mercoledì 20 giugno 2018

NIS: altri articoli

In merito al recepimento della Direttiva NIS, segnalo questi altri due articoli di Luca Tosoni.

Il primo ha titolo "Direttiva NIS, così è l'attuazione italiana (dopo il recepimento): i punti principali del decreto":
- https://www.agendadigitale.eu/sicurezza/attuazione-della-direttiva-nis-lo-lo-schema-decreto-legislativo/.

Il secondo ha titolo "Decreto Nis, ecco i prossimi passi dopo l'approvazione":
- https://www.agendadigitale.eu/sicurezza/decreto-nis-ecco-i-prossimi-passi-dopo-lapprovazione/.

sabato 16 giugno 2018

Check list su privacy dell'autorità norvegese

Sabrina Prola mi ha segnalato "una guida semplice ma utile su privacy by design e default" pubblicata dalla DPA norvegese:
- https://www.datatilsynet.no/en/regulations-and-tools/guidelines/data-protection-by-design-and-by-default/.

È una guida molto interessante e molto ampia, anche se affronta i vari elementi in modo estremamente sintetico.

NIS: regolamento di esecuzione 2018/151

A maggio era stato pubblicato il Regolamento di esecuzione (UE) 2018/151 della Commissione recante modalità di applicazione della direttiva (UE) 2016/1148 (ossia della NIS):
- http://data.europa.eu/eli/reg_impl/2018/151/oj.

Vengono forniti chiarimenti in merito alle misure di sicurezza che devono attuare gli operatori NIS. Mi pare che, in sostanza, chieda di applicare la ISO/IEC 27001.

All'articolo 4 sono descritte le caratteristiche per classificare un incidente come "rilevante". Penso che questi elementi dovranno essere considerati da tutti quelli che definiscono un modello di classificazione degli incidenti.

Direttiva NIS in vigore (veramente)

Sabrina Prola mi ha segnalato la pubblicazione del D. Lgs. 65 del 18 maggio 2018, di recepimento della Direttiva NIS. Si trova sulla G.U. Serie Generale n. 132:
- www.gazzettaufficiale.it/eli/id/2018/06/09/18G00092/sg.

Questo fa seguito al mio post dal titolo "Direttiva NIS in vigore (ma non troppo)":
http://blog.cesaregallotti.it/2018/05/direttiva-nis-in-vigore-ma-non-troppo.html.

Qui elenco le mie prime riflessioni. Come già successo con il GDPR immagino che avrò l'opportunità di approfondire molti punti (e su alcuni di cambiare idea), grazie ad articoli, interventi e scambi di opinione con chi vuole contattarmi.

La NIS ha l'obiettivo di migliorare la sicurezza informatica nella UE.

Per quanto riguarda i privati, è indirizzata agli "operatori di servizi essenziali e dei fornitori di servizi digitali", con l'eccezione degli operatori di telecomunicazione (in quanto già normati dal Codice delle comunicazioni) e dei fornitori di servizi fiduciari (già normati da eIDAS e CAD). Gli operatori saranno identificati entro il 9 novembre 2018 dalle "autorità competenti NIS" (ossia i Ministeri dello sviluppo economico, delle infrastrutture e trasporti, dell'economica e finanze, della salute e dell'ambiente). L'elenco sarà mantenuto dal Ministero dello sviluppo economico, che quindi sarà da tenere monitorato.

Per quanto riguarda i fornitori di servizi digitali, sono 3 quelli ritenuti critici: Mercato online, Motore di ricerca online e Servizi di cloud computing (ad esclusione delle micro e piccole imprese; ossia imprese che occupano meno di 50 persone e realizzano un fatturato annuo o un totale di bilancio annuo non superiori a 10 milioni di EUR). Trovo interessante siano inclusi anche i primi due, in quanto li ho mai visti come "critici". Dovranno (articolo 14) assicurare la continuità dei servizi, oltre alla sicurezza.

Gli operatori dovranno comunicare alle autorità NIS le proprie misure di sicurezza. Spero non vedremo il proliferare di modelli inventati di sana pianta come sta facendo AgID con i servizi fiduciari (spero che le esperienze di questi anni abbiano insegnato).

Sono stato colpito dalla seguente: "la prova dell'effettiva attuazione delle politiche di sicurezza, come i risultati di un audit sulla sicurezza svolto dall'autorità competente NIS o da un revisore abilitato e, in quest'ultimo caso, metterne a disposizione dell'autorità competente NIS i risultati, inclusi gli elementi di prova". Infatti qui si parla di "revisori abilitati" di cui sapremo in futuro come saranno abilitati e si usa il termine "elemento di prova", invece dello scorretto (frutto di traduzione pigra) "evidenze".

Sui "revisori abilitati" (ma anche sui rappresentanti degli operatori), segnalo solo che al momento in Italia c'è carenza di persone competenti e con esperienza, come abbiamo visto anche nella "corsa al DPO". Speriamo non siano fatti troppi errori nelle prime fasi di attuazione, ossia che non vengano pubblicate check list troppo dettagliate per essere utili, gli auditor non si impuntino sui formalismi o su processi inutili e i rappresentanti degli operatori sappiano far valere le proprie ragioni (purché non cerchino di farsi validare pratiche scorrette).

Viene istituito il CSIRT italiano, unendo (se ho capito correttamente) il CERT nazionale (https://www.certnazionale.it/) e il CERT-PA. Sarà quindi importante seguirne le attività di informazione.

Le misure di sicurezza da adottare sono oggetto dell'articolo 12. "Nell'adozione delle misure, gli operatori di servizi essenziali tengono conto delle linee guida predisposte dal gruppo di cooperazione, nonché delle linee guida delle "autorità competenti NIS"". Dovremo quindi tenere monitorati i lavori di ENISA, che ultimamente hanno messo a disposizione documenti molto interessanti (altri meno).

All'articolo 17: "promuovono l'adozione di norme e specifiche europee o accettate a livello internazionale relative alla sicurezza della rete e dei sistemi informativi". Speriamo quindi vengano promosse le norme della serie ISO/IEC 27000 e aumenti al partecipazione qualificata alla loro redazione.

Mi permetto di essere preoccupato per il requisito "Le autorità competenti NIS possono predisporre linee guida per la notifica degli incidenti", visto che AgID ha recentemente richiesto agli operatori di servizi fiduciari di comunicarle ogni incidente, secondo uno schema oggettivamente inapplicabile.

Ho qualche perplessità sullo spazio dedicato alla reazione agli incidenti, visto che poco è detto in merito alla prevenzione, rimandando tutto ad altre norme. Questo è un approccio, ovviamente sbagliato, che sta sempre più diffondendosi: molta attenzione alla reazione, minore alla prevenzione.

Infine: le sanzioni arrivano ad un massimo di 150.000 Euro.

martedì 12 giugno 2018

Modifica al Codice della proprietà industriale

Da Altalex ho la notizia che con il D. Lgs. 63 del 2018 è stato aggiornato il Codice della proprietà industriale (D. Lgs. 30 del 2005) per recepire la Direttiva europea 2016/943:
- http://www.altalex.com/documents/leggi/2018/05/28/know-how-approvato-il-decreto-attuativo-della-direttiva-europea.

Come riportato dall'articolo di Altalex, il provvedimento sostituisce alla nozione di "informazioni aziendali riservate", quella di "segreti commerciali" (vedere quindi l'articolo 1 per la definizione di "proprietà industriale" e l'articolo 98 per quella di "segreti commerciali"). Anche l'articolo 99 è importante per chi si occupa di sicurezza delle informazioni.

Il resto delle modifiche riguarda le sanzioni e i procedimenti giudiziari (interessante il fatto che sia stata considerata la tutela della riservatezza dei segreti commerciali nel corso dei procedimenti giudiziari).

Su Normattiva non è ancora disponibile la versione aggiornata dell'atto.

PS: un ulteriore articolo, più approfondito, è il seguente, segnalatomi da Luca De Grazia:
http://www.quotidianogiuridico.it/documents/2018/06/08/segreti-commerciali-in-g-u-il-d-lgs-63-2018-sulla-protezione-del-know-how.

sabato 9 giugno 2018

Informativa per i cookies dei social network

Chiara Ponti degli Idraulici della privacy ha segnalato una interessante sentenza della Corte di giustizia dell'Unione europea. Prima il link al Comunicato stampa:
- https://curia.europa.eu/jcms/upload/docs/application/pdf/2018-06/cp180081it.pdf.

In poche parole: l'autorità Garante di un Land tedesco (in Germania c'è un Garante per Land!) ha chiesto di bloccare la fanpage di Facebook di un'organizzazione perché né l'organizzazione né Facebook informavano compiutamente gli iscritti di Facebook sull'uso dei cookies. La sentenza specifica che, in questo caso, Facebook e l'organizzazione devono essere considerati contitolari del trattamento.

Questo credo ponga un problema: come deve fare l'organizzazione a pubblicare l'informativa su Facebook? Non ho controllato, ma credo e spero che Facebook si sia già adeguata. Da qualche parte anche le organizzazioni che usano i social devono specificare la contitolarità e questo non sempre saprei farlo (devo pensare anche al mio blog).

domenica 3 giugno 2018

GDPR: l'EDPB sostituisce il WP art. 29 (parte 2)

Poco dopo aver scritto un breve post sull'EDPB, Franco Vincenzo Ferrari di DNV GL mi ha segnalato questo articolo dal titolo "Il nuovo Comitato europeo per la protezione dei dati (Edpb), dopo il Gdpr: compiti e poteri":
- https://www.agendadigitale.eu/sicurezza/il-nuovo-comitato-europeo-per-la-protezione-dei-dati-edpr-dopo-il-gdpr-compiti-e-poteri/.

L'articolo si concentra soprattutto sulla struttura e l'organizzazione dell'EDPB. Io sono più interessato ai lavori di redazione e pubblicazione delle linee guida che, ricordo, si trovano e si troveranno in una pagina del sito dell'EDPB (https://edpb.europa.eu/guidelines-relevant-controllers-and-processors_en). Io intanto mi sono iscritto all'RSS Feed.

venerdì 1 giugno 2018

GDPR: l'EDPB sostituisce il WP art. 29

Il WP Art. 29 dal 25 marzo ha passato le proprie funzioni all'European Data Protection Board o EDPB. Il sito è questo:
- https://edpb.europa.eu/edpb_it.

Al momento non vedo migrate tutte le linee guida e le Opinion (per esempio non trovo quella sul consenso). Se ho capito correttamente, dovremmo trovare tutto in questa pagina:
- https://edpb.europa.eu/guidelines-relevant-controllers-and-processors_en.

Intanto però l'EDPB ha pubblicato una linea guida definitiva (sulle deroghe ai trasferimenti internazionali) e una bozza (sulle certificazioni; peraltro lo stato di bozza è segnalato solo dal sito, non dal documento stesso).