cedat logo cedat logo

What's new

CEDAT85 Conforme alle misure di sicurezza di alto livello in Spagna con ENS

Dicembre 21, 2021

A seguito di un’intensa valutazione, CEDAT85 è lieta di annunciare che è stata dichiarata  conforme per lo Esquema Nacional de Seguridad (Programma di Sicurezza Nazionale Spagnolo) dal 5 novembre 2021. CEDAT85 continua ad essere il pioniere nel mercato essendo l’unica azienda italiana che ha ottenuto questo certificato.

La conformità a questo programma dichiara che le misure di sicurezza sia dei servizi di CEDAT85 che delle rispettive informazioni di sistema e delle strutture di elaborazione dei dati sono conformi agli standard più elevati necessari per ottenere il certificato ENS. La certificazione è per un periodo di due anni con il prossimo audit previsto per novembre 2023. “È stato un processo lungo, complicato e arduo e vorrei congratularmi con tutte le persone coinvolte”, ha osservato Enrico Giannotti, amministratore delegato di CEDAT85.

Informazioni generali su Esquema Nacional de Seguridad – ENS

Nel 2007, il governo spagnolo ha promulgato la legge 11/2007, un quadro normativo per garantire ai cittadini l’accesso elettronico ai servizi pubblici e governativi. Questa legge è la base per l’Esquema Nacional de Seguridad regolato dal Regio Decreto (RD) 3/2010. L’obiettivo del quadro normativo è consolidare la fiducia nella fornitura di servizi elettronici e garantire l’accesso, l’integrità, la disponibilità, l’autenticità, la riservatezza, la tracciabilità e la conservazione di dati, informazioni e servizi. Si applica a tutte le agenzie governative spagnole e agli enti pubblici che acquistano servizi cloud, nonché ai fornitori di ICT (Tecnologie dell’informazione e della comunicazione). Assiste agenzie ed enti nell’implementazione di controlli di sicurezza efficaci nel cloud e on-premise, in conformità con gli standard di privacy e sicurezza spagnoli ed europei.

Il programma stabilisce criteri chiave e requisiti obbligatori che le agenzie governative e i loro fornitori di servizi devono adottare. Definisce una serie di controlli di sicurezza specifici, molti dei quali sono direttamente allineati allo standard ISO/IEC 27001, per disponibilità, autenticità, integrità, riservatezza e tracciabilità. Il livello basso, intermedio o alto di riservatezza delle informazioni determina le misure di sicurezza che devono essere adottate per proteggerle. Per quanto riguarda la sicurezza, ogni agenzia governativa deve adottare un approccio di gestione del rischio in base al quale i rischi vengono identificati e valutati, quindi vengono applicati i controlli di sicurezza appropriati. I fornitori di servizi devono inoltre rispettare i severi requisiti del quadro normativo per garantire che procedure, competenze tecniche e operazioni siano sicure e per consentire alle agenzie di conformarsi alle normative.

Il programma prevede un processo di accreditamento facoltativo per i sistemi che trattano informazioni con un basso livello di riservatezza, ma obbligatorio per coloro che trattano informazioni con un livello di riservatezza medio o alto. L’audit è svolto da un revisore indipendente accreditato. Il report viene quindi rivisto durante un processo di certificazione prima dell’accettazione dei controlli di gestione del rischio nella fase di accreditamento finale.