Il CAF è uno strumento applicabile a tutti i settori industriali, che è stato sviluppato dall'NCSC per fornire alle organizzazioni un approccio strutturato con lo scopo di valutare, raggiungere e dimostrare un livello appropriato di resilienza informatica.
Concetti chiave
La resilienza informatica è una necessità del servizio pubblico. L'aumento degli attacchi sostenuti dai governi minacciano infrastrutture critiche e dati sensibili. L'adozione di un sistema basato sui risultati consente alle organizzazioni di mantenere i servizi essenziali nonostante la presenza di minacce persistenti e sofisticate.
La visibilità delle risorse è la base dell'obiettivo A del CAF. Le organizzazioni non possono gestire i rischi per la sicurezza senza conoscere tutti gli aspetti della propria infrastruttura e l'individuazione automatica delle API e delle risorse "ombra" è essenziale per rispettare i principi fondamentali di gestione delle risorse.
Il modello Zero Trust è fondamentale per conseguire l'obiettivo B del CAF. Per proteggersi dagli attacchi informatici, le organizzazioni devono passare dalla difesa perimetrale agli accessi granulari e basati sulle identità fino alla microsegmentazione per prevenire il movimento laterale all'interno dei sistemi essenziali.
Il CAF v4.0 impone il rilevamento proattivo rispetto al monitoraggio reattivo. Per conseguire l'obiettivo C, è necessario passare dalla semplice analisi dei registri alla ricerca avanzata delle minacce e all'osservazione comportamentale per identificare i criminali nascosti prima che possano influire sulle funzioni essenziali.
- L'integrità della supply chain è un risultato critico per la sicurezza del CAF. La sicurezza deve essere integrata durante l'intero ciclo di vita del software e l'esecuzione di script di terze parti per proteggere la provenienza dei componenti e la sicurezza dei dati dei cittadini.
Domande frequenti (FAQ)
Questo strumento è stato concepito per le organizzazioni soggette alle normative NIS, le aziende che gestiscono le infrastrutture nazionali critiche (CNI) e le entità del settore pubblico che supportano le principali funzioni governative o che si occupano della gestione dei rischi per la pubblica sicurezza.
La versione 4.0 del Cyber Assessment Framework è stata rilasciata ad agosto 2025.
Questo quadro normativo si basa su quattro obiettivi di alto livello e 14 principi, che vengono misurati tramite 41 risultati e specifici indicatori di buone pratiche.
Gli obiettivi sono: l'obiettivo A sulla gestione dei rischi per la sicurezza; l'obiettivo B sulla protezione dagli attacchi informatici; l'obiettivo C sul rilevamento degli eventi di cybersecurity; e l'obiettivo D sulla riduzione dell'impatto degli incidenti.
Il quadro normativo aggiornato (principio A2.b) richiede alle organizzazioni di conoscere le capacità e le tecniche utilizzate dai criminali, integrando, al contempo, specifiche informazioni sulle minacce nelle loro decisioni relative alla gestione dei rischi.
In base al principio C1.f, le organizzazioni devono ora superare a tradizionale analisi dei registri per capire il comportamento di utenti e sistemi in modo da riuscire ad identificare le eventuali anomalie che indicano attività dannose.
La fase iniziale implica la comprensione delle specifiche esigenze aziendali, in cui è richiesta l'identificazione delle funzioni essenziali che si basano sui sistemi IT critici e l'assegnazione delle priorità dei rischi in base a potenziali minacce e vulnerabilità.