Come già detto, ACN ha aggiornato le "Specifiche di base per l'adempimento agli obblighi di cui agli articoli 23, 24, 25, 29 e 32 del decreto NIS":
https://www.acn.gov.it/portale/nis/la-normativa.
Ho avuto quindi modo di rileggere le definizioni di incidenti significativi e sono rimasto perplesso.
Il primo tipo di incidente significativo è quando "Il soggetto NIS ha evidenza della perdita di riservatezza, verso l'esterno, di dati digitali di sua proprietà o sui quali esercita il controllo, anche parziale".
Quindi rientrano tutti i casi di perdita di riservatezza di dati digitali, a prescindere dalla loro criticità (o classificazione): l'email inviata all'indirizzo sbagliato, il vicino sul treno che spia lo schermo del pc, il vocale ascoltato in viva voce sul metrò, eccetera. Mi sembra un po' eccessivo, però vuolsi così colà ove si puote ciò che si vuole e più non dimando.
Il secondo tipo di incidente significativo è quando "Il soggetto NIS ha evidenza della perdita di integrità, con impatto verso l'esterno, di dati digitali di sua proprietà o sui quali esercita il controllo, anche parziale".
Anche qui si capisce che anche un record corrotto, a prescindere dalla sua criticità, va notificato. O anche quello con qualche carenza, come la certificazione unica senza la seconda pagina.
Il terzo tipo introduce, finalmente, qualche criterio di criticità: "Il soggetto NIS ha evidenza della violazione dei livelli di servizio attesi dei suoi servizi e/o delle sue attività, sulla base dei livelli di servizio atteso (SL) definiti ai sensi della misura DE.CM-01".
Qui val la pena ricordare che i fornitori di servizi IT possono (e devono) ricavare questi SL dal Regolamento di esecuzione (UE) 2024/2690 della Commissione (ma sappiamo che ACN ignora completamente questo Regolamento, anche nelle FAQ, lasciandoci così con mille dubbi).
Infine, solo per i soggetti essenziali, è un incidente significativo quando "Il soggetto NIS ha evidenza, anche sulla base dei parametri quali-quantitativi definiti ai sensi della misura DE.CM-01, dell'accesso, non autorizzato o con abuso dei privilegi concessi, a dati digitali di sua proprietà o sui quali esercita il controllo, anche parziale".
Quindi, assurdamente, un'azienda chimica registrato come soggetto NIS importante (o anche essenziale, a ben vedere) ha evidenza di un'intrusione sui propri sistemi OT e non lo deve dichiarare entro 24 al CSIRT. Questo anche se ACN ha detto che una delle ragioni per chiedere una notifica entro le 24 ore era quella di avere notizia di eventi che potrebbero propagarsi o ripetersi e quindi poter intervenire.
Traduzione: è possibile un intervento tempestivo per l'email inviata all'indirizzo sbagliato e non per un'intrusione a degli impianti di produzione.
O io non ho capito o la categorizzazione degli incidenti "significativi" potrebbe essere migliorata.
Nessun commento:
Posta un commento