Definizione Tecnica

UNI/PdR 174:2025 è un documento prenormativo che definisce i requisiti per un sistema di gestione per la cybersicurezza e la sicurezza delle informazioni armonizzati ai requisiti della norma UNI CEI EN ISO/IEC 27001 e agli obiettivi indicati dal quadro di riferimento The NIST Cybersecurity Framework (CSF) 2.0.

Cosa significa "Prassi di Riferimento"?
Una PdR è un documento tecnico elaborato da esperti e ratificato da UNI che documenta lo "stato dell'arte" in un settore specifico. Non è vincolante come una norma, ma è liberamente utilizzabile da organizzazioni che desiderano un approccio standardizzato.

I Tre Elementi Fondamentali

1. ISO 27001

Cosa: Norma internazionale che definisce 114 controlli organizzativi, sul personale, fisici e tecnologici

Approccio: Strutturato, certificabile, basato su gestione del rischio

Valore: Certificazione accreditata internazionalmente

2. NIST CSF 2.0

Cosa: Framework che definisce 5 funzioni (Govern, Identify, Protect, Detect, Respond, Recover) con 180+ subcategorie

Approccio: Flessibile, adattabile, basato su tassonomia di obiettivi

Valore: Valutazione e miglioramento continuo della postura

3. UNI/PdR 174

Cosa: Documento che mappa i 114 controlli ISO ai 180+ NIST subcategories in modo bidirezionale

Approccio: "Traduttore" che consente implementazione unificata

Valore: Una governance per 2 certificazioni/maturity levels

Struttura del Documento

Comprende i requisiti per comprendere l'organizzazione, le esigenze delle parti interessate, il campo di applicazione e il sistema di gestione complessivo.

Mappature NIST: GV.OC (Governance - Organizational Context)

Requisiti per leadership, politiche, ruoli e responsabilità all'interno dell'organizzazione.

Mappature NIST: GV.RR (Governance - Roles & Responsibilities), GV.PO (Governance - Policy)

Pianificazione di azioni per affrontare rischi e opportunità, definizione di obiettivi, pianificazione delle modifiche.

Mappature NIST: GV.RM (Governance - Risk Management Strategy), ID.RA (Identify - Risk Assessment)

Disponibilità di risorse, competenze, consapevolezza, comunicazione e gestione delle informazioni documentate.

Mappature NIST: GV.RR (Roles), PR.AT (Protect - Awareness & Training)

Pianificazione e controlli operativi, valutazione del rischio, trattamento del rischio.

Mappature NIST: ID.RA (Risk Assessment), PR.* (Protect), DE.* (Detect)

Monitoraggio, misurazione, analisi e valutazione; audit interni; riesame della direzione.

Mappature NIST: GV.OV (Governance - Supervision), ID.IM (Identify - Improvement)

Miglioramento continuo e gestione delle non conformità e azioni correttive.

Mappature NIST: ID.IM (Identify - Improvement)

Le Appendici: Il Cuore della Mappatura

Appendice A

Titolo: Copertura delle sottocategorie NIST CSF da parte dei punti e dei controlli della UNI CEI EN ISO/IEC 27001:2024+A1:2024

Mostra quale controllo ISO copre quale sottocategoria NIST. Utile quando parti da ISO e vuoi sapere cosa hai già coperto di NIST.

Appendice B

Titolo: Copertura dei punti e dei controlli della UNI CEI EN ISO/IEC 27001:2024+A1:2024 da parte delle sottocategorie NIST CSF

Mostra quale sottocategoria NIST copre quale controllo ISO. Utile quando parti da NIST e vuoi sapere cosa hai già coperto di ISO.

In Breve
  • Documento: Prassi di Riferimento
  • Codice: UNI/PdR 174:2025
  • Data Entrata Vigore: 30 Aprile 2025
  • Pagine: 40
  • Responsabile: UNI/Accredia
  • Certificazione: Volontaria (ISO) / Maturity (NIST)
Scarica la prassi di riferimento
Documento Completo (PDF)
Glossario Rapido
C-ISMS (Cybersecurity & IS Management System) PdR (Prassi di Riferimento) HS (Harmonized Structure) SGSI (Sistema Gestione Sicurezza Info)

Prossimi Passi

Approfondisci

Usa il tool interattivo per creare la tua mappatura personalizzata

Vai alla Mappatura