Nel contesto della cybersicurezza, una misura di sicurezza è un insieme di controlli, procedure e strumenti organizzativi e tecnici adottati per proteggere le reti, i sistemi informativi e i dati da rischi e minacce informatiche. Le misure sono finalizzate a garantire la riservatezza, l’integrità e la disponibilità delle informazioni e dei servizi essenziali, prevenendo incidenti e minimizzando l’impatto di attività malevole.
Le misure di sicurezza previste dalla normativa italiana sono mutuate dal NIST Cybersecurity Framework (CSF), uno standard ampiamente riconosciuto e adottato a livello internazionale, e in particolare dal Framework Nazionale per la Cybersecurity e la Data Protection, sviluppato e adottato in Italia, che riprende la struttura e la logica del NIST CSF ma adattandolo al contesto normativo e operativo italiano.
Nella loro dimensione massimalista, le misure di sicurezza non sono meri adempimenti prescrittivi, ma rappresentano obiettivi di sicurezza: risultati desiderati che ogni organizzazione deve raggiungere, adattando le modalità di attuazione al proprio contesto, alla valutazione del rischio e alle specificità operative.
Questo approccio per obiettivi permette flessibilità e personalizzazione, pur garantendo un livello minimo di sicurezza uniforme per tutti i soggetti obbligati.
Il NIST Cybersecurity Framework (versione 2.0) e il Framework Nazionale italiano suddividono le misure in sei classi principali (Functions), ciascuna articolata in categorie e sottocategorie:
Govern (GV), ha come obiettivo la definizione di strategie, politiche, ruoli e responsabilità per la gestione del rischio cyber;
Identify (ID), richiede la mappatura e comprensione degli asset, dei rischi e delle vulnerabilità per dare priorità agli interventi;
Protect (PR), per l’implementazione di controlli per prevenire o limitare l’impatto degli incidenti;
Detect (DE), ha lo scopo di sviluppare capacità di rilevare tempestivamente eventi e anomalie che indicano possibili incidenti cyber;
Respond (RS), pone come obiettivo la gestione ed il contenimento degli incidenti, la comunicazione e l’analisi degli eventi;
Infine Recover (RC), sul ripristino delle attività e delle operazioni dopo un incidente, nonché il miglioramento continuo delle capacità di risposta.
Tutte queste classi di misure sono strutturare per coprire l’intero ciclo di vita della sicurezza informatica, dalla governance alla risposta e recupero, e sono declinate in requisiti specifici sia di tipo tecnico che organizzativo.