Il 30 aprile 2025 è stata pubblicata la Prassi di Riferimento UNI/PdR 174:2025, elaborata da UNI con la collaborazione di Accredia, CINI, UNINFO e altri soggetti istituzionali. Il documento definisce i requisiti per un sistema di gestione per la cybersicurezza e la sicurezza delle informazioni che consenta di armonizzare i due principali riferimenti internazionali in materia: la UNI CEI EN ISO/IEC 27001:2024 e il NIST Cybersecurity Framework (CSF) 2.0.
Integrazione strutturata tra due approcci
La UNI/PdR 174:2025 nasce per affrontare il difficile compito di realizzare la convergenza ed armonizzazione tra due modelli di riferimento diffusi quanto diversi per struttura e approccio: la norma UNI CEI EN ISO/IEC 27001:2024, basata su requisiti organizzativi e orientata alla certificazione accreditata, e il NIST Cybersecurity Framework (CSF) 2.0, concepito come strumento flessibile per l’autovalutazione e il rafforzamento della postura di cybersicurezza.
Entrambi i modelli condividono finalità comuni, come la protezione dei dati e delle informazioni, la gestione del rischio, il contrasto alle minacce e la predisposizione di processi strutturati per la risposta e il recupero in caso di incidenti. Tuttavia, le modalità operative, il lessico tecnico e le logiche di implementazione risultano spesso non direttamente sovrapponibili, rendendo complesso per le organizzazioni integrare efficacemente entrambi gli approcci.
In questa prospettiva, la prassi si propone di fornire un supporto pratico e documentato alle organizzazioni che:
- già adottano un sistema conforme alla ISO/IEC 27001 e intendono verificare la propria copertura rispetto alle categorie e sottocategorie del NIST CSF;
- hanno strutturato la propria governance della sicurezza partendo dal NIST CSF e intendono avviare un percorso di allineamento ai requisiti ISO in vista di una certificazione.
Possibili implicazioni sull’adeguamento NIS2
Sebbene la UNI/PdR 174:2025 non abbia natura cogente né rappresenti un atto attuativo del D.lgs. 138/2024 (decreto di recepimento della Direttiva NIS2), essa può assumere particolare rilievo per i soggetti rientranti nell’ambito di applicazione del decreto, soprattutto in relazione all’adozione delle misure minime di sicurezza previste dagli articoli 24 e 42.
In particolare, la prassi integra una serie di elementi chiave del Framework Nazionale per la Cybersecurity e la Data Protection, che hanno costituito la base per la definizione delle misure di sicurezza “di base” formalizzate nella Determinazione ACN n. 164179 del 14 aprile 2025 e relativi allegati tecnici.
Come ormai noto, tali misure – da implementare entro ottobre 2026 – sono strutturate in:
- 37 misure e 87 requisiti per i soggetti importanti;
- 43 misure e 116 requisiti per i soggetti essenziali.
La UNI/PdR 174:2025 può quindi rappresentare un supporto operativo concreto per i soggetti NIS già certificati ISO/IEC 27001, fornendo un riferimento metodologico utile a valutare, documentare e sistematizzare l’adeguamento alle misure previste, nel rispetto delle scadenze definite dal quadro regolatorio.
Il sistema C-ISMS: uno schema di riferimento, non un nuovo standard
Tra gli elementi chiave della prassi troviamo il C-ISMS (Cybersecurity and Information Security Management System) un sistema di gestione integrato che tenga conto sia dei requisiti della ISO/IEC 27001, sia degli obiettivi del NIST CSF. Il riferimento non introduce un nuovo modello, ma serve a contestualizzare un approccio che valorizza la complementarità tra assetti già esistenti.
In questo senso, la prassi non propone obblighi ulteriori, ma fornisce una metodologia per valutare e documentare la propria postura di cybersicurezza in modo strutturato. L’obiettivo dichiarato è facilitare percorsi di autoanalisi, miglioramento e – laddove pertinente – certificazione volontaria, senza sostituirsi alle normative vigenti.
Conclusioni
La UNI/PdR 174:2025 costituisce un riferimento tecnico utile per tutte le organizzazioni che intendano rafforzare la coerenza e la maturità dei propri sistemi di gestione per la cybersicurezza, adottando un approccio integrato basato su standard riconosciuti a livello internazionale.
In questo quadro, la prassi (che può essere scaricata liberamente previa registrazione al sito UNI) può offrire un supporto concreto anche ai soggetti NIS già certificati ISO/IEC 27001, chiamati ad adeguarsi alle misure minime di sicurezza definite dal D.lgs. 138/2024 e dalla Determinazione ACN n. 164179/2025.
Su un argomento simile può essere d’interesse l’articolo ” NIS 2: la responsabilità personale degli amministratori per mancanza di conformità è un messaggio di avvertimento “
