FAQ : Norme
Come Bexxo vi supporta nel rispetto di questi standard?
Eseguiamo una valutazione completa della vostra situazione, identifichiamo le discrepanze e proponiamo un piano d'azione concreto per allineare le vostre pratiche agli standard richiesti.
Cos'è EBIOS Risk Manager?
EBIOS Risk Manager è il metodo di analisi dei rischi dell'ANSSI, strutturato in 5 workshop: inquadramento, fonti di rischio, scenari strategici, scenari operativi e trattamento. Adottato dalle amministrazioni francesi e da numerose aziende francofone, permette di identificare le minacce più realistiche e di priorizzare gli investimenti in sicurezza.
Cos'è lo Standard minimo TIC svizzero?
Lo Standard minimo TIC è un quadro sviluppato dall'UFAE (Ufficio federale per l'approvvigionamento economico del paese) in collaborazione con il NCSC. Definisce 106 misure basate sul NIST CSF, adattate al contesto svizzero. Gratuito e disponibile in francese, tedesco e italiano, include uno strumento Excel di autovalutazione.
L'ISO 27001 è obbligatoria in Svizzera?
No, l'ISO 27001 non è legalmente obbligatoria in Svizzera. Tuttavia, la nLPD esige misure tecniche e organizzative appropriate per proteggere i dati. L'ISO 27001 fornisce il quadro più riconosciuto per dimostrare questa conformità. Alcuni settori (finanza, sanità) la richiedono contrattualmente.
La guida ANSSI è applicabile in Svizzera?
Sì. Sebbene l'ANSSI sia l'autorità francese, le sue 42 misure di igiene informatica sono universali e particolarmente rilevanti per le PMI svizzere francofone. La guida è gratuita, pragmatica e compatibile con il NIST CSF e l'ISO 27001. È un eccellente punto di partenza per le aziende della Svizzera romanda.
La nLPD esige una norma specifica?
No, la nLPD (nuova legge svizzera sulla protezione dei dati) non impone alcuna norma specifica. Essa esige «misure tecniche e organizzative appropriate». L'ISO 27001, il NIST CSF o lo Standard TIC svizzero sono i quadri più riconosciuti per dimostrare questa conformità in caso di controllo dell'IFPDT.
Qual è la differenza tra ISO 27001 e ISO 27002?
L'ISO 27001 definisce i requisiti per un sistema di gestione della sicurezza delle informazioni (SGSI) e consente la certificazione. L'ISO 27002 è una guida alle buone pratiche che dettaglia l'implementazione dei 93 controlli dell'Allegato A. In sintesi: la 27001 dice «cosa fare», la 27002 dice «come farlo».
Quali sono gli standard imprescindibili in cybersecurity?
Tra i più importanti figurano ISO 27001, NIST, nLPD, RGPD e PCI-DSS. Forniscono framework robusti per proteggere i tuoi sistemi e garantire la protezione dei dati.
Quali sono le 5 funzioni del NIST CSF?
Le 5 funzioni del NIST Cybersecurity Framework sono: Identificare (comprendere le risorse e i rischi), Proteggere (controlli degli accessi, cifratura), Rilevare (sorveglianza, avvisi), Rispondere (piano di intervento, comunicazione) e Recuperare (ripristino, lezioni apprese). Ogni funzione è valutata su un punteggio da 0 a 4.
Quanto costa una certificazione ISO 27001 per una PMI?
Tra 10 000 e 50 000 CHF per una PMI svizzera, a seconda delle dimensioni e della complessità. Questo costo include la preparazione (analisi degli scostamenti, implementazione del SGSI) e l'audit di certificazione da parte di un organismo accreditato. Il rinnovo ogni 3 anni costa generalmente il 30-50% del costo iniziale.
Quanto tempo occorre per ottenere la certificazione ISO 27001?
In media da 6 a 12 mesi per una PMI svizzera, a seconda della maturità esistente. Il processo comprende l'analisi degli scostamenti (1-2 mesi), l'implementazione del SGSI (3-6 mesi), l'audit interno (1 mese) e l'audit di certificazione (1-2 mesi). Bexxo accompagna i propri clienti lungo l'intero percorso.
È possibile combinare diversi quadri (ISO, NIST, ANSSI, TIC)?
Sì, questi quadri sono complementari. Da Bexxo, raccomandiamo un approccio progressivo: iniziare con lo Standard TIC svizzero o la guida ANSSI, strutturare con il NIST CSF, poi puntare alla certificazione ISO 27001. Ogni fase rafforza la precedente senza ripartire da zero.