Avevo segnalato la bozza del DPCM per la comunicazione degli incidenti da
parte delle organizzazioni che rientrano nel perimetro di sicurezza
nazionale:
-
http://blog.cesaregallotti.it/2021/02/perimetro-di-sicurezza-decreto-sugli.html.
Giancarlo Caroti di Neumus mi segnala un errore dove dico che lo schema di
DPCM richiede ai soggetti inclusi nel perimetro di "adottare le misure
minime di sicurezza già previste da AgID".
Giancarlo mi fa notare che le "misure richieste non sono quelle minime di
AgID ma provengono dalle Linee Guida emesse dal Comitato che riunisce le
Autorità NIS (che in base all'art 12 del DL 65/2018 possono definire
specifiche misure di sicurezza), che ha condiviso l'opportunità di
utilizzare il Framework Nazionale di Cyber Security (Versione 2.0 Febbraio
2019) predisposto dal CINI a sua volta ispirato al CS Framework NIST 2014,
come base di riferimento.
Si tratta essenzialmente di meno della metà dei controlli proposti nel FNCS
CINI, cioè 47 subcategorie sul totale delle 116 (che a loro volta sono 8 in
più del CSF NIST 2014). Certamente però molte misure si mappano agevolmente
sui controlli che AgID ha stabilito nel 2017".
Ringrazio Giancarlo per la precisazione e mi scuso con i miei lettori.
Nessun commento:
Posta un commento