Nuovo Regolamento macchine e cybersecurity

E' stato pubblicato il Regolamento (UE) 2023/1230 relativo alle macchine. Esso abroga la Direttiva macchine, ossia la Direttiva relativa alla sicurezza delle macchine industriali (questa mia indicazione è molto imprecisa e serve solo a contestualizzare).

Su questo argomento ho letto con interesse l'articolo "Il nuovo Regolamento Macchine: la Cybersecurity Industrial elemento essenziale dal Design della Macchina e durante tutto il suo ciclo di vita": https://www.ictsecuritymagazine.com/articoli/il-nuovo-regolamento-macchine-la-cybersecurity-industrial-elemento-essenziale-dal-design-della-macchina-e-durante-tutto-il-suo-ciclo-di-vita/.

In pochissime parole, il Regolamento introduce in modo molto chiaro la necessità di valutare la sicurezza delle macchine anche relativamente all'hardware e al software. Questo è molto giusto perché hardware e software che non funzionano correttamente possono portare a funzionamenti imprevisti e, quindi, pericoli per le persone.

Il testo del Regolamento si trova qui: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32023R1230.

Il regolamento si applicherà dal 14 gennaio 2027.

Ancora una volta, i dettagli su come valutare le macchine saranno ulteriormente specificate nella normativa di armonizzazione.

Nuova versione della NIST SP 800-82 sull'OT

Segnalo la pubblicazione della r3 della NIST SP 800-82 dal titolo "Guide to Operational Technology (OT) Security": https://csrc.nist.gov/pubs/sp/800/82/r3/final.

Io avevo letto la versione 2 e l'avevo trovata molto interessante. Diciamo che riporta molte cose che si ritrovano nelle IEC 62443, ma in formato gratuito.

I cambiamenti apportati da questa versione 3 sono numerosi e sono riassunti nell'ultima pagina. Non riesco al momento a rileggere tutto il documento.

Noto però, con un certo disappunto, che il NIST sta proseguendo nella sua campagna di "de-sintetizzazione" e infatti questa versione è di 316 pagine, mentre la precedente era di 247 (più del 20% in più).

 

Data Governance Act ora applicativo: così cambia l'economia digitale

Segnalo questo articolo dal titolo "Data Governance Act ora applicativo: così cambia l’economia digitale": https://www.agendadigitale.eu/sicurezza/privacy/la-data-economy-alla-prova-del-data-governance-act-lo-scenario/. 

Non credo che mi occuperò mai di DGA, ma credo sia comunque opportuno sapere che esiste.

Interpretazione della NIS2 della Commissione europea

Il 18 settembre ho partecipato, come organizzatore, al convegno di DFA su "NIS 2 e non solo - Aspetti pratici e relazioni". In quella occasione, Pierluigi Perri ha fatto riferimento alle "Commission Guidelines on the application of Article 4 (1) and (2) of Directive (EU) 2022/2555 (NIS 2 Directive)".

Grazie a un post su LinkedIn di Stefano Mele (https://www.linkedin.com/posts/stefanomele_direttiva-nis2-chiarimenti-applicativi-della-activity-7108489999695642624-Sp9X) li ho trovati sul web con data di pubblicazione del 14 settembre: https://digital-strategy.ec.europa.eu/en/library/commission-guidelines-application-article-4-1-and-2-directive-eu-20222555-nis-2-directive.

Non li ho ancora letti, ma sicuramente sono interessanti.

Riconoscere le minacce deepfake

NSA, FBI e CISA hanno pubblicato un breve (18 pagine) rapporto dal titolo "Contextualizing Deepfake Threats to Organizations": https://www.cisa.gov/news-events/alerts/2023/09/12/nsa-fbi-and-cisa-release-cybersecurity-information-sheet-deepfake-threats.

Scritto bene e sintetico, spiega cosa sono queste minacce.

Un capitolo spiega perché le minacce deepfake possono avere impatti sulle organizzazioni (attaccare l'immagine di persone collegate all'organizzazione, capacità di impersonare qualcuno e quindi frodare qualcuno o avere accesso a dati o sistemi). Si tratta di casi forse rari per molti, ma sicuramente da considerare.

Le contromisure sono legate alla capacità di ciascuno di analizzare il materiale potenzialmente alterato.

 

Whitepaper di ISC2 sulla Business Continuity

Segnalo che ISC2 ha pubblicato il documento "La Business Continuity", che illustra i passi da fare per affrontare questo argomento: https://www.isc2chapter-italy.it/nuovo-whitepaper-sulla-business-continuity/.

Il taglio è didattico e ben fatto.

Ero stato informato della preparazione del documento e ne avevo letto la bozza. Ringrazio invece Franco Vincenzo Ferrari per avermene segnalato la pubblicazione.