In questi giorni è stata pubblicata la versione 2.1 del Framework Nazionale per la Cybersecurity e la Data Protection – Edizione 2025 (FNCDP v2.1).
Si tratta di una pubblicazione molto importante anche per la Direttiva NIS 2, perché questo framework diventa lo strumento indicato da ACN (Agenzia per la Cybersicurezza Nazionale) per l’adeguamento alle misure di sicurezza prescritte dalla NIS 2 e dal decreto legislativo 4 settembre 2024, n.138 con il quale l’Italia ha recepito direttiva europea.
Ecco cosa cambia nel FNCDP v2.1.
Indice degli argomenti
Cosa cambia nel FNCDP v2.1
La nuova versione del FNCDP v2.1 è sostanzialmente la traduzione in italiano del NIST CSF v2.0, con alcune differenze che andremo ad evidenziare.
Mantiene lo stesso approccio pragmatico della precedente versione, salvo che le Functions sono passate da cinque a sei e sono le seguenti:
- Govern (GV) (governare);
- Identify (ID) (identificare);
- Protect (PR) (proteggere);
- Detect (DE) (indagare);
- Respond (RS) (reagire);
- Recover (RC) (riparare).
Ogni funzione prende il nome da un verbo che ne riassume il contenuto ed è suddivisa in categorie.
Le sottocategorie
Le sottocategorie dividono ulteriormente ogni categoria in risultati più specifici delle attività tecniche e gestionali e rappresentano – in sostanza – i singoli controlli da verificare ed eventualmente implementare dall’organizzazione.
Le funzioni organizzano le attività di base della cyber security al loro livello più alto e strutturano la gestione del rischio di cyber security in modo sequenziale, secondo una scansione temporale rispetto all’incidente informatico, con un “prima” (Identify e Protect), un “durante (Detect) ed un “dopo” (Respond e Recover).
La struttura del FNCDP v2.1 è molto simile, salvo che nella Function Identify (ID) è stata aggiunta la Category Data Management (DP-ID.DM) che contiene cinque Subcategory che sono riferite alla privacy e richiamano le norme del GDPR (che ovviamente non esiste nella versione del NIST.
Quindi nel FNCDP v2.1 le Category sono in totale 23 all’interno delle quali le Subcategory sono 114, così suddivise:
- Govern (GV) (governare): 32 Subcategory;
- Identify (ID) (identificare): 28 Subcategory;
- Protect (PR) (proteggere): 22 Subcategory;
- Detect (DE) (indagare): 10 Subcategory;
- Respond (RS) (reagire): 14 Subcategory;
- Recover (RC) (riparare): 8 Subcategory.
Come si utilizza il file Excel del FNCDP v2.1
Il file è molto semplice nella sua struttura: è composto di quattro colonne:
- Function: n.6;
- Category: n.23;
- Subcategory: n.114. Rappresentano i controlli che dovranno essere eseguiti per verificare il livello di sicurezza dell’organizzazione;
- Informative References: in questa colonna per ogni riga di Subcategory sono elencati i documenti a cui fare riferimento per avere maggiori informazioni sui controlli da verificare.
Per esempio, tra le 4. Informative References sono richiamate:
- CCMv4.0: le Implementation Guidelines della CSA (Cloud Security Alliance);
- CRI Profile v2.0: documento del The Cyber Risk Institute (CRI);
- NIST SP 800-53 Rev 5.1.1;
- NIST SP 800-221A;
- ISO/IEC 29100:2011;
- ISO/IEC 29151:2017;
- ISO/IEC 27018:2014,
- CIS Controls v8.0;
- GDPR eccetera.
Consultando queste referenze sarà possibile comprendere meglio e con un maggiro livello di dettaglio come mettere in pratica in controlli indicati nel Framework.
La storia del Framework Nazionale per la Cybersecurity e la Data Protection
Il FNCDP italiano deriva direttamente dal NIST Cybersecurity Framework (CSF) del 12 febbraio 2014 con nome di “Framework for Improving Critical Infrastructure Cybersecurity” versione 1.0.
Da questo Framework derivò la prima versione italiana, pubblicata con il nome di “2015 Italian Cyber Security Report”, Versione 1.0 del febbraio 2016. La pubblicazione era a cura della Università Sapienza di Roma e del Laboratorio Nazionale CINI di Cyber Security, sotto la guida del Professor Roberto Baldoni.
Nel 2018 il NIST Cybersecurity Framework (CSF) si aggiornò alla versione 1.1 e da questo documento è stato ricavato il Framework Nazionale per la Cybersecurity e la Data Protection versione 2.0, pubblicato a febbraio 2019, sempre a cura della Università Sapienza di Roma e del CINI.
Il Framework Nazionale per la Cybersecurity e la Data Protection è stato adottato come strumento di controllo per le organizzazioni italiane sottoposte alla Direttiva (UE) 2016/1148 (la prima NIS), recepita dall’Italia con il D.Lgs. n.65 del 18 maggio 2018.
Il passo successivo nel 2024
Il passo successivo è avvenuto il 26 febbraio 2024 quando NIST ha pubblicato in forma ufficiale il Cybersecurity Framework (CSF) versione 2.0.
Il titolo è stato cambiato in “Cybersecurity Framework 2.0” dall’originale “Framework for Improving Critical Infrastructure Cybersecurity”, confermando che il Cybersecurity Framework 2.0 è stato progettato per aiutare le organizzazioni di tutte le dimensioni e di tutti i settori.
Una delle modifiche più significative del CSF v2.0 è nelle Functions, che sono diventate 6: oltre alle 5 già presenti nel CSF 1.1, è stata aggiunta una nuova funzione Govern (GV) per enfatizzare l’importanza della governance della gestione del rischio di cybersecurity (vedere figura sotto).
Questa nuova funzione è così descritta: “La strategia, le aspettative e la politica di gestione del rischio di cyber security dell’organizzazione sono stabilite, comunicate e monitorate”.
Da notare che la funzione Govern è al centro della ruota perché informa il modo in cui un’organizzazione implementerà le altre cinque funzioni.
La Direttiva NIS 2
L’importanza della Governance nella cybersecurity è sottolineata in modo molto forte anche nella Direttiva NIS 2: è citata in molti Considerando della NIS 2 ed è espressamente trattata nell’Articolo 20 – Governance.
A distanza di oltre un anno dalla pubblicazione del NIST CSF e con la Direttiva NIS 2 ormai in vigore, qualche giorno fa è stata la volta della pubblicazione della versione 2.1 del FNCDP.
Per il momento è disponibile solo il file in formato Excel “FNCDP_-Edizione_2025_v2.1_Core.xlsx” scaricabile dal sito.
Come riporta il sito il Framework Nazionale per la Cybersecurity e la Data Protection, oggi si propone con in una nuova versione che allinea il suo core a quello del NIST CSF.
Esso è – come per il precedente – frutto di una collaborazione tra il Centro di Ricerca CIS di Sapienza Università di Roma ed il Laboratorio Nazionale di Cybersecurity del CINI, ma questa volta anche l’Agenzia per la Cybersicurezza Nazionale ha collaborato a questa nuova versione del Framework Nazionale.
Il Framework è uno strumento di supporto alle organizzazioni
Si sottolinea anche che questo Framework è uno strumento di supporto alle organizzazioni e non può in alcun modo essere considerato uno strumento per il rispetto dei regolamenti vigenti.
Inoltre, per le organizzazioni che già implementano misure coerenti con le normative vigenti, il Framework può rappresentare un utile strumento per guidare le necessarie attività di continuo monitoraggio.
Non è una norma (come, per esempio, è la ISO/IEC 27001) ma rappresenta piuttosto un insieme di linee guida di sicurezza.
Secondo una successiva Determinazione n. 164179 appena pubblicata da ACN, questo sia da considerare lo strumento consigliato da ACN per le aziende che dovranno fare l’adeguamento alla NIS 2.
La determina ACN con le specifiche di base per gli adempimenti NIS 2
Immediatamente dopo la pubblicazione del FNCDP v2.1, ACN ha pubblicato la Determinazione n. 164179, datata 14/04/2025, che definisce le specifiche di base per l’adempimento agli obblighi del decreto NIS relativi alle misure di cyber security e della gestione degli incidenti significativi.
Ciò non è causale, perché nella Determinazione si fa riferimento proprio al “Framework Nazionale per la Cybersecurity e la Data Protection”, edizione 2025 e si specifica la redazione è avvenuta in collaborazione con l’Agenzia per la cybersicurezza nazionale (ACN).
Tale framework – come ampiamente previsto – è indicato quale strumento di supporto per le organizzazioni pubbliche e private per definire le “misure di sicurezza di base”, per gli obblighi di cui agli articoli 23 e 24 del decreto NIS 2.
La Determinazione si completa con quattro allegati tecnici che costituiscono il vero e proprio manuale operativo per le organizzazioni:
- Allegato 1: Misure di sicurezza di base per i soggetti importanti;
- Allegato 2: Misure di sicurezza di base per i soggetti essenziali;
- Allegato 3: Specifiche per gli incidenti significativi di base per i soggetti importanti;
- Allegato 4: Specifiche per gli incidenti significativi di base per i soggetti essenziali.
Le misure sono organizzate secondo una struttura gerarchica di funzioni, categorie, sottocategorie e requisiti, in perfetta aderenza con l’approccio del Framework Nazionale, facilitando così l’integrazione nei modelli di governance già esistenti.
Infine, a completamento, porta la data 10 aprile 2025 anche la pubblicazione della Determinazione n.136117 che stabilisce “Termini, modalità e procedimenti di utilizzo e accesso al Portale ACN e, in particolare, ai Servizi NIS nonché le ulteriori informazioni che i soggetti NIS devono fornire all’Autorità nazionale competente NIS ai fini dello svolgimento delle funzioni attribuite dal decreto NIS, i termini, le modalità e i procedimenti di designazione dei rappresentanti NIS nell’Unione”.
La Determinazione n.136118 dell’Acn
Segnaliamo anche la Determinazione n.136118, pubblicata da ACN sempre con data 10 aprile 2025.
È un documento di appena tre pagine, che semplicemente “stabilisce le modalità con cui i soggetti NIS notificano all’Autorità nazionale competente NIS la loro partecipazione agli accordi di condivisione”.
In conclusione, il nuovo FNCDP v2.1 e la determinazione n. 164179 dell’ACN rappresentano due passi fondamentali – e strettamente correlati – che definiscono con chiarezza le specifiche tecniche di base per l’adempimento agli obblighi del decreto NIS2, che le organizzazioni in perimetro dovranno adottare obbligatoriamente nei prossimi mesi.
