Garante privacy e conservazione email e metadati 04

Su questo argomento avevo scritto in precedenza. L'ultimo post è qui: https://blog.cesaregallotti.it/2024/06/garante-privacy-e-conservazione-email-e.html.

Speravo di leggere più articoli e interpretazioni in merito, invece niente (come spesso succede, trovo tante cose che commentano nell'immediato o nel futuro e troppo poche che ragionano anche con un pelo di ritardo; però ho già scritto sul fatto che chi si occupa di sicurezza non debba ricercare la novità e non voglio tediare oltre).

Segnalo l'approccio di un fornitore di email. Per evitare problemi, evito di dare il nome, ma si tratta di un soggetto piuttosto grande.

Questo fornitore dice che tratta i log delle email come titolare. Questo quindi toglie al cliente la titolarità di questi log e non l'obbliga più alla cancellazione.

Questo prevede quindi che il cliente non abbia accesso ai log, nemmeno su richiesta, soprattutto se oltre ai 21 giorni, visto che l'obiettivo del Provvedimento del Garante è evitare l'accesso del datore di lavoro ai dati dei lavoratori.

Le Condizioni contrattuali del fornitore devono riportare qualcosa come: “i dati di cui parla il Provvedimento sono log di comunicazione elettronica; essi non sono oggetto di fornitura di servizio, ma sono trattati dal fornitore in qualità di titolare del trattamento, per sue finalità non rientranti nella disciplina del diritto del lavoro (p.e. controllo prestazioni, sicurezza informatica)”.

Lo stesso fornitore di email dovrebbe quindi mettere a disposizione, per esempio sul sito web, un'informativa per gli utilizzatori dell’email dei clienti (segnalo che l'informativa pubblica del fornitore di cui parlo non mi sembra chiara su questo punto).

A sua volta, il datore di lavoro dovrebbe integrare l'informativa privacy al lavoratore indicando che l'uso dell'email implica il trattamento dei dati da parte di altro titolare. Potrebbe anche riportare il link dell'informativa del fornitore, se disponibile.

Rimarrebbe aperto il caso delle caselle email del personale del fornitore stesso. Per questo, al momento, non ho risposte.

Privacy: sanzionato il backup delle e-mail dopo la cessazione del rapporto di lavoro

Ferruccio Militello ha segnalato agli Idraulici della privacy il Provvedimento del Garante privacy del 17 luglio 2024 [doc. web 10053224]: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/10053224.

Il titolo dice già tutto. Segnalo però questo articolo (grazie a Franco Vincenzo Ferrari): https://www.cybersecurity360.it/news/il-backup-delle-e-mail-dopo-la-cessazione-del-rapporto-di-lavoro-viola-il-gdpr-la-sanzione/.

Provo a sintetizzare quanto ho capito:

• il fatto che l'interessato fosse un agente e non un lavoratore dipendente, non cambia il fatto che la società sia titolare del trattamento;
• l'informativa riportava i tempi di conservazione (6 mesi) dei log degli accessi alla posta elettronica e al gestionale; contestati facendo riferimento anche al precedente provvedimento che indica 21 giorni come tempo di riferimento;
• l'informativa prevedeva la possibilità, per la società, di accedere alle email, ma solo per garantire la continuità della prestazione lavorativa e non le indagini;
• l'accesso per garantire la continuità della prestazione lavorativa è contestato perché l'email non è uno strumento che garantisce autenticità, integrità, affidabilità, leggibilità e reperibilità (per questo dovrò ripassare (il provvedimento n. 53 del 01/02/2018 doc. web n. 8159221, e il provvedimento n. 214 del 29/10/2020 doc. web 9518890);
• l'informativa riportava il fatto che le caselle di email sono oggetto di back up, conservato per la durata del rapporto di lavoro e i 3 anni successivi alla cessazione; tali tempi  sono contestati perché non sono giustificati;
• l'informativa riportava il fatto che le caselle di email sono oggetto di back up per finalità di sicurezza informatica, mentre i backup sono stati utilizzati per finalità di indagine;
• in tutti i casi, la conservazione così estesa per un tempo così lungo è considerata non proporzionata e, anzi, porta al controllo sull’attività dei lavoratori, come descritta dallo Statuto dei lavoratori (art. 4 della L. 300 del 1970), e quindi doveva essere avviata in presenza di "accordo con le rappresentanze dei lavoratori o, in assenza, autorizzazione dell’Ispettorato del lavoro".

DoD (USA) Cybersecurity Maturity Model Certification (CMMC) Program Final Rule

Il Ministero della difesa statunitense (DoD) ha aggiornato il proprio Cybersecurity Maturity Model Certification (CMMC) Program per la qualifica dei suoi fornitori. Dettagli si trovano sulla pagina: https://dodcio.defense.gov/CMMC/Documentation/.

Non sono riuscito a capire bene il funzionamento, ma ho capito che me lo devo ricordare per la prossima volta che mi lamento della complessità nostrana.

Pubblicata la ISO/IEC 27019:2024 con i controlli di sicurezza per il settore dell'energia

Segnalo che è stata pubblicata la ISO/IEC 27019:2024 "Information security controls for the energy utility industry": https://www.iso.org/standard/85056.html.

Riporta, come la ISO/IEC 27017 e la ISO/IEC 27018, controlli di sicurezza aggiuntivi rispetto a quelli già presenti nella ISO/IEC 27001 e linee guida per la loro implementazione aggiuntive rispetto a quelle già presenti nella ISO/IEC 27002. Non mi risulta ci siano cambiamenti significativi se non quelli necessari per allineare la versione del 2017 ai controlli delle ISO/IEC 27001 e ISO/IEC 27002 del 2022.

Piracy Shield e il blocco di Google Drive

Avevo appena segnalato l'aggiornamento al Piracy Shield, di cui avevo perso anche la prima versione, dicendo che non era materia mia ma che andava comunque conosciuta, che ecco che un bell'incidente di sicurezza delle informazioni mi smentisce: https://www.linkedin.com/comm/pulse/piracyshield-e-lincidente-google-la-caduta-degli-innocenti-ieranò-i36vf.

In poche parole: il sistema di AGCOM per bloccare (automaticamente e senza intervento umano) i contenuti illeciti ha bloccato anche i contenuti leciti e in particolare Google Drive.

Non commento perché già altri lo stanno facendo con ben superiore competenza (e ironia) della mia.

NIS2: Implementing Regulation della Commissione

Come previsto dalla NIS2, la Commissione ha pubblicato il Regolamento di esecuzione (UE) 2024/2690 della Commissione che stabilisce "i requisiti tecnici e metodologici delle misure di cui al paragrafo 2 per quanto riguarda i fornitori di servizi DNS, i registri dei nomi di dominio di primo livello, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network, nonché i prestatori di servizi fiduciari": https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32024R2690.

Grazie a Franco Ferrari e Alessandro Cosenza che per primi me l'hanno segnalato e a Chiara Ponti per i riferimenti precisi.

Preferisco segnalare l'articolo che ho scritto in merito (anche se, rileggendolo, vedo che ho lasciato qualche refuso): https://www.cybersecurity360.it/legal/nis2-ecco-le-regole-della-commissione-ue-per-una-corretta-attuazione-della-direttiva/. 

Su LinkedIn ho provato a scriverne una versione in inglese.

Ho però il sospetto che sia stata consultata molto anche la CEN/TS 18026:2024 "Three-level approach for a set of cybersecurity requirements for cloud services" a cui però non ho accesso.

ISO/TS 22360:2024 sulle crisi

Laura Zarrillo mi ha segnalato la pubblicazione della ISO/TS 22360:2024 "Security and resilience — Crisis management — Concepts, principles and framework": https://www.iso.org/standard/50266.html.

Il testo mi è sembrato pieno di idee interessanti, ma confuso (per esempio, c'è un elenco di possibili eventi naturali, ma non di altra origine) e proponga più analisi di possibili soluzioni.

Va detto che ho letto la bozza quasi-finale, quindi qualche cambiamento ci sarà, ma non strutturale.

ISO 22336:2024 sulla resilienza

Laura Zarrillo mi ha segnalato la pubblicazione della ISO 22336:2024 "Security and resilience — Organizational resilience — Guidelines for resilience policy and strategy": https://www.iso.org/standard/50073.html.

La parte più interessante mi sembra quella relativa ai comportamenti di un'organizzazione (inclusiva, integrata, riflessiva, preparata, robusta, innovativa). Sembrano, e forse sono, cose ovvie e irriealizzabili, però vale la pena rifletterci.

 

Minacce e attacchi: Bancario spia i conti correnti (ma non è un "incidente di sicurezza"!)

Sandro Sanna mi ha segnalato la notizia del bancario che spiava i conti correnti di numerose persone. Ho trovato un articolo in merito: https://www.lagazzettadelmezzogiorno.it/news/italia/1559851/conti-spiati-l-indagine-su-intesa-sanpaolo-l-ipotesi-non-ha-fatto-tutto-il-possibile-per-evitare-gli-abusi-rischia-richieste-di-risarcimento.html.

Ci sono indagini in corso e io non ho elementi per dire se Intesa Sanpaolo ha attuato tutte le misure possibili. Sandro però mi ha segnalato il comunicato stampa della banca: https://group.intesasanpaolo.com/it/newsroom/comunicati-stampa/2024/10/comunicato-stampa-13-ottobre-2024.

La cosa interessante è che dice “non c'è stato alcun problema di sicurezza informatica”, dimostrando così che spesso il termine “problema di sicurezza informatica” è usato per attacchi di malintenzionati e non anche eventi come questo o disservizi. E’ bene sapere però che, per gli standard, si tratta sicuramente di un incidente di sicurezza delle informazioni.

Normativa: FAQ di ACN su NIS2

ACN ha pubblicato le FAQ sulla NIS2: https://www.acn.gov.it/portale/faq/nis.

Ringrazio per questo Severiano Maria Moiso che l'ha segnalato rispondendo a un mio post su LinkedIn.

In particolare, segnala la domanda 1.6 "Come faccio a sapere se sono una grande, media o piccola impresa" che riporta indicazioni utili.

Segnalo anche la domanda 1.12 "Dopo essermi registrato sulla piattaforma di ACN sarò un soggetto NIS?". La risposta è no perché prima bisogna ricevere conferma da ACN.

"Piracy shield" - Aggiornamento

Non mi ero accorto del "Piracy shield" (da non confondere con il “privacy shield”!) anche perché non rientra nelle mie competenze. Una segnalazione di Alessandro Davanzo di CoreTech mi ha fatto però capire che è necessario sapere almeno di cosa si tratta.

Il “piracy shield” è la Legge 93 del 2023 e ha l’obiettivo di tutelare il “diritto d'autore mediante le reti di comunicazione elettronica”, in sostanza vuole bloccare la diffusione di materiale coperto da diritto d’autore online (video, musica, eccetera) e di piattaforme di streaming illegale (calcio soprattutto). Impone quindi regole per il blocco di contenuti da parte dei “prestatori di servizi di accesso alla rete”.

A ottobre 2024, il DL 113 del 2024 (che riguarderebbe questioni fiscali!), convertito e modificato dalla Legge 143 del 2024, all’articolo 6-bis, modifica la Legge 93 e quindi la estende, oltre ai prestatori di servizi di accesso alla rete, ai “fornitori di servizi di VPN e quelli di DNS pubblicamente disponibili ovunque residenti e ovunque localizzati" e cambia un po’ le regole per bloccare e sbloccare i siti.

Sempre il DL 113 modificato eccetera modifica anche la Legge 633 del 1941 (quella sul diritto d’autore) e le aggiunge un aticolo 174-sexies che:

• impone a tutti i fornitori di servizi internet l'obbligo di segnalare persino il sospetto di attività illecite online, pena sanzioni penali fino a un anno di carcere;
• impone agli stessi di designare e notificare ad (AGCOM) “un punto di contatto che consenta loro di comunicare direttamente, per via elettronica, con l'Autorità medesima ai fini dell'esecuzione della presente legge”; non viene indicato come notificare, ahinoi, e quindi per i più ansiosi rimane l’email che si trova alla pagina https://www.agcom.it/contatti-telefonici-e-posta-elettronica.

Non faccio commenti, ma capisco che queste disposizioni sono criticate nella forma e nella sostanza. Segnalo quindi un articolo un po’ più lungo (https://www.wired.it/article/piracy-shield-nuovo-emendamenti-carcere-agcom-white-list/) e uno un po’ più corto (https://www.tomshw.it/hardware/la-nuova-legge-anti-pirateria-italiana-mina-la-liberta-di-internet-2024-10-12).

Per chi vuole leggersi le normative, ecco i link:

• DL 113 del 2024, modificato con la L 143 del 2024: https://www.normattiva.it/eli/id/2024/08/09/24G00136/CONSOLIDATED/20241015;
• L 93 del 2023 (non ancora aggiornata ad oggi): https://www.normattiva.it/eli/id/2023/07/24/23G00103/CONSOLIDATED/20241015;
• L 633 del 1941 (non ancora aggiornata ad oggi): https://www.normattiva.it/eli/id/1941/07/16/041U0633/CONSOLIDATED/20241015.

Adottato il Cyber resilience act

Il Consiglio dell'Unione europea ha adottato "un nuovo regolamento sui requisiti di cibersicurezza per i prodotti con elementi digitali al fine di garantire che prodotti quali fotocamere domestiche connesse, frigoriferi, televisori e giocattoli siano sicuri prima della loro immissione sul mercato (regolamento sulla ciberresilienza)": https://www.consilium.europa.eu/it/press/press-releases/2024/10/10/cyber-resilience-act-council-adopts-new-law-on-security-requirements-for-digital-products/.

Dovremo aspettare la pubblicazione in Gazzetta ufficiale dell'Unione europea per studiarlo bene. Con la pubblicazione scatteranno i 3 anni per la sua implementazione. Credo però che dovremo anche capire bene se e quali norme tecniche saranno disponibili.

Ringrazio la newsletter di Project:IN Avvocati, dove ho trovato la notizia.

Guida EDPB sul legittimo interesse

Chiara Ponti degli Idraulici della privacy ha segnalato la pubblicazione delle "Guidelines 1/2024 on processing of personal data based on Article 6(1)(f) GDPR": https://www.edpb.europa.eu/our-work-tools/documents/public-consultations/2024/guidelines-12024-processing-personal-data-based_en.

Non l'ho ancora studiata, ma ero convinto che una pubblicazione così ci fosse già, invece questa è la versione 1.0. Nel 2018 avevo segnalato un'altra pubblicazione simile, ma di ben altro valore rispetto a questa.

Solo una nota a margine: la prossima volta che mi dicono che in Italia le leggi sono scritte in modo incomprensibile, segnalerò il titolo di questa pubblicazione, che non aiuta affatto a capire di cosa si tratta (mentre nelle News, gentilmente, EDPB le segnala come "Guidelines on the processing of personal data based on legitimate interest").

Data governance act (DGA) - Decreto di adeguamento italiano

Giovanni Ciano degli Idraulici della privacy ha segnalato a noi idraulici la pubblicazione del D. Lgs. 144 del 2024, decreto di adeguamento Data Governance Act (Regolamento europeo 868 del 2022): https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2024-10-07;144!vig=2024-10-13.

Sul DGA avevo scritto al tempo, confessando la mia ignoranza: https://blog.cesaregallotti.it/2022/10/data-governance-act-dga.html. La mia competenza in merito non è aumentata e rimane sempre intorno allo zero.

Giovanni Ciano segnala, come elemento significativo del D. Lgs. 144: "AgID designata autorità competente".

Sempre tenendo conto della mia ignoranza, non mi sembra che ci sia molto altro.

NIST, cambio delle password e chi arriva tardi sulle notizie

Claudio Sartor mi ha segnalato il podcast di Paolo Attivissimo del 11 ottobre 2024 dal titolo "Password, Microsoft e NIST dicono che cambiarle periodicamente è sbagliato": https://attivissimo.me/2024/10/11/podcast-rsi-password-microsoft-e-nist-dicono-che-cambiarle-periodicamente-e-sbagliato/.

Avevo visto anche un articolo in merito su Agenda Digitale (https://www.agendadigitale.eu/sicurezza/password-stiamo-sbagliando-quasi-tutto-ecco-perche/).

Però: questa non è una notizia. Le pubblicazioni del NIST già nel 2017 dicevano che cambiare le password periodicamente non è corretto (https://blog.cesaregallotti.it/2017/08/del-nist-e-della-lunghezza-e.html) e su Microsoft la notizia è almeno del 2019 (https://blog.cesaregallotti.it/2019/04/microsoft-e-il-cambio-delle-password.html). Per completezza, Attivissimo segnala l'iniziativa di Microsoft del 2019.

Sulla questione, poi, a febbraio avevo pubblicato un post per segnalare posizioni contrastanti: https://blog.cesaregallotti.it/2024/02/sul-cambio-delle-password.html (con Stefano Ramacciotti, se non ricordo male, ci avevamo anche scritto un articolo pubblicato non ricordo più dove).

Perché questa dissertazione? Per dire quanto sono bravo? Un po', ma soprattutto perché mi stupisce moltissimo di arrivare anni (!) prima di persone preparatissime come Paolo Attivissimo e Danilo Bruschi. O forse si sono solo dimenticati di dire che queste regole sono state recentemente confermate? O forse è il risultato di un taglio editoriale un po' troppo esteso?

Però il mio pensiero è ancora diverso: si parla tanto di innovazione, di come sarà la sicurezza tra 10 o 15 anni, di quali strategie prendere, ma penso che chi si occupa di sicurezza non ha il compito di innovare, ma di inseguire chi vuole innovare. Noi al massimo possiamo usare strumenti inventati da altri (l'intelligenza artificiale, il calcolo quantistico quando mai ci sarà, eccetera), ma abbiamo scelto una materia che per sua natura deve inseguire (al massimo riesce a inseguire a pochissima distanza). Facciamocene una ragione.

E così, è normale che guru come Attivissimo e Bruschi arrivino tardi sulle notizie. Mi preoccupano di più quelli che cercano di arrivarci prima del dovuto (come quelli che ci hanno tormentato su GDPR e NIS2 troppo prima della loro pubblicazione, creando falsi allarmi e, poi, stanchezza).

Ah… infine: Claudio Sartor mi segnala la conclusione del pezzo di Attivissimo, dove riporta che i "dirigenti preferiscono passare gli audit" piuttosto che implementare reali misure di security. Claudio accenna al fatto che si tratta di una vecchia storia e ha ragione (e anche questo dimostra quanto la nostra materia non sia di innovazione).

ISO/IEC 29100:2024 liberamente scaricabile

La ISO/IEC 29100:2024 è scaricabile liberamente: https://standards.iso.org/ittf/PubliclyAvailableStandards/.

La ISO/IEC 29100:2024 ha titolo "Privacy framework" e riporta la terminologia ISO per gli standard privacy, oltre ai principi e ad altre indicazioni utili.

Non è una norma di requisiti né di linee guida, ma fornisce una base per queste e infatti i controlli delle ISO/IEC 27701, ISO/IEC 27017, ISO/IEC 27018 e probabilmente altre  sono organizzati secondo i principi specificati dalla ISO/IEC 29100:2024.

4 novembre: Open Day DFA sull'intelligenza artificiale

Il 4 novembre a Milano ci sarà la giornata di studio dell'associazione DFA sull'intelligenza artificiale. Per avere maggiori dettagli e iscriversi (gratuitamente!): https://www.eventbrite.it/e/biglietti-ia-dalla-strategia-alla-pratica-1015451311207.

Questo lo pubblicizzo perché sono consigliere dell'associazione e perché ho contribuito all'organizzazione (in realtà, il mio contributo è stato minimo e gli onori vanno soprattutto agli altri consiglieri che hanno fatto gran parte del lavoro).

Relatori di grande spessore e taglio operativo sono gli obiettivi dell'incontro.

Gli uomini possono fare tutto (ottobre 2024)

Quando i figli vanno alla primaria, i genitori devono accompagnarli e riprenderli. Con la secondaria possono autorizzarli all'uscita autonoma e i genitori tirano un sospiro di sollievo...

...tranne accorgersi che tornano a casa alle 14 con una fame incredibile. E quindi i genitori devono correre ai ripari e i metodi sono numerosi (cucinare al volo, .

Io, quando posso, preferisco preparare al virgulto qualcosa di veloce e appena incontro qualche genitore o nonno chiedo se hanno ricette valide. Quindi ringrazio la nonna di Pietro che quest'estate mi ha spiegato come fare il pesto (sarà facile, ma bisogna anche impararlo).

Anni fa avevo letto il libro "La cucina" di Imma Forino perché ci racconta come gli uomini, tradizionalmente, non schifano la cucina, ma solo quando possono dedicarcisi come Pepe Carvalho. La situazione cambia quando diventa un compito quotidiano e ripetitivo. Vedo infatti che è molto faticoso quando chiedo consigli a certi appassionati (tipicamente maschi), che mi vogliono raccontare come fare correttamente (e con tempo a disposizione) la carbonara o piatti complicati o con ingredienti difficili da trovare, quando invece sono alla ricerca di soluzioni veloci e sane.

Se qualcuno volesse poi darmi suggerimenti, ringrazio.

Stato delle norme ISO/IEC 270xx - Ottobre 2024

La settimana del 30 settembre si è tenuto l'incontro annuale del ISO/IEC JTC 1 SC 27 WG 1, ossia del gruppo che si occupa di redigere le norme della "famiglia ISO/IEC 27001".

Questa volta non ho partecipato perché l'incontro era in remoto, con orari favorevoli ai colleghi dell'estremo oriente (dalle 23 alle 3). Dai resoconti vedo quanto segue:

• la ISO/IEC 27003, guida ai sistemi di gestione per la sicurezza delle informazioni (in sostanza, una guida per implementare la ISO/IEC 27001) rimane in stato di working draft e quindi sarà pubblicata tra non meno di 2 anni; va detto che la norma non tratta dei controlli di sicurezza e quindi il testo basato sulla ISO/IEC 27001:2013 è in grandissima parte ancora valido per la ISO/IEC 27001:2022;
• per la ISO/IEC 27004, sulle misurazioni per la sicurezza delle informazioni, sono iniziati i lavori ufficiali, partendo dal working draft e se ne prevede la conclusione tra 3 anni; dalla discussione fatta 6 mesi fa, non sembrano previsti grandi cambiamenti, ma tutto può succedere;
• la ISO/IEC 27017, con i controlli per i servizi cloud, passa in DIS e quindi dovrebbe essere pubblicata tra meno di un anno.

Prossimo incontro a marzo 2025 in presenza negli USA. Fortunatamente con tutti i WG dell'SC 27 (quindi anche quello sulla privacy di cui parlo altrove).

Stato delle norme ISO/IEC 270xx - Privacy - Ottobre 2024

La settimana del 30 settembre si è tenuto l'incontro annuale del ISO/IEC JTC 1 SC 27 WG 5, ossia del gruppo che si occupa di redigere le norme ISO sulla privacy, inclusa la ISO/IEC 27701.

Questa volta non ho partecipato perché l'incontro era in remoto, con orari favorevoli ai colleghi dell'estremo oriente (dalle 23 alle 3). Dai resoconti vedo quanto segue:

• la ISO/IEC 27701, sui sistemi di gestione per la privacy passa in FDIS e quindi dovrebbe essere pubblicata tra circa 6 mesi; l’approfondisco di seguito;
• la ISO/IEC 27706, sulle regole per certificare ISO/IEC 27701 passa in FDIS e quindi dovrebbe essere pubblicata tra circa 6 mesi; continuo a pensare che le giornate di audit previste siano troppe e questo potrà affossare l’appettibilità della ISO/IEC 27701, ma vedremo;
• la ISO/IEC 27018, con i controlli privacy per i servizi cloud offerti da responsabili del trattamento, passa in FDIS e quindi dovrebbe essere pubblicata tra circa 6 mesi; non sono molto convinto del risultato finale perché non migliora l’attuale versione, però credo sopravvivremo;
• la ISO/IEC 29151, sui controlli per i titolari, basati sulla ISO/IEC 27002, passa in DIS e sarà pubblicata tra un anno. 

 Relativamente alla futura ISO/IEC 27701:

• delle sue caratteristiche ho già scritto in precedenza su https://www.agendadigitale.eu/sicurezza/iso-iec-27701-sui-sistemi-di-gestione-per-la-privacy-come-e-come-sara/;
• purtroppo la norma lascia intendere una distinzione tra “privacy” e “sicurezza delle informazioni” (introducendo il concetto di “security programme”), come se la protezione della riservatezza, integrità e disponibilità dei dati personali non sia parte integrante della “privacy”;
• presenta una lista di controlli tecnici (non saprei come altro chiamarli) che è una selezione incoerente e incompleta dei controlli della ISO/IEC 27001; infatti tali controlli sono stati scelti solo perché sono presenti linee guida aggiuntive per la loro implementazione in ambito privacy, ma ci sono controlli fondamentali anche senza linee guida aggiuntive;
• personalmente avrei preferito una discussione più approfondita, anche a costo di usare ancora per altri 2 anni la versione del 2019, visto che ormai abbiamo imparato a usarla, anche se disallineata con la ISO/IEC 27001:2022, piuttosto che tenerci questa per almeno altri 6 anni.

Ulteriore argomento di interesse è che l’ISO/IEC JTC 1 vuole aprire un “ad hog group”, detto AHG 9, che si occupi della “consumer privacy”, ossia della privacy per i consumatori. Ovviamente, il fatto che ci siano due gruppi (SC 27 WG 5 e AHG 9) che si occupano di privacy è assurdo. Vedremo cosa succederà.

Prossimo incontro a marzo 2025 in presenza negli USA. Fortunatamente con tutti i WG dell'SC 27.

Mio articolo "NIS 2 e recepimento italiano"

Ovviamente non potevo mancare la pubblicazione di un mio articolo su NIS 2 e D. Lgs. 138 del 2024: https://www.cybersecurity360.it/legal/nis-2-e-recepimento-italiano-regole-e-adempimenti-per-le-aziende/.

Diciamo che ho cercato di rendere i miei appunti fruibili anche ad altri e quindi la forma non è superlativa.

Mi piacerebbe soprattutto che mi vengano segnalati errori, omissioni e possibili miglioramenti. Credo infatti di avere ancora molto da imparare su questa materia.

Pubblicato il D. Lgs. 134 del 2024 di recepimento della CER

E' stato pubblicato il Recepimento Direttiva (UE) 2022/2557, detta CER (D. Lgs. 4 settembre 2024, n. 134): https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2024-09-04;138.

La Direttiva CER è quella relativa alla resilienza dei soggetti critici. Può sembrare simile alla NIS2, ma questa CER riguarda la continuità, di cui la sicurezza informatica è solo una parte e infatti un soggetto critico per la CER è automaticamente un soggetto a cui si applica la NIS2.

Per la CER, al contrario della NIS 2, non è l'impresa a dover valutare se è un soggetto critico, ma sono le ASC (autorità settoriali competenti) a identificare i soggetti critici, ossia che forniscono servizi essenziali, e notificare loro il loro stato.

La Direttiva e il D. Lgs. descrivono poi gli obblighi di valutazione del rischio, di adozione di misure di sicurezza e di notifica degli incidenti. Nulla di nuovo e non riporto qui le specificità. Segnalo però l'interessante art. 13 comma 4 che, in poche parole, dice che si possono riutilizzare le valutazioni del rischio già fatte per altri motivi, purché ovviamente considerino i rischi specifici relativi alla resilienza e alla continuità e alla dipendenza da altri soggetti.

Interessante anche la possibilità di chiedere, da parte del PCU (punto di contatto unico in materia di resilienza dei soggetti critici, presso la Presienza del Consiglio) e dell'ASC, una "missione di consulenza" per valutare le misure adottate dal soggetto critico.

Pubblicato il D. Lgs. 138 del 2024 di recepimento della NIS 2

E' stato pubblicato il Recepimento Direttiva (UE) 2022/2555, detta NIS 2 (D. Lgs. 4 settembre 2024, n. 138): https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2024-09-04;138.

Innanzi tutto, le scadenze. Per questo faccio riferimento a chi ha sicuramente studiato meglio di me e rimando all'articolo "Recepimento della Direttiva NIS 2: niente panico": https://www.cybersecitalia.it/recepimento-della-direttiva-nis-2-niente-panico/39245/.

ENISA Threat Landscape 2024

ENISA ha pubblicato il Threat Landscape 2024: https://www.enisa.europa.eu/publications/enisa-threat-landscape-2024.

Non vorrei sembrare quello che banalizza tutto, ma non mi sembra ci siano novità significative. Poi, pubblicazioni come questa sono comunque utili per mantenere l'attenzione sulle minacce informatiche e per ripassare le misure di sicurezza (andare direttamente a pagina 110).