Incontro ACN e Clusit

Il 29 aprile c'è stato l'incontro "NIS2, dalle misure di base alla categorizzazione: guida ai prossimi passi del percorso di adeguamento", organizzato dal Clusit e con Maria Antonia Rizzi, Capo Servizio Regolazione dell'Agenzia per la Cybersicurezza Nazionale (ACN).

Marco Gemo mi ha fatto un ottimo riassunto. Io riporto i punti a mio parere più caldi e mi astengo quanto possibile da fare commenti.

*Primo argomento: categorizzazione.

Sappiamo che la determina del 9 aprile 2026 ha introdotto il modello di categorizzazione. Il modello identifica 10 macroaree tecniche. Per semplificare l'adempimento, l'ACN ha suggerito categorie di rilevanza preassegnate, ma il soggetto ha la facoltà di modificarle basandosi sulla propria Business Impact Analysis (BIA). È fondamentale menzionare l'introduzione della "macroarea residua", pensata per accogliere servizi specifici non mappati nelle categorie standard. Qualora il soggetto decida di declassare o elevare una categoria, deve conservare internamente i razionali logici della scelta per eventuali ispezioni future.

I livelli di classificazione sono 4. Le specifiche tecniche di base (quelle con scadenza ottobre 2026) rappresentano quelle per i livelli L1 (Minimo) e L2 (Basso).

Per le misure per i livelli Medio (L3) e Alto (L4), dette anche "a lungo termine", l'ACN pubblicherà il progetto di norma tecnica entro fine ottobre 2026, permettendo alle aziende di visionare i requisiti in tempo per l'allocazione dei budget 2027.

*Secondo argomento: notifica degli incidenti

Ha ribadito l'importanza della notifica degli incidenti (che vanno notificati entro le 24 ore dalla rilevazione, non dall'occorrenza!). L'importante non è l'accuratezza immediata della qualificazione del fatto, ma la tempestività della segnalazione una volta che l'evento è riconducibile a una perdita di integrità, disponibilità o riservatezza.

Per quanto riguarda i parametri di soglia per categorizzare gli incidenti (chiamati anche questi "SLA"), non devono coincidere necessariamente con gli SLA contrattuali o con i parametri di business continuity (RTO e RPO). Questi richiesti per la NIS devono permettere di stabilire quando una violazione è un incidente "rilevante" ai fini NIS. Formalizzare queste soglie internamente è l'unico modo per giustificare l'assenza di una notifica in sede di audit.

*Terzo argomento: mappatura dei fornitori rilevanti

[Ricordo che, per la determina del 13 aprile 2026, i fornitori da mappare sono di due tipi: quelli informatici (punti 8 e 9 dell'Allegato I del decreto NIS) e quelli non fungibili].

Un fornitore è "rilevante" in ambito informatico se la sua assenza impedisce l'erogazione del servizio NIS. In caso di acquisto tramite rivenditore, se la manutenzione e il supporto sono operati direttamente dal produttore, il soggetto deve listare il produttore.

Un fornitore può essere escluso se esiste fungibilità concreta (linee duplicate e attive) o astratta (clausole contrattuali che garantiscono il risultato tramite terzi).

La mappatura potrebbe rilevare impese (per esempio fornitori di servizi SOC) che avrebbero dovuto registrarsi come soggetti NIS. Si raccomanda quindi di registrarsi, se ricorrono le condizioni, ed evitare sanzioni. La mappatura potrebbe anche rilevare imprese che correttamente non dovevano registrarsi come soggetti NIS, ma potrebbero risultare "fornitori sistemici" ed essere attirati nel perimetro NIS 2 dall'ACN ai sensi dell'Articolo 3, comma 13, qualora gestiscano un numero critico di soggetti NIS.

*Quarto argomento: audit e certificazioni

Attualmente non esistono soggetti terzi autorizzati da ACN per audit o certificazioni NIS 2. Quindi diffidare di chi spaccia come tale.

L'Agenzia sta valutando la creazione di schemi per auditor qualificati (modello spagnolo), ma questo percorso non si concluderà prima della fine del 2027. La vigilanza preventiva inizierà solo dopo l'emanazione del DPCM sui poteri di esecuzione.

Privacy filter di Open AI

Copio un messaggio di Renato Gambella, Idraulico della privacy, e lo ringrazio.

OpenAI ha rilasciato Privacy Filter, un modello aperto e gratuito pensato per individuare e mascherare dati personali o riservati nei testi. L’obiettivo è permettere a professionisti e aziende di preparare documenti “ripuliti” prima di usarli con modelli AI in cloud, come ChatGPT o altri servizi simili. Il rilascio è confermato dalla pagina ufficiale OpenAI: https://openai.com/index/introducing-openai-privacy-filter/.

La cosa importante è che Privacy Filter lavora in locale, cioè sul computer o sul server dell’utente. Questo significa che il documento originale non deve essere inviato subito a un servizio esterno per essere anonimizzato. Prima viene trattato internamente, poi eventualmente viene caricato su un sistema AI cloud in una versione con meno dati identificativi.

La pagina web riporta le pagine Hugging Face e Github per scaricare il prodotto.

Nota mia (Cesare): non l'ho provato, quindi aspetto eventuali commenti.

IT-Grundschutz 2022

Un mio lettore (Alessandro Savino, che ringrazio) mi ha chiesto se il VERA usa le minacce dell'IT-Grundschutz del BSI (quello tedesco, non quello britannico). La risposta è no, ma ci ho ritrovato qualche cosa. 

In effetti, l'avevo letto tra il 1999 e il 2001 (era su pergamena) e forse qualcosa mi è rimasto appiccicato. Il difetto che trovai allora e ritrovo adesso è l'eccessiva lunghezza. Salvifica per il principiante che ero, spaventosa per l'informato che sono. 

Ad ogni modo, l'ultima edizione è quella del 2022 e la versione in inglese si trova qui: https://www.bsi.bund.de/EN/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/it-grundschutz_node.html. 

 Il malloppo di quasi 1.000 pagine con credo 47 minacce e tanti controlli di sicurezza è il "IT-Grundschutz Compendium Edition 2022".

NIS e categorizzazione attività per ACN

ACN ha pubblicato la determinazione che richiede ai soggetti NIS di elencare le proprie attività e servizi: https://www.acn.gov.it/portale/w/nis-pubblicate-le-modalita-per-l-elencazione-e-la-categorizzazione-delle-attivita-e-dei-servizi.

La Determinazione è accompagnata da Linee guida e da due allegati e si trovano nella pagina che ho citato sopra, oltre alla pagina generale sulla normativa NIS (https://www.acn.gov.it/portale/nis/la-normativa) e alla pagina dedicata alla categorizzazione (https://www.acn.gov.it/portale/nis/categorizzazione).

In sostanza, ACN ha identificato 10 marco-aree organizzative comuni a tutte le organizzazioni e un loro livello di impatto ("Categoria di rilevanza"). Le organizzazioni, se ho capito bene, nella pagina di registrazione per i soggetti NIS, dovranno quindi riportare quali di queste aree ne fanno parte e il loro livello di impatto.

Se poi una o più di queste aree va suddivisa in più sottoaree (per esempio, conosco un'azienda che produce tappi e tapparelle, quindi con due linee di "Produzione di beni e servizi"), questo va riportato in un documento interno (che chiamano Business Impact Analysis o BIA), con il livello di rischio di ciascuna.

Non forniscono linee guida per assegnare i livelli di impatto (minimo, basso, medio, alto) e questo mi sembra curioso.

Continuo a rimanere perplesso di fronte a queste continue richieste da ACN per molti motivi: la moltiplicazione delle scadenze, la mancanza di un canale di allerta che non sia il sito web, la raccolta di informazioni che neanche il SISDE e il SISMI, la prospettata pubblicazione di misure minime alla faccia dell'accountability. Tutte cose che già ho detto in precedenza e quindi ci evito la ripetizione dei dettagli.

NB: non sono sicuro di aver capito benissimo il tutto. Se qualcuno avrà modo di migliorare o correggere la mia descrizione, ben venga.

Bozze standard ETSI per CRA

Per il CRA è necessario assicurare determinate misure di sicurezza per i "prodotti con elementi digitali".

Se queste misure sono riportate da "norme armonizzate", si presume la loro adeguatezza. Sono quindi in fase di sviluppo le norme della serie EN 40000 per le misure "orizzontali", ossia comuni a tutti i prodotti, e, se ho capito bene, applicabili ai prodotti "standard" (ossia non quelli "importanti" e "critici" elencati dal CRA stesso).

Ho scoperto che la ETSI sta sviluppando degli standard "verticali" per i prodotti "importanti". Ho trovato una lista qui: https://approve-it.net/eu-etsi-releases-draft-cybersecurity-standards/, con anche il link ad alcune bozze.

Già che ci sono: il CRA riporta le categorie di prodotti "importanti" e "critici", ma la CE ha preparato anche il Regolamento di esecuzione 2025/2392 con la descrizione dettagliata di tali categorie, utile a capire meglio se un prodotto è incluso o meno (ma so già che i casi limite saranno tantissimi e oggetti di discussioni): https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32025R2392.

Gli uomini possono fare tutto - Aprile 2026

Questo mese volevo raccontare di come uomini e donne possono fare tutto. Così un giorno ho potuto posticipare un incontro con un cliente per poter accompagnare un figlio a una visita medica programmata (ma non avevo programmato l'indisponibilità dei nonni) e mia moglie, un altro giorno in cui era a lavorare a casa mentre io ero fuori Milano, ha potuto accompagnare al pronto soccorso lo stesso figlio che si era lussato una spalla (primo grado, 2 settimane con il tutore).  

Invece ho fatto una riflessione e volevo renderla pubblica.  

Ho un figlio che gioca a calcio a 7 all'oratorio. La squadra è la Juvenilia. Il gruppo degli allenatori (quasi tutti padri di ragazzi che giocano) ha organizzato un incontro con un esperto per parlare di motivazione, crescita, rafforzamento del gruppo e altre cose che non riguardano il calcio giocato.  

Sono riuscito a intrufolarmi ed è stata un'esperienza interessantissima. L'esperto ci ha raccontato come funziona la capacità di apprendimento dei bambini e ragazzi dai 5 ai 15 anni e quali strategie seguire per allenarli. Cose come: dare loro riscontri immediati e positivi, dare loro poche regole, chiare e ripetute, correggere il comportamento e non l’identità, mantenere un clima giocoso, non puntare sui risultati ma farli sentire capaci, farli riflettere sulle cose che funzionano e non funzionano (non sugli errori!), lasciarli sbagliare perché così poi imparano.  

Ci ha anche portato l'esempio di come sono seguiti i settori giovanili di alcune squadre oggi rilevantissime a livello europeo (Barcellona, Monaco, Bilbao, Eindhoven, altre squadre norvegesi), dove mischiano i più bravi con i meno bravi, non fanno competizioni o classifiche fino a quando i ragazzi hanno 13 anni, promuovono più esperienze. Ci ha raccomandato il libro di Carol S. Dweck (Mindset. Cambiare forma mentis per raggiungere il successo).  

E io ho pensato che molte di queste cose le conoscevo già perché le avevo studiate per affrontare le difficoltà dei miei figli.  

Ed ecco qui la riflessione: tutte le cose che ho studiato per superare le difficoltà sono le stesse che servono per raggiungere l'eccellenza. Sdeng.  

Viene, ovviamente da pensare a come certi nostri atteggiamenti sulla scuola e sullo sport (richiedere la prestazione, volere i voti alti, segnalare gli errori, richiamare sempre i ragazzi, sottoporli a studi e allenamenti frequenti, eccetera) non solo non vanno bene per i ragazzi con difficoltà (e da qui possiamo trovare una risposta sulla numerosità dei ragazzi dislessici rispetto al passato), ma bloccano il raggiungimento dell'eccellenza, ossia l'obiettivo a cui troppi genitori aspirano.

Privacy: Modello di DPIA dell'EDPB

L'EDPB (ossia il consesso dei Garanti privacy europei) ha pubblicato il suo "EDPB DPIA Template": https://www.edpb.europa.eu/our-work-tools/documents/public-consultations/2026/edpb-dpia-template_en.

L'ho guardato e non l'ho ancora usato. Però mi sembra molto meglio di quello proposto tempo fa dalla CNIL. 

Ringrazio Chiara Ponti (Idraulica della privacy) per avermelo segnalato.

 

Nuova ISO 14001

Monica Perego mi ha segnalato che è stata pubblicata la nuova versione della ISO 14001: https://www.iso.org/standard/14001.  

Io non mi occupo per nulla di questo argomento, però è bene sapere che esiste.  

Vi segnalo quindi un suo articolo con riportate le principali (fa riferimento alla bozza finale, ma non possono esserci differenze tecniche con la versione definitiva): https://www.agendadigitale.eu/smart-city/iso-140012026-guida-alle-novita-per-le-aziende-certificate/.

Determinazioni ACN e la minaccia della categorizzazione delle attività

ACN ha pubblicato il 13 aprile 2026 due nuove determinazioni: https://www.acn.gov.it/portale/w/nis-online-le-determine-sugli-adempimenti-per-i-nuovi-soggetti-e-sulle-modalita-di-accesso-alla-piattaforma-acn.  

La prima è la 127434/2026 e stabilisce i nuovi termini che i soggetti inseriti per la prima volta nel 2026 nell’elenco dei soggetti NIS devono rispettare. Mi viene da pensare che potevano fare una cosa generale, valida anche per i soggetti inseriti per la prima volta negli anni successivi al 2025. Ma avranno avuto le loro ragioni.  

La seconda è la 127437/2026 (sostituisce la precedente Determinazione ACN 379887/2025) e mi mette un po' di paura perché regolamenta due nuovi punti.  

Il primo perché richiede ai soggetti NIS di indicare i fornitori rilevanti. Questo perché così c'è il rischio che non ci sia un vero limite a chi potrà essere o non essere designato come soggetto NIS (già adesso "esperti" fantasiosi richiedono che tutti i fornitori di un soggetto NIS siano soggetti NIS, anche gli organismi di certificazione!).  

Su questo ci sono poi due sottopunti, tra loro molto diversi, che cito al volo: il rischio di una banca dati così estesa che ACN sta creando, perché seguire una classificazione CPV (common procurement vocabulary, peraltro promosso dal Regolamento CE n. 2195/2002) quando anche nelle visure camerali si usa il NACE e ATECO.

Il secondo perché richiede ai soggetti NIS di elencare e categorizzare le proprie attività e i propri servizi. Qui temo il ritorno del censimento "tattico" degli asset (quando mai fu introdotto negli anni Ottanta!) e i minuziosi distinguo. Vedremo tra poco tempo i dettagli (è prevista a breve una nuova Determinazione).  

Ho visto alcuni post che elogiano questo approccio molto dirigista di ACN. Io ho le mie perplessità perché sicuramente non soddisfa il principio di responsabilizzazione che avrebbe dovuto permeare queste normative. E' vero che un approccio molto normativo, lo abbiamo visto con la privacy, aumenta l'attenzione delle imprese verso la sicurezza, ma allora era meglio non scrivere "accountability" sulla Direttiva.  

Temo anche la deriva verso eccessive richieste documentali (peraltro utili) e non verso misure operative, vero un approccio da grande società di consulenza per grandi imprese e non pragmatico per le PMI. Spero di sbagliarmi.

Etilometri hackerati e la dipendenza tecnologica

Segnalo questo articolo dal titolo "Etilometri hackerati e migliaia di auto bloccate una settimana": https://www.libero.it/tecnologia/attacco-hacker-etilometri-alcolock-114369.  

Sembra che, negli USA, se ti fermano ubriaco alla guida, poi devi installare un aggeggio che ti rileva il fiato e blocca l'automobile se rileva un tasso di alcool troppo elevato.  

Il punto è che questo aggeggio è collegato a Internet, è stato compromesso e questo ha comportato il blocco delle automobili.  

Rilfessione (che copio dall'articolo): forse è eccessiva la presenza della tecnologia nella nostra vita.

CNIL e tempi di conservazione dei dati del personale

La CNIL ha pubblicato il "Référentiel: Les durées de conservation des données à caractère personnel - Gestion des ressources humaines": https://cnil.fr/fr/referentiel-durees-conservation-donnees-rh.  

E' chiaro che la legislazione francese è leggermente diversa dalla nostra, quindi il provvedimento va letto soprattutto per capire le scelte fatte dalla CNIL ed eventualmente tradurle per le nostre esigenze (confrontandosi anche con i consulenti del lavoro, per chi non lo è).  

Segnalo alcuni tempi:

- per i log degli accessi (p.e. con badge): 3 mesi, ma per quelli biometrici 6 mesi;

- videosorveglianza: 1 mese, tranne ovviamente se in uso per provvedimenti disciplinari. 

Ringrazio la newsletter di Project:IN Avvocati per aver riportato la notizia.

Rapporto Clusit 2026

A marzo di ogni anno il Clusit pubblica il suo "Rapporto sulla Cybersecurity in Italia e nel mondo": https://clusit.it/rapporto-clusit/.  

Solitamente è poi aggiornato a ottobre ed è accompagnato da altri rapporti settoriali (nel 2025 hanno pubblicato rapporti sul settore dell'energia, della sanità e della PA).  

Non ne sono un grande estimatore. E' una lettura quasi ipnotica che mette insieme percentuali, settori, tipologie di attaccanti, tipologie di attacchi e aree geografiche, con grafici di ogni genere e tipo, analisi tecniche di attacchi e poi... nessuna indicazione per la difesa.  

Certamente qualche parola c'è, ma è tutto riconducibile al "state accorti". Con un pizzico di perfidia, segnalo consigli come "elevare le tecniche di difesa".  

Segnalo anche il sempre inquietante capitolo a cura della Polizia Postale e per la Sicurezza Cibernetica.  

Raccomando la lettura dell'articolo "L’intelligenza artificiale per sviluppare software aziendale: conoscerne i rischi", a cura di Roberto Piazzolla e Alessandro Vallega. L'argomento l'avevo già toccato un paio di mesi fa dopo aver visto un loro webinar; adesso c'è questo articolo che si conclude, con mia gioia, con "Alcuni suggerimenti".  

Alcuni dei successivi articoli, più settoriali, qua e là non presentano solo dati, ma anche riflessioni interessanti e spunti di lavoro. Ma però detto che sono annegati in 424 pagine e quindi sono difficili da intercettare.