Andrea Evangelista via LinkedIn mi ha segnalato la pubblicazione del DM del 12 dicembre 2018 del Ministero dello sviluppo economico e pubblicato in G.U. il 21 gen 2019 "Misure di sicurezza ed integrità delle reti di comunicazione elettronica e notifica degli incidenti significativi":
- www.gazzettaufficiale.it/eli/id/2019/01/21/19A00317/s.
Andrea Evangelista mi dice "dettaglia l'art. 16bis e ter del Codice delle comunicazioni elettroniche. E' un po' l'equivalente del D. NIS per i servizi di comunicazione elettronica e i fornitori di reti e servizi di comunicazione".
Per completezza, il link al Codice delle comunicazioni elettroniche:
- www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2003-08-01;259!vig=
Qualche riflessione (cerco di unire le mie con quelle di Andrea; ogni errore e mio):
- i destinatari sono i "fornitori di servizi di reti e servizi di comunicazione elettronica", ossia i fornitori di connessione (Telco) e le società cosiddette "wholesale only", ossia quelle che hanno una concessione ex art. 25 del Codice delle comunicazioni elettroniche; non è indirizzato ai fornitori di contenuti;
- quando parla di incidenti (articolo 5), li intende solo come con impatto sulla disponibilità e non su integrità (dei dati) e riservatezza (ha come obiettivo di garantire la disponibilità e continuità dei servizi sulle reti e prevenire i cosiddetti incidenti significativi che creano "disservizi");
- interessante il sunto di un sistema di gestione per la sicurezza delle informazioni dell'articolo 4 (anche se certe rigidità normative possono essere discusse);
- interessante anche quando all'art. 6 comma 2 tratta "dell'eventuale possesso di certificazioni di conformità...";
- meno apprezzabile il ricorso agli "asset" come base per la valutazione del rischio, concetto ormai ritenuto superato (ma va detto che il testo è sufficientemente ambiguo e può essere letto anche pensando alla necessità di descrivere correttamente i servizi e identificare i rischi non necessariamente per ciascun asset; usa termini come "potenzialmente in grado" e "asset propri o di terzi che contribuiscono anche parzialmente alla fornitura dei servizi...").
Nessun commento:
Posta un commento