lunedì 3 dicembre 2018

Linee guida ENISA per gli audit NISD

Franco Vincenzo Ferrari di DNV GL mi ha segnalato questa pubblicazione di
ENISA dal titolo "Guidelines on assessing DSP security and OES compliance
with the NISD security requirements":
-
https://www.enisa.europa.eu/publications/guidelines-on-assessing-dsp-securit
y-and-oes-compliance-with-the-nisd-security-requirements
.

Si tratta di una guida per gli audit interni per i "Digital service
provider" (DSP) e gli operatori di servizi essenziali (OES) che vogliono
conformarsi ai requisiti della Direttiva NIS e per gli audit che potrebbero
condurre le autorità nazionali (national competent authorities o NCA o, in
Italia, le "autorità competenti NIS") sempre sulle società a cui è
indirizzata la NIS.

Della NIS ne parlai tempo fa:
-
http://blog.cesaregallotti.it/2018/06/direttiva-nis-in-vigore-veramente.html
.

Ho trovato alcuni punti confusi qua e là (mi chiedo, per esempio, perché
usare la definizione di audit dell'ISACA, che non richiama la conformità, e
non altre, perché confondano metodologie di valutazione del rischio come il
CRAMM con altri documenti come la ISO/IEC 27001; perché citino il CRAMM non
più mantenuto dal 2003 o perché usino il termine "ecosistema"). Però ho
trovato molto interessanti i due elenchi di misure da considerare perché
presentano un elenco di misure che possiamo considerare come "minime"
nell'ambito NIS.

Confermo quello che ho scritto: apprezzo questo lavoro che parte dalle basi
e ne suggerisco la consultazione.

Nessun commento:

Posta un commento