Creazione di una campagna di compliance, basata sui requisiti base rilasciati a Febbraio 2025 dall’agenzia per la cyber sicurezza nazionale, è rivolta ai dipartimenti di IT e ai principali fornitori critici.

La campagna è stata sviluppata in modalità questionario creando una checklist rivolta a raccogliere le informazioni sulle aree definite dalla NIS2, quali:

• Politiche di analisi dei rischi e di sicurezza dei sistemi informativi e di rete
• Sicurezza e affidabilità del personale, politiche di controllo dell’accesso e gestione dei beni e degli assetti.
• Sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informativi e di rete, ivi comprese la gestione e la divulgazione delle vulnerabilità.
• Sicurezza della catena di approvvigionamento, ivi compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi.
• Politiche e procedure per valutare l’efficacia delle misure di gestione dei rischi per la sicurezza informatica
• Continuità operativa, ivi inclusa la gestione di backup, il ripristino in caso di disastro, ove applicabile, e gestione delle crisi.
• Uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette, e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, ove opportuno.
• Pratiche di igiene di base e di formazione in materia di sicurezza informatica
• Politiche e procedure relative all’uso della crittografia e, ove opportuno, della cifratura.
• Gestione degli incidenti, ivi incluse le procedure e gli strumenti per eseguire le notifiche di cui agli articoli 25 e 26.

Per l’analisi dei risultati è stata utilizzata la stessa metrica di valutazione della maturità utilizzata già in azienda e gli impatti sono stati valutati usando la stessa matrice già utilizzata per l’enterprise risk management.

• Report di assessment di conformità alla direttiva NIS2: Un report dettagliato che descrive i risultati dell’assessment, i rischi identificati e le raccomandazioni per il miglioramento.
• Piano di azione: Un piano di azione che delinea i passi da intraprendere per implementare le raccomandazioni del report.
• Presentazione dei risultati: Una presentazione dei risultati dell’assessment al management dell’organizzazione.

• La soluzione sviluppata per il cliente è un assessment basato sui Fundation Requirements (FR) e Security Requirements (SR) della IEC 62443.
• Ad ogni SR è stato associato un tipo di evidenza che forniva la certezza della configurazione dichiarata.
• L’assessment è stato somministrato a 7 fornitori OT coinvolti nella fornitura, manutenzione e monitoraggio di apparati PLC, SCADA e sensori.
• L’analisi dei dati ha consentito di evidenziare i gap in termini di conformità del Security Level Target (SL-T) stabilito dal Cliente rispetto al Security Level Actual (SL-A).
• Il Cliente ha ricevuto un report sullo stato di conformità generale e un report per ogni fornitore coinvolto.
• Attualmente il Cliente è impegnato nello sviluppo dei piani di mitigazione per raggiungere il SL-T che si è prefissato. 
• Il Cliente coinvolgerà nuovamente UniCompliance per valutare a distanza di un anno se le azioni di rimedio sono state applicate e se il SL-A si è avvicinato al SL-T. Le informazioni fornite nel primo assessment sono permanenti e i fornitori possono aggiornarle quando necessario.

• Report di analisi preliminare
• Report di valutazione della conformità
• Documento di identificazione delle lacune

La parte di remediation è stata curata dal Cliente e sviluppata internamente assieme agli esperti delle tecnologie OT coinvolte

Per la valutaizone dei rischi legati ai fornitori critici sono stati sviluppati due metodi distinti.

Il primo è basato su un assessment con i requisiti legati alla ISO 27005 e i controlli della IS027002. Questo primo metodo consente di valutare la situazione as-is e tutti i gap esistenti rispetto al framework stabilito dal Cliente.

Il secondo metodo si basa su una matrioce di valutazione dei rischi cyber che prende in ingresso le valutazione di compliance provenienti dall’assessment e calcola l’esposizione a un determinato elenco di minacce e vulnerabilità.

La combinazione di questi due metodi permette di avere una valutazione dei rischi legati all’uso delle terze parti e, cosa più importante, un metodo per la previsione dell’esposizione al cambiare delle misure di mitigazione.

• Report di Third Party Risk Assessment: Un report dettagliato che descrive i risultati dell’assessment, i rischi identificati e le raccomandazioni per il miglioramento.
• Piano di azione: Un piano di azione che delinea i passi da intraprendere per implementare le raccomandazioni del report.
• Presentazione dei risultati: Una presentazione dei risultati dell’assessment al management dell’organizzazione.

La soluzione sviluppata parte del modello tipo usato dal cliente per stipulare i Data Privacy Agreement (DPA) con i propri fornitori.

Una volta stabilito l’elenco dei requisiti che il Cliente intende verificare dopo la stipula del contratto, si è passati a definiti una campagna di compliance su tutti i fornitori i quali hanno partecipato fornendo le evidenze  riguardanti il trattamento dei dati personali.

Alcuni controlli riguardavano i tipi aspetti del GDPR come il registro dei trattamenti, e le informative agli utenti. Mentre aspetti più specifici riguardavano i nominativi degli amministratori di sistema e le misure specifiche di protezione da malware.

Questo strumento permette la valutazione della compliance ai requiiti di privacy e, allo stesso tempo, e consente di stimare i profgressi al variare dei piani di mitigazione.

• Report di assessment sulla privacy: Un report dettagliato che descrive i risultati dell’assessment, i rischi identificati e le raccomandazioni per il miglioramento.
• Piano di azione: Un piano di azione che delinea i passi da intraprendere per implementare le raccomandazioni del report.
• Presentazione dei risultati: Una presentazione dei risultati dell’assessment al management dell’organizzazione.

La soluzione è basata su un assessment che raccoglie tutti i parametri stabiliti per la parte ESG come ambiente, rispetto dei diritti del lavoro, acquisiti sostenibili e la loro governance.

Ogni sezione è stata configurata con una seie di parametri legati al contesto come ad esempio la definizione e misurazione degli scope 1, 2 e 3 per il monitoraggio dei consumi.

La campagna di compliance ESG è stata somministrata a tutti i fornitori coinvolti in aspetti ambientali e hanno a dispozione la campagna per fornire ulteriori informazioni una volta che i piani di mitigazione saranno implementati.

Il Cliente ha anche fornito un algoritmo per la valutazione dello score ESG.

• Report di valutazione ESG: Un report dettagliato che descrive i risultati della valutazione, il punteggio ESG dell’organizzazione, i rischi e le opportunità identificati e le raccomandazioni per il miglioramento.
• Piano di azione: Un piano di azione che delinea i passi da intraprendere per implementare le raccomandazioni del report.
• Presentazione dei risultati: Una presentazione dei risultati della valutazione al management dell’organizzazione.

La soluzione è stata sviluppata combinando due campagne di compliance distinte e separate.

La prima è basata su un questionario definito sui requisiti della norma ISO 22301 ed è rivolta ai fornitori meno critici, dove la criticità è stata stabilita secondo il framework adottato dal cliente stesso.

La seconda campagna invece è stata basata su una review, ossia un assessment a cui sono state aggiunte delle interviste su alcuni punti chiave della campagna stessa, come ad esempio il rispetto dei tempi di recovery objective (RTO e RPO) e la configurazione di disaster recovery adottato dal fornitore.

La combinazione di questi due metodi ha consentito di salvare tempo nella compilazione delle campagne da parte dei fornitori, e ha ottimizzato i tempi di analisi dei dati forniti.

La combinazione di queste due campagne ha creato un metodo che ha fornito una mappa di quelli che sono i gap in termini di business continuity e disaster recovery, ha consentito di individuare quelli che sono i fornitori che hanno delle carenze in termini di disaster recovery, ma soprattutto ha permesso di avere un modello di previsione che si può aggiornare man mano che i fornitori implementeranno i loro piani di mitigazione.

Il risultato del report finale ha consentito anche alla business unit di procurement di calibrare meglio quelli che sono gli accordi contrattuali e di specificare in maniera più chiara quelli che sono i requisiti di business continuity e disaster recovery.

• Report di assessment BC/DR: Un report dettagliato che descrive i risultati dell’assessment, le lacune identificate e le raccomandazioni per il miglioramento.
• Piano di azione: Un piano di azione che delinea i passi da intraprendere per implementare le raccomandazioni del report.
• Presentazione dei risultati: Una presentazione dei risultati dell’assessment al management dell’organizzazione.