ETSI TS 104 100 per le misure in ambiente ICS e OT

Franco Vincenzo Ferrari mi ha segnalato la pubblicazione della ETSI TS 104 100 V1.1.1 (2025-11) con titolo "Cyber Security (CYBER); Critical Security Controls for Effective Cyber Defence; Industrial Control Systems Sector": https://portal.etsi.org/webapp/workprogram/Report_WorkItem.asp?WKI_ID=73028 (il pdf si scarica gratuitamente premendo l'iconcina in alto a destra sotto "Download Standard").

 

L'ambito è quello OT o ICS, ossia industriale.

 

Si tratta di controlli tecnici e gestionali (quasi come quelli della ISO/IEC 27002, ma senza troppe politiche, senza la richiesta di una valutazione del rischio generale e con più dettagli tecnici). Non si tratta di specifiche tecniche per i prodotti e servizi, anche se da qui se ne possono facilmente selezionare.

 

Sulla parte OT ricordo la NIST SP 800 e la NISTIR 8183A. Queste guide (rispettivamente di 316 e 730 pagine) sono molto più ponderose di quella ETSI, che è già esaustiva, con le sue 84 pagine.

Incontro Clusit e ACN del 3 dicembre 2025

Marco Gemo ha assistito e mi ha mandato la sintesi dell'incontro organizzato dal Clusit con ACN il 3 dicembre 2025.

Io lo ringrazio e ne faccio un'ulteriore sintesi:

• ACN conferma il proprio approccio prevalentemente collaborativo e non sanzionatorio; l'approccio sanzionatorio sarà graduale, prima con intimazioni e diffide, riservando le sanzioni ai casi di inadempienza persistente;
• sono ricordate le responsabilità degli Organi amministrativi: l'approvazione dei piani di sicurezza, l'allocazione di budget adeguato e la supervisione sull'implementazione (per garantirne la consapevolezza, i membri degli organi direttivi devono registrarsi personalmente sulla piattaforma);
• i fornitori di servizi ICT infragruppo possono rientrare nell'ambito di applicazione della NIS 2 (non rientra una capogruppo che si limita ad acquistare licenze o servizi da un fornitore terzo e a distribuirli; rientra una capogruppo che eroga i servizi in prima persona);
• i soggetti già registrati nel 2025 sono invitati a rinnovare la propria iscrizione a partire da gennaio 2026, senza attendere la scadenza; la finestra di gennaio 2026 è aperta anche per i nuovi soggetti i cui presupposti per l'obbligo si sono manifestati nel corso del 2025; per chi non si è ancora registrato, il messaggio è "meglio prima che mai e, soprattutto, meglio prima rispetto a quando poi li potremmo scovare noi";
• il CSIRT fornisce un supporto operativo gratuito per la gestione e la mitigazione degli incidenti; la sua funzione è nettamente separata da quella ispettiva e sanzionatoria;
• i soggetti che rientrano nel regolamento DORA devono comunque registrarsi sulla piattaforma NIS;
• l'implementazione delle misure di sicurezza di base è richiesta entro ottobre 2026; è avviata la definizione di misure di sicurezza più incisive e potenzialmente diversificate per settore, garantendo un adeguato lasso di tempo per la loro implementazione;
• il Referente CSIRT deve essere una figura tecnica, in grado di parlare la lingua degli analisti dello CSIRT (IOC, log, exploit, etc.); è suggerita la nomina di sostituti per garantire la tempestività;
• soggetti PSNC (Perimetro): per gli asset conferiti nel perimetro, continuano a seguire le regole di notifica del PSNC; per tutto ciò che è fuori dal perimetro, devono applicare la tassonomia e le regole di notifica della NIS 2;
• Legge 90: per superare il rischio di una duplicazione degli oneri di notifica, la strategia di ACN è di allineare la tassonomia degli incidenti della Legge 90 a quella della NIS 2.

CRA: Regolamento di esecuzione con i prodotti con elementi digitali "importanti e critici"

Su questo faccio prima a copincollare esattamente dalla newsletter di Project:IN Avvocati: L'Unione europea ha pubblicato il Regolamento di esecuzione (UE) 2025/2392 che definisce le categorie tecniche di prodotti con elementi digitali "importanti e critici" ai sensi del Cyber Resilience Act: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32025R2392.

 

In particolare, questi prodotti saranno soggetti a procedure di valutazione della conformità più rigorose (inclusa la valutazione obbligatoria di terzi) e, per i prodotti critici, potrebbe essere richiesto un certificato europeo di cybersicurezza.

Secondo down di Cloudflare

Grazie alla newsletter di Project:IN Avvocati (https://www.linkedin.com/comm/pulse/492025-errare-humanum-perseverare-meglio-non-essere-novuf), segnalo questo articolo sul down di Cloudflare del 5 dicembre: https://www.linkedin.com/pulse/what-caused-global-cloudflare-outage-december-5-sxjae/.

 

Riassumendo, era stata individuata una vulnerabilità sui sistemi usati da Cloudflare, che ha quindi sviluppato una modifica per proteggere i clienti da attacchi che sfruttano questa vulnerabilità. Però la modifica ha comportato il degrado dei servizi di Cloudflare per 25 minuti.

 

Mi piace copincollare il commento della newsletter di Project:IN Avvocati: "Forse dovremmo abituarci, pian piano, a servizi che possono anche non funzionare per un'ora, o una mattina, o una giornata. E questo con buona pace dei presidi di sicurezza - che ci sono, perché il lavoro degli admin (anche di Cloudflare) è incessante, anche se.. umano. L'architettura dei servizi del web, invece, cresce a ritmi non umani, e a farne le spese talvolta sono gli utenti (piccoli e grandi) di servizi che diamo per scontati. Non dovremmo".

 

Da qualche anno vorrei scrivere un romanzo ambientato in un futuro in cui Internet non funziona e non si riesce più a far ripartire a causa di un malware persistente. Vorrei scriverlo ambientato 10 o 20 anni dopo il grande incidente, raccontando di tentativi per farlo ripartire (per esempio in Islanda, in quanto piccolo) e dei ricordi di chi ha vissuto gli anni immediatamente successivi l'evento. Peccato che non abbia idea di che storia raccontare e non ho neanche provato a iniziare a scrivere le prime righe. Però la mia immaginazione non mi sembra lontana dalla possibilità che Internet possa non funzionare per qualche tempo.

 

Altra riflessione: il costante accentramento delle tecnologie, sempre più in mano a pochi produttori e fornitori di servizi, è facilitato anche dai nostri legislatori e governi; mi chiedo se ne sono consapevoli.

Techsonar 2025-2026

L'EDPS ha messo a disposizione il "TechSonar Report 2025-2026": https://www.edps.europa.eu/data-protection/our-work/publications/reports/2025-11-24-techsonar-2025-2026_en.

 

Si tratta di un'analisi delle tendenze tecnologiche più significative e dei loro potenziali impatti sui dati personali e sulla sicurezza delle informazioni. Questa edizione si concentra su IA agentica, AI companions, supervisione automatica delle prove d'esame, apprendimento personalizzato con l'IA, codifica assistista di software e confidential computing.

Questionario fornitori del Clusit

Segnalo l'aggiornamento del "Questionario per la sicurezza dei fornitori" proposto dal Clusit: https://clusit.it/blog/questionario-per-la-sicurezza-dei-fornitori-versione-2/.

 

Ora è alla versione 2.2.

 

Io non apprezzo i questionari ai fornitori. Ribadisco che non devono essere i fornitori a dire cosa fanno ("a fra', che te serve?"), ma i clienti a dire cosa vogliono che facciano (determinando il livello di sicurezza necessario, a seguito di valutazione del rischio, non analizzando subito le proposte dei fornitori). All'imbianchino non chiedo con che colori intende pennellare: gli dico io di che colore fare le stanze.

 

Poi i fornitori possono dire, con giustificazioni, che alcune cose non le fanno e altre le fanno diversamente e sta al cliente stabilire se gli va bene oppure no. Così l'imbianchino può suggerirmi di non fare le pareti di bianco puro, ma leggermente sporco perché più riposante; e può anche segnalarmi l'opportunità di non imbiancare soltanto, ma anche di ripulire, stuccare e passare l'antimuffa.

Documento ACN su IA agentica e sicurezza

Franco Vincenzo Ferrari mi ha segnalato il documento di ACN "Agenti IA e Sicurezza: comprendere per governare": https://www.agid.gov.it/it/notizie/ia-agentica-e-sicurezza-informatica-online-lanalisi-del-cert-agid.

 

Mi viene da riassumere e commentare:

- se lasci che le macchina facciano cose da sole e senza supervisione, devi aspettarti errori;

- se scriviamo codice fallato da un centinaio di anni, ne scriveremo di fallato anche per l’IA e quindi l’IA farà errori, esattamente come gli essere umani;

- bisogna quindi limitare bene il raggio d’azione dell’IA (ma lo faranno in pochi, esattamente come sono separate le reti IT e OT, perché la convergenza è troppo comoda).

 

A margine: non capisco il titolo del documento; forse hanno fatto tradurre "Agentic AI" a un sistema di IA (che usa anche le maiuscole nei titoli, cosa prevista in inglese, ma non in italiano, come per i giorni della settimana e le nazionalità).

Piattaforma della CE per segnalare violazioni all'AI Act

La Commissione europea lancia una piattaforma per per segnalare violazioni all'AI Act: https://ai-act-whistleblower.integrityline.app/.

 

La notizia è qui: https://digital-strategy.ec.europa.eu/en/news/commission-launches-whistleblower-tool-ai-act.

 

Comincio a temere tutti questi strumenti di segnalazione, soprattutto quando un piccolo deve rendere conto a un grande potere. Temo che possa avere effetti simili all'ostracismo. E sappiamo che non funzionò bene all'epoca (e va bene che si parla di due millenni e mezzo fa, ma penso che l'esempio rimanga valido).

 

La mia paura nasce da un caso recente: un cliente che ha ricevuto richieste di pagamento da AGCOM; chiede chiarimenti,  ma ne riceve di talmente generici che non valgono nulla. In compenso ha pochissimo tempo per pagare. Vedremo come andrà a finire (magari è phishing, ma non sembra).

 

Ringrazio Project:IN Avvocati per la notizia della piattaforma della CE.

Attaco orchestrato da IA

Marco Gemo mi ha segnalato la pagina "Disrupting the first reported AI-orchestrated cyber espionage campaign": https://www.anthropic.com/news/disrupting-AI-espionage.

Claude, sistema di IA, è stato usato per condurre attacchi a diverse organizzazioni. In questo caso, è stato usato come agente, ossia come macchina capace di prendere decisioni e operare in autonomia. La novità è che in passato i sistemi di IA venivano usati per supportare gli attacchi, non condurli in autonomia.

Non voglio fare né l’uccello del malaugurio né l’ottimista sul futuro della sicurezza informatica (finiremo a lavorare in parte off-line, come negli anni Ottanta? non una prospettiva così negativa, se pensiamo che una volta usciti dall’ufficio verremo lasciati in pace). Ci tocca aspettare e restare attenti.

Tassonomia incidenti ACN aggiornata

ACN ha aggiornato il documento "La tassonomia cyber dell’ACN": https://www.acn.gov.it/portale/w/la-tassonomia-cyber-dellacn.

 

Rispetto all'edizione precedente del 2024, aggiunge gli asset da correlare agli incidenti. Aggiunta importante, visto che prende 21 pagine in un documento di 77 pagine totali (di cui 15 riassuntive, quindi 62). Nella tabella riassuntiva, gli "Involved asset" occupano 6 pagine.

 

A mio parere, nulla di sconvolgente, visto che in fase di notifica, immagino, le categorie saranno già messe a disposizione dal sito del CSIRT.

 

Alcune cose amene:

- la pagina web di ACN dice che la data di pubblicazione è il 31/07/24 ore 15:15, ma è stato reso disponibile a novembre e nella storia delle versioni è indicato "Novembre 2025" (senza il giorno);

- continuo a non capire perché ci sia questo documento e ci sia anche l'allegato A (Tassonomia degli incidenti) del DPCM 81 del 2021;

- qualcuno si lamenta perché questo cambiamento avviene a 2 mesi dall'entrata in vigore dell'obbligo NIS di segnalare gli incidenti, ma non credo che si debbano cambiare necessariamente le procedure interne di un'organizzazione (si può far riferimento al documento ACN, senza riportarne i contenuti; io non ne trovo comunque l'utilità).