martedì 21 marzo 2023

NIS 2 e frammentazione normativa

Segnalo questo articolo dal titolo "Nel labirinto delle norme Ue sulla cybersicurezza: come districarsi nella Direttiva NIS2":
https://www.agendadigitale.eu/sicurezza/nel-labirinto-delle-norme-ue-sulla-cybersicurezza-criticita-attuali-e-scenari-futuri/.

Questo articolo mi conforta perché conferma le difficoltà di lettura della NIS2 e non solo.

Per ora, in attesa di implementing acts, recepimenti italiani, chiarimenti europei e italiani (inclusi quelli di ACN), io suggerisco di iniziare a ragionare sui controlli dell'Allegato B del DPCM 81 del 14 aprile 2021. Alcuni di questi controlli richiedono un certo tempo per essere realizzati e anche costi elevati. E' vero che c'è tempo, ma sicuramente partirei ad analizzare questi controlli, in modo da potersi attivare prontamente nel caso venissero confermati (è vero che sono orginati dal Framework Nazionale, di cui era responsabile Baldoni, ora non più Direttore di ACN, però al momento questo è quello che abbiamo).

Poi comincerei a ragionare sulla procedura di gestione degli incidenti per recepire le richieste normative.

Alla valutazione del rischio penserò solo quando usciranno indicazioni precise. Spero proprio che non promuovano un approccio basato sui singoli asset perché sarebbe una cosa assurda (ricordo che è un'impostazione degli anni Ottanta, tratta dal CRAMM, software stand-alone usato dalle grandi società di consulenza che lo facevano popolare dai ragazzini per fatturare giornate di consulenza; il CRAMM adesso non è neanche più mantenuto). Spero che qualcuno con competenze pratiche si renda conto che è un approccio dispendioso che non dà risultati utili.

Altra cosa è invece verificare l'implementazione delle misure su ciascun asset, ma, appunto, non è valutazione del rischio.

Io qui ho fornito la mia idea. Mi piacerebbe sapere cosa ne pensano gli altri.

1 commento:

  1. In un grande ente pubblico (non italiano) dove ho lavorato si analizzavano rischi e controlli sui singoli sistemi informativi (delegando ove possibile ai service provider interni). Non banale fu accordarsi sulla definizione di sistema informativo.
    Credo che un approccio basato sul singolo asset (quale che sia la relativa definizione) avrebbe conseguenze positive e negative: da un lato non sarebbe commisurato al rischio specifico (per quanto parlando di NIS si tratta di asset più o meno critici); d'altro canto in assenza di esperti del rischio sarebbe un approccio più ripetibile.

    RispondiElimina