informatici.Integrare lo scadenzario con la pianificazione dei test (es. vulnerability e penetration), simulazioni di emergenze e di ripristini (es. restore).
Art. 24 D.lgs.138/2024 Misura tecnica e operativaRequisito/i UNI EN ISO 9001:2015Note integrative
sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi6.1 Azioni per affrontare rischi e opportunità 8.4 Controllo dei processi, prodotti e servizi forniti dall’esternoIntegrare l’analisi dei rischi con quelli che derivano dall’affidare ai fornitori alcuni processi aziendali (in tutto o in parte) fermo restando che in molti casi tale scelta è vincolata dal costo e complessità delle soluzioni tecnologiche.Integrare la procedura relativa alla valutazione dei fornitori che impattano sulla sicurezza dei fornitori con elementi da tenere in considerazione sia in fase di scelta iniziale che di mantenimento della qualifica. Le valutazioni vanno estese alla catena di fornitura. Considerare i vincoli posti da fornitori con potere negoziale ampiamente superiore a quello del cliente.Integrare la procedura relativa alla gestione degli ordini di acquisti con i vincoli a vari livelli che devono essere posti ai questa tipologia di fornitori ed ai loro subfornitori.
sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità7.1.3 Infrastrutture 6.1 Azioni per affrontare rischi e opportunità 8.4 Controllo dei processi, prodotti e servizi forniti dall’esterno
strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cibersicurezza4.4 Sistema di gestione per la qualità e relativi processi 6.1 Azioni per affrontare rischi e opportunità 6.2 Obiettivi per la qualità e pianificazione per il loro raggiungimento 8.1 Pianificazione e controllo operativi 9.1.3 Analisi e valutazione 9.2 Audit interni 9.3 Riesame della direzione 10 MiglioramentoIndividuare indicatori per valutare l’efficacia delle misure per la gestione dei rischi di cibersicurezza in relazione ai vari processi aziendali.Definire procedure per il monitoraggio dei tali indicatori (responsabilità, frequenza, tempi) e degli obiettivi/azioni da mettere in campo laddove non fossero raggiunti e per migliorarli costantemente.Pianificare ed eseguire audit sull’efficacia delle misure di cibersicurezza implementateRendicontare tali indicatori nel riesame della direzione.
Art. 24 D.lgs.138/2024 Misura tecnica e operativaRequisito/i UNI EN ISO 9001:2015Note integrative
politiche e procedure relative all’uso della crittografia e, se del caso, della cifratura7.5 Informazioni documentate 8.5 Produzione ed erogazione dei servizi (*)Integrare l’analisi dei rischi con quelli che derivano dagli accessi ai sistemi laddove sono necessarie misure di crittografia e cifratura.Integrare lo scadenzario con la verifica ad intervalli dell’adeguatezza dei sistemi di crittografia e di cifratura utilizzati.Integrare le procedure interne ed in particolare quelle che afferiscono alla progettazione, erogazione ed assistenza del prodotto servizio anche con la componente di misure di crittografia e cifratura.
sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi7.1.2 Persone 7.1.3 Infrastrutture 7.1.4 Ambiente per il funzionamento dei processi (**)Integrare il set di procedure relative alle risorse umane (non solo dipendenti) con quelle relative al processo di incoming, outcoming, cambio mansione, gestione lunghe assenze. Tali procedure devono comprendere tutti gli aspetti e non solo quelli relativi alla formazione (vedi punto g), come ad esempio la definizione ed assegnazione di privilegi di accesso ai sistemi in base al ruolo ricoperto, il monitoraggio delle attività, la conservazione della posta elettronica al termine della collaborazione, ecc.Integrare lo scadenzario con la pianificazione di controlli e test sulla consapevolezza del personale (es. simulazione di fishing).
Art. 24 D.lgs.138/2024 Misura tecnica e operativaRequisito/i UNI EN ISO 9001:2015Note integrative
uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso7.4 Comunicazione 7.5 Informazioni documentate 8.5 Produzione ed erogazione dei servizi (*)Integrare l’analisi dei rischi con quelli che derivano dagli accessi ai sistemi ed in particolare a quelli di comunicazione ed a quelli di comunicazione in fase di emergenza.Integrare lo scadenziario con la verifica ad intervalli del funzionamento dei sistemi di comunicazione di emergenza.Integrare la procedura relativa ai sistemi di comunicazione interna che con le misure da mettere in atto per tutelare i sistemi di comunicazione interna anche in condizioni di emergenza.Integrare le procedure interne ed in particolare quelle che afferiscono alla progettazione, erogazione ed assistenza del prodotto servizio anche con la componente di misure di cibersicurezza per la protezione delle comunicazioni lato cliente/fornitore e più in generale terze parti anche in condizioni di emergenza (***).
(*) riferimento al requisito nel caso in cui il campo di applicazione del sistema di gestione della qualità dell’organizzazione impattasse nel comparto ICT come per lo sviluppo di piattaforme tecnologiche, la fornitura di sevizi di digitalizzazione di documenti, la consulenza e assistenza tecnica per lo sviluppo di sistemi di sicurezza informatica e delle informazioni eccetera.
(**) la UNI EN ISO 9001:2025 è carente per quanto riguarda la tenuta sotto controllo degli accessi fisici.
(***) Si veda in particolare il requisito della UNI EN ISO 9001:2015 8.2.1 Comunicazione con il cliente “La comunicazione con i clienti deve comprendere: e) la definizione di specifici requisiti per le azioni di emergenza, quando pertinente.”

Verso un nuovo standard di eccellenza

L’adozione di un modello integrato che combini la UNI EN ISO 9001:2015 con la NIS 2 costituisce un passo decisivo verso un nuovo standard di eccellenza nella gestione aziendale.

Le organizzazioni che scelgono questa integrazione potranno ottimizzare la propria efficienza operativa e distinguersi anche per la capacità di tutelare i dati e di rispondere con tempestività alle minacce informatiche.

Questo approccio globale incarna il futuro della gestione integrata, in cui qualità e sicurezza informatica non sono più elementi distinti, ma componenti sinergiche di un unico sistema efficace e innovativo.

I prossimi passi del percorso di analisi

Si è cercato di dimostrare come l’integrazione tra la norma UNI EN ISO 9001:2015 e il decreto di recepimento della direttiva NIS 2 rappresenti una grande opportunità per le organizzazioni che cercano di ottimizzare i loro processi e di proteggersi dalle crescenti minacce informatiche.

Un modello ibrido, che unisce la gestione della qualità con la cyber security migliora l’efficienza operativa e, contestualmente, contribuisce a costruire un sistema di gestione più resiliente e sicuro.

In un mondo sempre più interconnesso, questa integrazione non è solo auspicabile, ma necessaria per garantire il successo a lungo termine delle organizzazioni.

Ma il nostro percorso di analisi non si conclude qui.

In un prossimo articolo, ci concentreremo sui “requisiti trasversali” tra la UNI EN ISO 9001:2015 e il decreto NIS 2.

Esamineremo come i requisiti comuni possano essere valorizzati per sviluppare un approccio integrato, in grado di massimizzare la sinergia tra la gestione della qualità e la sicurezza informatica. Analizzeremo nel dettaglio in che modo questi elementi condivisi possano potenziare l’implementazione delle due normative, contribuendo alla creazione di un sistema di gestione aziendale più solido ed efficiente.

Questo approfondimento rappresenta un passaggio fondamentale per coloro che desiderano comprendere pienamente le opportunità offerte da un approccio integrato e sfruttarle al massimo.

Le tematiche legate alla gestione degli incidenti di sicurezza, come delineato dall’articolo 25 del decreto NIS 2, verranno successivamente affrontate attraverso il filtro dei requisiti della UNI EN ISO 9001:2025 in un articolo successivo che completerà questa serie di approfondimenti.


文章来源: https://www.cybersecurity360.it/legal/nis-2-e-iso-9001-modello-ibrido-per-la-gestione-integrata-della-qualita-e-della-cyber-security/
如有侵权请联系:admin#unsafe.sh