L’Ufficio federale della cibersicurezza (UFCS) ha sviluppato un metodo di cibersicurezza e resilienza (MCSR) che organizzazioni e aziende possono utilizzare per rafforzare la propria cibersicurezza e resilienza.
Con la crescente digitalizzazione della società e dell’economia anche garantire la cibersicurezza e la resilienza costituisce una sfida sempre maggiore. Nonostante i numerosi standard, le molte raccomandazioni e i diversi modelli, spesso le organizzazioni e le aziende non sanno come affrontare questa tematica per rafforzare e migliorare in modo duraturo la loro cibersicurezza e resilienza perché mancano prescrizioni e strumenti d’orientamento concreti e attuabili.
In questo contesto, l’UFCS propone, con il suo metodo di cibersicurezza e resilienza (MCSR), un approccio strutturato in cinque fasi che consente alle organizzazioni e alle aziende di rafforzare e migliorare in modo duraturo la cibersicurezza e la resilienza indipendentemente dalle loro dimensioni e dal loro settore d’appartenenza. L’MCSR si basa su di un approccio di protezione di base ampliato e prevede le seguenti fasi:
Fase 1
Nella fase 1 vengono analizzate le attività e i processi aziendali e produttivi più importanti dell’organizzazione o dell’azienda.
Fase 2
Nella fase 2 vengono definiti gli strumenti informatici utili per queste attività e questi processi, che vengono poi aggregati agli oggetti informatici da proteggere.
Fase 3
Nella fase 3 viene determinata la necessità di protezione di ogni oggetto informatico da proteggere; nella maggior parte dei casi si tratta di decidere se l’oggetto ha una necessità di protezione elevata oppure no.
Fase 4
Nella fase 4 viene elaborato un piano in materia di sicurezza per ogni oggetto informatico da proteggere con necessità di protezione elevata in cui viene descritto come affrontare al meglio le più rilevanti minacce alla sicurezza.
Fase 5
Infine, nella fase 5, vengono attuate le misure tecniche e organizzative indicate sia nella protezione di base che nel piano in materia di sicurezza.
Nonostante la procedura preveda diverse fasi, nei casi specifici può essere più adatto un procedimento iterativo e orientato alle priorità che tratti subito i processi e gli oggetti informatici da proteggere più importanti e affronti quelli meno importanti in un secondo momento. Un approccio simile non è ideale, poiché molti oggetti informatici da proteggere non sono indipendenti gli uni dagli altri e vi sono alcune dipendenze che devono essere tenute in considerazione nei piani in materia di sicurezza, ma può essere più adatto dal punto di vista della praticabilità.
Inoltre, è possibile valutare e confrontare le prestazioni di questo metodo nell’ambito di un «benchmarking», affinché un’organizzazione o un’azienda possa valutare la propria cibersicurezza e resilienza e confrontarle con quelle di organizzazioni e aziende dello stesso settore e di dimensioni simili. Sarà possibile valutare e confrontare le prestazioni dell’MCSR tramite il Cyber Security Hub (CSH) dell’UFCS.
Al momento, l’MCSR è in fase di valutazione e sviluppo in collaborazione con partner selezionati e gruppi di interesse. Contemporaneamente è in corso una procedura di consultazione che durerà fino a fine gennaio 2026 durante la quale l’UFCS accoglie con piacere feedback sull’MCSR. L’MCSR verrà reso disponibile per il pubblico sotto forma di raccomandazioni e le associazioni di categoria potranno adottarlo e consigliarlo ai propri membri all’occorrenza. I regolatori avranno la possibilità di adattarlo alle proprie esigenze o affinarlo e, nell’ambito delle proprie competenze, di dichiararlo vincolante. Potranno adottarlo come integrazione o alternativa agli standard minimi per migliorare la resilienza delle TIC pubblicati dall’Ufficio federale per l’approvvigionamento economico del Paese (UFAE).
Modulo di feedback
Affinché prossimamente il contenuto del rapporto semestrale rispecchino maggiormente le vostre esigenze, saremmo lieti di conoscere la vostra opinione riguardo l'attuale edizione. A questo proposito vi invitiamo a rispondere alle seguenti domande (durata ca. 2 min). Al termine potete inviarci il formulario compilato cliccando sul tasto "Invia".
Ultima modifica 24.11.2025
