Se si chiama “punto di contatto” deve essere reperibile… o no?!?
E invece, per la governance NIS2 il ruolo è affidato spesso a figure apicali, che per mille motivi non possono garantire quella reperibilità (e talvolta neanche quella necessaria competenza tecnica) doverosa per segnalare tempestivamente un incidente informatico.
Legali rappresentanti o manager che sono spesso in trasferta, ad eventi di networking o che ancor peggio non presidiano operativamente i sistemi ICT.
E in uno scenario di emergenza, tutto questo può avere gravi conseguenze.
Il punto di contatto non dovrebbe essere visto come un ruolo di rappresentanza: è infatti una funzione operativa chiamata a “curare” l’attuazione degli adempimenti NIS2!
🔹E se il S.O.C. chiamasse alle 2 di notte?
🔹E se il referente CSIRT (magari esterno) avesse necessità di un confronto?
🔹E se venisse inserito come figura attiva nelle procedure di Incident Response?
L’anno scorso, mossi anche da una certa fretta, sono state fatte alcune scelte sul portale ACN, ma adesso e fino al 31 maggio è possibile aggiornare anche questi dati!
👉 La governance può diventare proprio un elemento di aggiornamento, anche alla luce delle procedure di Incident Response che devono essere implementate con estrema attenzione.
dmzware.com 