Franco Vincenzo Ferrari di DNV GL mi ha segnalato questa pubblicazione di ENISA dal titolo "Guidelines on assessing DSP security and OES compliance with the NISD security requirements":
- https://www.enisa.europa.eu/publications/guidelines-on-assessing-dsp-security-and-oes-compliance-with-the-nisd-security-requirements.
Si tratta di una guida per gli audit interni per i "Digital service provider" (DSP) e gli operatori di servizi essenziali (OES) che vogliono conformarsi ai requisiti della Direttiva NIS e per gli audit che potrebbero condurre le autorità nazionali (national competent authorities o NCA o, in Italia, le "autorità competenti NIS") sempre sulle società a cui è indirizzata la NIS.
Della NIS ne parlai tempo fa:
- http://blog.cesaregallotti.it/2018/06/direttiva-nis-in-vigore-veramente.html.
Ho trovato alcuni punti confusi qua e là (mi chiedo, per esempio, perché usare la definizione di audit dell'ISACA, che non richiama la conformità, e non altre, perché confondano metodologie di valutazione del rischio come il CRAMM con altri documenti come la ISO/IEC 27001; perché citino il CRAMM non più mantenuto dal 2003 o perché usino il termine "ecosistema"). Però ho trovato molto interessanti i due elenchi di misure da considerare perché presentano un elenco di misure che possiamo considerare come "minime" nell'ambito NIS.
Confermo quello che ho scritto: apprezzo questo lavoro che parte dalle basi e ne suggerisco la consultazione.
Nessun commento:
Posta un commento