giovedì 3 ottobre 2024

Pubblicato il D. Lgs. 134 del 2024 di recepimento della CER

E' stato pubblicato il Recepimento Direttiva (UE) 2022/2557, detta CER (D. Lgs. 4 settembre 2024, n. 134): https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2024-09-04;138.

 

La Direttiva CER è quella relativa alla resilienza dei soggetti critici. Può sembrare simile alla NIS2, ma è applicabile anche a soggetti importanti sono solo per i servizi informatici. Da notare però che un soggetto critico per la CER è automaticamente un soggetto a cui si applica la NIS2.

 

Va detto che in questo caso non è l'impresa a dover valutare se è un soggetto critico, ma sono le ASC (autorità settoriali competenti) a identificare i soggetti critici, ossia che forniscono servizi essenziali, e notificare loro il loro stato. Qui è chiara l'importanza soprattutto per la continuità.

 

La Direttiva e il D. Lgs. descrivono poi gli obblighi di valutazione del rischio, di adozione di misure di sicurezza e di notifica degli incidenti. Nulla di nuovo e non riporto qui le specificità. Segnalo però l'interessante art. 13 comma 4 che, in poche parole, dice che si possono riutilizzare le valutazioni del rischio già fatte per altri motivi, purché ovviamente considerino i rischi specifici relativi alla resilienza e alla continuità e alla dipendenza da altri soggetti.

 

Interessante anche la possibilità di chiedere, da parte del PCU (punto di contatto unico in materia di resilienza dei soggetti critici, presso la Presienza del Consiglio) e dell'ASC, una "missione di consulenza" per valutare le misure adottate dal soggetto critico.

Pubblicato il D. Lgs. 138 del 2024 di recepimento della NIS 2

E' stato pubblicato il Recepimento Direttiva (UE) 2022/2555, detta NIS 2 (D. Lgs. 4 settembre 2024, n. 138): https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2024-09-04;138.

 

Innanzi tutto, le scadenze. Per questo faccio riferimento a chi ha sicuramente studiato meglio di me e rimando all'articolo "Recepimento della Direttiva NIS 2: niente panico": https://www.cybersecitalia.it/recepimento-della-direttiva-nis-2-niente-panico/39245/.

 

Io avevo riassunto molto di più così:

- Entro il 17 gennaio 2025 bisogna valutare se si è soggetto essenziale o importante e registrarsi sulla piattaforma ACN. Entro il 15 aprile, ACN dirà se si è dentro;

- entro il 17 ottobre 2025, bisogna adeguarsi all’articolo 25 (notifica incidenti, e quindi il processo andrà stabilito;

- entro il 1 gennaio 2026, bisogna essere adeguati all’art. 30 (aggiornare l’elenco di attività, servizi e tutto quanto sulla piattaforma di ACN);

- entro giugno 2026, più o meno, bisogna adeguarsi agli articoli 23, 24 (gestione dei rischi) e 29 (banca dati nomi a dominio).

 

L'articolo di Mele e Bavetta aggiungono 3 mesi ai tempi di adeguamento all'articolo 25 e poi agli articoli 23, 24 e 29. Un giorno capirò dove sbaglio.

 

Detto questo, mi dilungo su alcuni punti del D. Lgs. tenendo conto di 2 cose:

1- forse sbaglio e quindi prego i lettori di segnalarmi gli errori;

2- mi concentrerò sugli adempimenti per le "organizzazioni", prevalentemente quindi le aziende.

 

Per comodità, ho riportato tutto su un documento pubblicato qui: https://www.cesaregallotti.it/Pdf/Pubblicazioni/2024-NIS-2-Appunti-Cesare-ENG.pdf.

mercoledì 2 ottobre 2024

ENISA Threat Landscape 2024

ENISA ha pubblicato il Threat Landscape 2024: https://www.enisa.europa.eu/publications/enisa-threat-landscape-2024.

 

Non vorrei sembrare quello che banalizza tutto, ma non mi sembra ci siano novità significative. Poi, pubblicazioni come questa sono comunque utili per mantenere l'attenzione sulle minacce informatiche e per ripassare le misure di sicurezza (andare direttamente a pagina 110).