Ho avuto un interessante scambio di email con Marco Manganiello. Infatti mi ha ricordato che la definizione di ACN dovrebbe essere letta insieme a quella presente nel D. Lgs. 138 del 2024 (art. 25, comma 4), che è norma primaria. Una Determinazione ACN non può innovare rispetto a essa.
Pertanto, la definizione di incidente significativo IS-1 ottenuta dalla somma di D. Lgs. 138 e Determinazione dovrebbe essere: “Il soggetto NIS ha evidenza della perdita di riservatezza, verso l'esterno, di dati digitali di sua proprietà o sui quali esercita il controllo, anche parziale. Tale evento ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato; o ha avuto ripercussioni o è idoneo a provocare ripercussioni su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli”.
Similmente andrebbero tradotte le IS-2, IS-3 e IS-4.
Rimane il fatto che un’email inviata all'indirizzo sbagliato potrebbe sempre rientrare in questa definizione perché non blocca il servizio, ma può incorrere in una sanzione del Garante con “perdite finanziarie per il soggetto interessato”.
Alcune considerazioni:
- potevano dircelo meglio, piuttosto che lasciare a noi il bricolage, non ignorare completamente il testo del D. Lgs. 138;
- nelle linee guida potevano aiutare di più con l’interpretazione di queste definizioni (inclusa l'interpretazione di "verso l'esterno", termine decisamente vago);
- l’implementing act della CE specifica molto meglio cosa si intende per “grave perturbazione operativa” e "perdite finanziarie", fornendo parametri quantitativi; mi sembra che dovesse essere quella la strada da seguire, non una frase generica “un evento che porta a perdita di riservatezza, integrità o disponibilità”.
Nessun commento:
Posta un commento