Avevo segnalato la bozza del NIST CSF 2.0: https://blog.cesaregallotti.it/2023/08/nist-cybersecurity-framework-20-in-bozza.html.
Davide Giribaldi di Swiss Cyber Com mi ha informato che ne è stata pubblicata la versione definitiva: https://www.nist.gov/cyberframework.
Mi riporta anche le caratteristiche:
- Aggiunge il pilastro Governance a quelli già presenti;
- Valido non più solo per le infrastrutture critiche;
- Gestione rischio terze parti.
Mi chiede cosa ne penso. Ed ecco cosa ne penso, considerando che l'ho solo sfogliato:
- non ho trovato un file xls (o cvs) come c'era per la precedente versione ed era molto comodo; anzi, è poco chiaro come navigare tra i requisiti;
- i requisiti di sicurezza sono, alla fine, sempre quelli; la differenza tra uno schema e l'altro è la loro facilità d'uso; mi sembra sia diventato più complicato e più prolisso e questo non è un bene; per dare un giudizio completo dovrei contare il numero di controlli e quindi aspetto il formato xls;
- alcuni requisiti sono evidentemente tarati per aziende che possono permettersi una struttura documentale significativa e il CSF non discute possibili alternative (o, meglio, non parte da un minimo che possa essere ampliato).
Davide segnala che a questo punto dovrà essere aggiornato il Framework Nazionale per la Cybersecurity e la Data Protection (https://www.cybersecurityframework.it/framework2).
Cosa ne penso? Che potrebbe essere l'occasione per ripartire dalla ISO/IEC 27001, standard internazionale a cui collabora anche l'Italia.
Nessun commento:
Posta un commento