Il dominio Identification (ID) delle specifiche baseline NIS definisce come i soggetti mantengono visibilità sugli asset, valutano il rischio cyber, pianificano i trattamenti e gestiscono il miglioramento continuo. In ottica compliance, i controlli ID sono il ponte tra decisioni di governance e priorità di implementazione tecnica.
Fonti: Determinazione ACN obblighi di base, Guida ACN lettura specifiche
Punti chiave
- I controlli di identificazione non sono solo inventari: includono valutazione del rischio, gestione vulnerabilità e miglioramento.
- La visibilità su asset, software, servizi e forniture è necessaria per decisioni di rischio affidabili.
- Le valutazioni del rischio devono essere documentate, aggiornate periodicamente e collegate a piani formali di trattamento.
- Piani di miglioramento e aggiornamenti devono essere tracciabili e, dove previsto, approvati a livello governance.
Fonti: Determinazione ACN obblighi di base
Modello ID in pratica
1. Gestione degli asset (ID.AM)
Mantenere inventari aggiornati di asset fisici, software/servizi e componenti di rete/servizio rilevanti per le attività critiche.
2. Valutazione del rischio (ID.RA)
Identificare vulnerabilità, valutare minacce/vulnerabilità/probabilità/impatto e documentare le decisioni di rischio con trigger di riesame periodico.
3. Trattamento del rischio (ID.RA-06)
Definire opzioni di trattamento, priorità, responsabilità e tempistiche di attuazione per ciascuno scenario di rischio rilevante.
4. Processo vulnerabilità (ID.RA-08)
Stabilire processi formali di ricezione, analisi e risposta alle segnalazioni di vulnerabilità con tracking remediation.
5. Ciclo di miglioramento (ID.IM)
Usare incidenti, risultati di monitoraggio e riesami per aggiornare piani e migliorare controlli e resilienza.
Fonti: Determinazione ACN obblighi di base, Guida ACN lettura specifiche
Set minimo di evidenze per prontezza ID
| Area ID | Obiettivo pratico | Evidenze tipiche |
|---|---|---|
| ID.AM | Visibilità completa e aggiornata di asset/servizi rilevanti | Inventari asset, inventari servizi, log aggiornamento |
| ID.RA | Valutazione rischio ripetibile e documentata | Report risk assessment, metodologia, atti approvazione |
| ID.RA-06 | Decisioni di trattamento prioritarizzate e assegnate | Piano trattamento rischio, matrice owner, scadenze |
| ID.RA-08 | Ricezione e remediation vulnerabilità governate | Procedura vulnerability management, registri remediation |
| ID.IM | Miglioramento continuo da lesson learned | Piano miglioramento, registro aggiornamenti, esiti riesami |
Fonti: Determinazione ACN obblighi di base
Checklist operativa per 90 giorni
- Riconciliare gli inventari esistenti e definire owner e cadenza di aggiornamento.
- Validare la metodologia di risk assessment e formalizzare trigger di riesame.
- Costruire o aggiornare il piano di trattamento rischio con priorità e scadenze misurabili.
- Formalizzare il flusso di intake e remediation vulnerabilità con accountability chiara.
- Creare un registro di miglioramento ID collegato a incidenti, audit e riesami direzionali.
FAQ
I controlli ID si limitano all’inventario degli asset?
No. Il dominio ID include inventari, valutazione del rischio, piano di trattamento, processi vulnerabilità e miglioramento continuo. Fonte: Determinazione ACN obblighi di base
Ogni quanto va aggiornata la valutazione del rischio?
Il modello baseline prevede aggiornamenti periodici e ulteriori riesami in caso di incidenti, cambiamenti organizzativi o variazioni dell’esposizione. Fonti: Determinazione ACN obblighi di base, Guida ACN lettura specifiche
Qual è l’output operativo richiesto da ID.RA-06?
Un piano di trattamento documentato con opzioni selezionate, owner responsabili, sequenza di attuazione e tempistiche. Fonte: Determinazione ACN obblighi di base