Punti chiave
- NIST CSF 2.0 è un framework volontario di gestione del rischio organizzato su Govern, Identify, Protect, Detect, Respond e Recover.
- ISO/IEC 27001:2022 è uno standard certificabile per sistemi di gestione della sicurezza delle informazioni.
- La NIS 2 non è una scelta di framework: per i soggetti nel perimetro è un obbligo legale recepito in Italia dal D.Lgs. 138/2024.
- La baseline ACN traduce parte dell'attuazione italiana della NIS in aspettative operative di sicurezza per i soggetti NIS.
- La scelta dipende dall'obiettivo: certificazione, conformità legale, linguaggio di rischio per il board o baseline operativa.
- Le organizzazioni mature li combinano, invece di sceglierne uno in modo isolato.
Ambito di questo articolo
Questo articolo confronta NIST CSF, ISO/IEC 27001, NIS 2 e baseline ACN per organizzazioni italiane. Spiega finalità, natura giuridica, valore certificativo e combinazione pratica.
Perché esistono framework diversi
I framework di cybersecurity sono diversi perché risolvono problemi di governance diversi. Alcuni creano un linguaggio comune del rischio. Alcuni definiscono requisiti certificabili per sistemi di gestione. Alcuni impongono obblighi legali. Altri traducono la legge in controlli operativi.
L'errore è chiedere quale framework sia migliore in astratto. La domanda corretta è: quale decisione deve supportare l'organizzazione? Una conversazione di rischio con il board, una certificazione richiesta da un cliente, un obbligo NIS 2 e una revisione delle evidenze ACN non richiedono lo stesso identico artefatto.
NIST Cybersecurity Framework 2.0
NIST descrive il Cybersecurity Framework come uno strumento per aiutare le organizzazioni a comprendere e migliorare la gestione del rischio cybersecurity (NIST Cybersecurity Framework). La versione 2.0 è organizzata in sei funzioni: Govern, Identify, Protect, Detect, Respond e Recover.
NIST CSF è utile quando l'organizzazione cerca un modello strategico, un linguaggio per il management, profili current e target, e mapping verso altri riferimenti. È volontario e non è uno standard di certificazione. Il suo valore è chiarezza, priorità e comunicazione.
ISO/IEC 27001:2022
ISO/IEC 27001 è uno standard per sistemi di gestione della sicurezza delle informazioni. ISO lo descrive come lo standard più conosciuto per gli ISMS e indica che definisce i requisiti che un SGSI deve soddisfare (ISO/IEC 27001:2022).
ISO/IEC 27001 è utile quando clienti, partner o regolatori si aspettano un modello certificabile. Struttura risk assessment, controlli, riesame della direzione, audit interno, azioni correttive e miglioramento continuo. Non elimina gli obblighi legali, ma offre un sistema operativo disciplinato per gestirli.
NIS 2 e Decreto Legislativo 138/2024
NIS 2 è una direttiva europea di cybersicurezza per settori e soggetti che erogano servizi essenziali o importanti. Include obblighi di gestione del rischio, governance e notifica incidenti. L'Italia l'ha recepita con il Decreto Legislativo 138/2024 (Direttiva (UE) 2022/2555, Decreto Legislativo 138/2024).
Per un soggetto nel perimetro, la NIS 2 non è opzionale e non può essere sostituita da un altro framework. ISO/IEC 27001 o NIST CSF possono aiutare a organizzare il lavoro, ma perimetro legale, scadenze, notifiche e poteri di vigilanza derivano dal quadro NIS.
Baseline ACN e categorizzazione
In Italia, ACN fornisce determinazioni operative, guide e procedure di piattaforma per i soggetti NIS. Le misure di base e il modello di categorizzazione rendono il programma NIS più concreto: le organizzazioni devono tradurre obblighi generali in governance, inventario, rischio, incidenti, continuità ed evidenze.
Per il contesto italiano, leggi le guide Aegister sulle misure di base ACN e sulla categorizzazione di attività e servizi NIS.
Tabella di confronto rapido
| Dimensione | NIST CSF 2.0 | ISO/IEC 27001:2022 | NIS 2 | Baseline ACN |
|---|---|---|---|---|
| Origine | NIST, Stati Uniti | ISO e IEC | Unione europea | ACN Italia |
| Natura | Framework volontario | Standard certificabile | Obbligo legale per soggetti nel perimetro | Requisito o guida operativa nazionale |
| Finalità | Comunicazione del rischio e struttura del programma | Governance del sistema di gestione | Resilienza cyber e accountability incidenti | Attuazione concreta per soggetti NIS italiani |
| Certificazione | No | Sì, tramite organismi accreditati | Nessuna certificazione sostitutiva generale | Nessuna certificazione sostitutiva generale |
| Approccio | Profili e funzioni risk-based | SGSI risk-based con controlli | Obblighi di gestione rischio e reporting | Controlli operativi e aspettative evidenziali |
| Segnale al mercato | Maturità e linguaggio comune | Assurance auditabile verso clienti | Conformità regolatoria | Readiness NIS italiana |
Mapping operativo: come si combinano
Un'architettura pragmatica usa NIST CSF come mappa executive, ISO/IEC 27001 come sistema di gestione certificabile, NIS 2 come perimetro legale e misure base ACN come checklist operativa italiana.
Così si evita duplicazione. Un risk assessment può servire ISO/IEC 27001, NIS 2 e governance del board. Un controllo di log management può supportare evidenze ACN, prontezza incidenti NIS 2 e funzione Detect del NIST. Una procedura fornitori può servire controlli ISO, misure NIS 2 sulla supply chain e assurance procurement.
Quale framework adottare per primo
| Situazione | Punto di partenza | Perché |
|---|---|---|
| Sei nel perimetro NIS 2 in Italia | Perimetro legale NIS + baseline ACN | Scadenze e aspettative di vigilanza vengono prima |
| Ti serve una certificazione verso clienti | ISO/IEC 27001 | È certificabile e riconosciuta |
| Ti serve una roadmap executive | NIST CSF 2.0 | È chiaro per governance e profili target |
| Vuoi ridurre lavoro duplicato | Mappa controlli combinata | Un modello evidenziale può servire più regimi |
Errori comuni nell'adozione
- Confondere cataloghi di controllo e sistemi di gestione: i controlli non sostituiscono la governance.
- Scegliere l'etichetta popolare: il framework adatto dipende da perimetro legale e obiettivo business.
- Duplicare evidenze: fogli separati per ogni regime producono risposte incoerenti.
- Trattare i framework come checklist: contesto di rischio e ownership contano più della spunta formale.
- Ignorare le specificità ACN: i framework globali devono essere mappati ai requisiti NIS nazionali.
Come Aegister usa questo mapping
Il percorso di certificazione ISO di Aegister, i contenuti NIS 2 e il lavoro sulle misure ACN sono pensati per convergere, non per creare binari paralleli. Per approfondire, leggi la panoramica sulle certificazioni ISO Aegister, la news sulla certificazione ISO 27001, l'articolo su UNI/PdR 174:2025 e la guida sull'impatto NIS 2.
Le organizzazioni che devono costruire un modello operativo possono combinare supporto Virtual CISO e tracciamento evidenze nella Cyber Console.
Esempio di mapping: gestione incidenti
La gestione incidenti mostra perché il mapping tra framework conta. Lo stesso processo operativo può soddisfare più aspettative se viene progettato una volta sola e documentato in modo coerente.
| Famiglia di requisiti | Cosa richiede | Evidenza riutilizzabile |
|---|---|---|
| NIST CSF Respond | Pianificare ed eseguire attività di risposta | Piano incident response, playbook, lessons learned |
| ISO/IEC 27001 | Gestire incidenti di sicurezza e miglioramenti | Procedura, registro incidenti, azioni correttive |
| NIS 2 | Gestire e notificare incidenti significativi nei tempi legali | Procedura di notifica, matrice escalation, log evidenze |
| Baseline ACN | Documentare misure operative di gestione incidenti | Ruoli, esercitazioni, log, registri comunicazioni |
Se questi record restano in sistemi separati, l'organizzazione duplica lavoro e aumenta l'incoerenza. Se sono mappati centralmente, un fascicolo incidente può supportare riesame direzione, audit, assurance clienti e readiness regolatoria.
Certificazione e conformità non sono la stessa cosa
La certificazione ISO/IEC 27001 può essere un segnale forte per il mercato, ma non dimostra automaticamente la conformità a ogni regime legale. Dimostra che l'organizzazione opera un SGSI nel perimetro certificato e rispetto ai requisiti dello standard.
La conformità legale dipende dal perimetro. Un SGSI certificato può escludere una business unit rilevante per NIS 2. Un soggetto NIS può richiedere workflow di notifica incidenti che vanno oltre l'audit di certificazione. Al contrario, un'organizzazione fuori NIS 2 può usare ISO/IEC 27001 per dimostrare maturità ai clienti.
Reporting al board tra framework
Il board non ha bisogno di quattro dashboard parallele. Ha bisogno di una vista unificata su esposizione al rischio, maturità controlli, scadenze regolatorie, finding aperti e decisioni di investimento.
Un board pack sintetico può mappare ogni obiettivo a evidenze: risk assessment, asset critici, readiness incidenti, esposizione fornitori, backlog vulnerabilità, finding di audit e milestone regolatorie. I nomi dei framework dovrebbero supportare decisioni, non nasconderle dietro terminologia.
Casi d'uso per esigenza organizzativa
| Esigenza | Riferimento primario | Riferimento complementare |
|---|---|---|
| Assurance verso clienti | ISO/IEC 27001 | NIST CSF per narrativa executive |
| Readiness legale NIS | NIS 2 e baseline ACN | ISO/IEC 27001 per disciplina del sistema di gestione |
| Roadmap cyber per il board | NIST CSF 2.0 | Controlli ACN o ISO per evidenze |
| Questionari fornitori | ISO/IEC 27001 e mapping NIS | Security evidence pack |
| Cybersecurity di prodotto | Cyber Resilience Act | ISO/IEC 27001 e controlli secure development |
Come evitare lavoro duplicato
Costruisci una sola libreria controlli e mappa ogni controllo a più requisiti. Per esempio, lo stesso controllo di access review può supportare ISO/IEC 27001, governance NIS 2, questionari clienti e risultati NIST Identify/Protect. La stessa esercitazione incidenti può supportare readiness di notifica NIS 2, miglioramento ISO e funzione Respond del NIST.
L'artefatto pratico è una crosswalk: requisito, controllo, owner, evidenza, frequenza e stato. È più utile di una policy lunga che nessuno aggiorna.
Quando serve supporto esterno
Il supporto esterno è utile quando l'organizzazione non ha esperienza di mapping tra framework, riceve richieste cliente contrastanti, prepara una certificazione o deve tradurre requisiti legali in misure tecniche e organizzative. L'advisor non dovrebbe consegnare solo template; dovrebbe lasciare un modello evidenziale riutilizzabile.
Percorso di maturità per organizzazioni italiane
Un percorso pratico di maturità parte dagli obblighi e poi costruisce governance riutilizzabile. Il primo passo è il legal scoping: NIS 2, DORA, GDPR, CRA, contratti cliente e obblighi settoriali. Il secondo passo è una mappa di controlli base su identità, asset, vulnerability management, logging, incident response, backup e rischio fornitori.
Il terzo passo è la disciplina evidenziale. Ogni controllo dovrebbe avere owner, frequenza, prova e meccanismo di riesame. Il quarto passo è certificazione o assurance esterna, quando il business richiede fiducia di mercato o validazione clienti. Il quinto passo è miglioramento continuo, in cui finding di audit, lessons learned e review fornitori aggiornano il modello controlli.
Questo ordine evita l'errore comune di inseguire una certificazione prima di capire gli obblighi vincolanti, oppure implementare misure legali senza un sistema di gestione capace di mantenerle vive.
Set minimo di artefatti pratici
- crosswalk tra requisiti NIST, ISO, NIS 2 e ACN;
- registro rischi collegato a servizi e asset critici;
- libreria controlli con owner, evidenza e frequenza di riesame;
- procedure incidenti e vulnerabilità con registri reali;
- modello supplier assurance per clausole cyber e richieste evidenze;
- template di reporting al board centrato su decisioni e rischio residuo.
Come comunicare la scelta internamente
La scelta del framework dovrebbe essere spiegata in termini business. Usa NIS 2 e ACN quando il driver è il perimetro legale. Usa ISO/IEC 27001 quando il driver è fiducia cliente e certificazione. Usa NIST CSF quando il driver è un linguaggio strategico comune. Così i team non trattano la scelta come una discussione astratta tra standard.
FAQ
Qual è il miglior framework di cybersecurity?
Non esiste un vincitore universale. NIST CSF aiuta la governance, ISO/IEC 27001 la certificazione, NIS 2 gli obblighi legali e baseline ACN l'attuazione italiana.
NIST CSF e ISO 27001 sono compatibili?
Sì. NIST CSF può fornire una mappa executive del rischio, mentre ISO/IEC 27001 offre una struttura certificabile di sistema di gestione.
La NIS 2 obbliga ad avere ISO 27001?
La NIS 2 non impone certificazione ISO/IEC 27001 come requisito universale, ma ISO può aiutare a strutturare evidenze e governance.
Le misure base ACN sostituiscono ISO 27001?
No. Le misure base ACN supportano gli obblighi NIS italiani. ISO/IEC 27001 è uno standard certificabile distinto.