Inizia oggi, 1 dicembre 2024, il periodo (che terminerà il 28 febbraio 2025) per iscrivere le organizzazioni soggette alla direttiva NIS2, pubbliche e private, sulla piattaforma messa a disposizione dall’Agenzia per la Cybersecurity Nazionale. La registrazione in questione è quella prevista dal primo comma dell’art. 7, D.Lgs. 138/2024. Nonostante in tale norma sia specificato che la registrazione può essere effettuata dal 01 gennaio al 28 febbraio di ogni anno successivo all’entrata in vigore della direttiva NIS2, in fase di prima applicazione è previsto che la registrazione possa avvenire a partire dalla data di pubblicazione della piattaforma (art. 42, comma 3, D.Lgs. 138/24) ergo dal 1 dicembre 2024.
Per associare il punto di contatto al soggetto è necessario indicare: – per le pubbliche amministrazioni, il codice IPA – per i soggetti pubblici e privati, il codice fiscale. Il punto di contatto dovrà caricare il titolo giuridico che lo abilita ad operare per conto del soggetto nel contesto NIS (a meno che non sia il rappresentante legale o un procuratore generale). Il processo di censimento del punto di contatto e l’associazione al soggetto NIS si conclude con l’invio di un link di richiesta di convalida al domicilio digitale del soggetto stesso. La dichiarazione che il punto di contatto dovrà compilare è suddivisa in 4 sezioni: – contesto – caratterizzazione – tipologie di soggetto – autovalutazione
Dopo aver compilato la dichiarazione, il punto di contatto dovrà prendere visione del riepilogo delle informazioni fornite, accettare le clausole di responsabilità e trasmettere la dichiarazione all’Agenzia. Una copia della dichiarazione verrà inviata al domicilio digitale del soggetto.
Requisiti tecnici e metodologici delle misure di gestione dei Rischi in ambito Cybersecurity.
Il documento è indirizzato ai fornitori di servizi DNS, ai registrar di primo livello, ai fornitori di servizi di Cloud Computing, ai fornitori di data center, ai fornitori di reti di distribuzione dei contenuti, ai fornitori di servizi di sicurezza informatica gestiti, ai fornitori di e-commerce, ai motori di ricerca on-line, ai fornitori di piattaforme di servizi di social network e, ultimi ma non da meno, ai prestatori di servizi fiduciari (eIDAS).
Se la tua organizzazione non rientra direttamente in queste categorie, risulta comunque interessante leggerlo poiché fornisce una panoramica dei requisiti e delle policy di sicurezza informatica che chi opera in quei settori deve rispettare. La prima policy?
Considerando n.3: a norma dell’articolo 21, paragrafo 5, terzo comma, della direttiva (UE) 2022/2555, i requisiti tecnici e metodologici delle misure di gestione dei rischi di Cybersecurity di cui all’allegato del presente regolamento si basano su norme europee e internazionali, quali ISO/IEC 27001, ISO/IEC 27002 ed ETSI EN 319/401, e su specifiche tecniche, quali CEN/TS 18026:2024, pertinenti per la sicurezza dei sistemi informativi e di rete.
Quindi? I requisiti tecnici e metodologici sono descritti nell’allegato (ho inserito il link alla fine di questo articolo), e tra questi è possibile trovare:
1 Policy di sicurezza informatica dei sistemi informativi e di rete [art.21.2a NIS2] 2 Policy di gestione dei rischi [art.21.2a NIS2] 3 Gestione degli incidenti informatici [art.21.2b NIS2] 4 Continuità operativa e gestione delle crisi [art.21.2c NIS2] 5 Sicurezza della catena di approvvigionamento (“Supply chain security“) [art.21.2d NIS2] 6 Sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informativi e di rete [art.21.2e NIS2] 7 Strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cybersecurity [art.21.2f NIS2] 8 Pratiche di igiene informatica di base e Formazione in materia di sicurezza informatica [art.21.2g NIS2] 9 Crittografia [art.21.2h NIS2] 10 Sicurezza delle risorse umane [art.21.2i NIS2] 11 Controllo degli accessi [art.21.2i/j NIS2] 12 Gestione delle risorse [art.21.2i NIS2]
Per la prima volta il Regolamento fa riferimento a standard internazionali come ISO 27001:2022, ma attenzione: – la sola certificazione ISO non risolve i problemi che ruotano intorno alla direttiva NIS 2; – la certificazione ISO non è obbligatoria, ma garantisce un impegno; – un Sistema di gestione per la sicurezza delle informazioni (anche non certificato) aiuta il rispetto di misure tecniche e organizzative, che consentano di minimizzare i rischi di Cybersecurity, tramite l’adozione di controlli e l’individuazione di contromisure;
Ma soprattutto: DIFFIDA di CHIUNQUE ti PROMETTA il BOLLINO BLU per la direttiva NIS2 solo se ACQUISTI il suo CORSO! Per diventare compliance alla direttiva occorrono tempo e denaro, occorrono verifiche tecniche approfondite, spesso reingegnerizzazione dei sistemi informativi, e consulenze erogate da professionisti con reali e pluriennali esperienze in ambito Cybersecurity (non fidarti del primo sedicente consulente con cui entri in contatto: prova a chiedergli se ha mai gestito un incidente informatico, e come lo ha fatto… potresti scoprire che molti consulenti in ambito GDPR e NIS2 sono solo persone che hanno sostenuto un esame di certificazione ISO “qualcosa”, ma con scarsa o insesistente esperienza tecnica in ambito Cybersecurity).
Link al regolamento (disponibile in 27 lingue, tra cui anche l’italiano)
In Italia, informaticamente parlando (ma anche sotto altri aspetti), tutto (il peggio) è possibile: anche che la Giurisprudenza debba ribadire l’ovvio, lo scontato, il lapalissiano, esattamente come il titolo di questo articolo. Dovrebbe essere una verità inequivocabilmente scontata e palese per tutti, ma evidentemente non lo è se una sentenza della Suprema Corte (sent. n. 50205) ha confermato la condanna penale di un dirigente che aveva utilizzato le credenziali di accesso di un suo “sottoposto” per accedere al sistema informatico aziendale.
🔑 i FATTI: – il dirigente si era fatto comunicare le credenziali di un collaboratore – aveva utilizzato queste credenziali per accedere a circa 90.000 schede individuali – riteneva (a torto) che la sua posizione gerarchica lo legittimasse a tale comportamento
⚠️ PRINCIPIO stabilito dalla Suprema Corte: – La posizione di superiore gerarchico NON autorizza l’accesso ai dati tramite credenziali altrui: questo comportamento integra il reato di ACCESSO ABUSIVO a SISTEMA INFORMATICO (art. 615-ter c.p.)
📋 CONSEGUENZE PRATICHE per AZIENDE e ORGANIZZAZIONI: – Ogni dipendente deve avere CREDENZIALI PERSONALI e non cedibili; – Le DELEGHE di ACCESSO devono essere espressamente AUTORIZZATE; – Va implementato un SISTEMA di PROFILAZIONE UTENTI con diversi LIVELLI di AUTORIZZAZIONE; – Occorre una POLICY AZIENDALE chiara sulla GESTIONE delle CREDENZIALI; – Rischio di responsabilità penale per i TRASGRESSORI.
💡 AZIONI da intraprendere: – Revisione tempestiva delle policy di accesso ai sistemi ICT; – Implementazione di protocolli di sicurezza informatica (AUTENTICAZIONE, PROFILAZIONE, AUTORIZZAZIONE e PROTEZIONE) adeguati; – Formazione specifica del personale; – Vulnerability Assessment e Audit dei sistemi; – Adeguamento dei modelli organizzativi al GDPR.
Come ripeto spesso ai miei studenti e contatti professionali, la sentenza (una delle tante) sottolinea come la Cybersecurity non sia solo una questione tecnica, ma anche legale, con rilevanti profili di responsabilità penale (a questo indirizzo, chi fosse interessato può reperire e leggere la sentenza con calma)
Un ISMS (Information Security Management System, in italiano “Sistema di gestione della Sicurezza delle Informazioni“) è uno strumento fondamentale per supportare le organizzazioni nell’adottare le necessarie misure tecnologiche, i servizi e gli strumenti di monitoraggio e controllo digitale che consentono di proteggere il patrimonio informativoaziendale dalle minacce informatiche.
Adeguare gli ISMS aziendali agli standard ISO 27001 continua ad essere un compito arduo per molte organizzazioni. Esistono tuttavia numerosi consulenti, aziende e professionisti del settore che possono facilitare i processi di migrazione e ingegnerizzazione dei sistemi per ristrutturare in maniera efficente e tempestiva i servizi informatici a ciò che lo standard prevede (rendendo anche l’ISMS stesso compliant alle normative): se come me sei uno tra questi, potresti trovare utile questo diagramma mentre approfondisci o applichi l’attuale standard ISO 27001.
L’interoperabilità tra il GDPR e gli standard internazionali ISO “dovrebbe” supportare la gestione dei processi del Titolare e del Responsabile del trattamento dei dati personali definendo capacità per integrare e armonizzare in maniera strutturata i requisiti del GDPR.
Valutando un po’ la questione sotto dei profili non solo teorici: 1) Approcci basati sul rischio: il GDPR richiede alle organizzazioni di valutare e gestire i rischi associati al trattamento dei dati personali. Le norme ISO come la ISO 31000 sulla gestione del rischio, e la ISO 29134 sulle PIA, possono fornire un quadro strutturato per identificare, valutare e trattare i rischi in modo sistemico.
2) Gestione dei processi: le norme ISO offrono metodologie e linee guida per la gestione dei processi aziendali. Ad esempio la ISO 9001 per la gestione della qualità, o la ISO 22301 per la continuità dei processi di business. Relativamente allo standard ISO 28590 per i campionamenti, l’interoperabilità può essere raggiunta incorporando tali metodologie nella Progettazione e nell’Implementazione dei processi aziendali per garantire che il trattamento dei dati personali sia effettuato in modo coerente, affidabile e conforme alle norme del GDPR.
3) Sicurezza delle Informazioni: l’art. 32(1) lett. b) del GDPR pone un’enfasi significativa nelle garanzie di Riservatezza, Disponibilità e Integrità dei dati personali, gli standard ISO 27001 e ISO 27002 forniscono un quadro completo per l’implementazione di un Sistema di Gestione della Sicurezza delle Informazioni, comunemente noto nel mercato italiano come SGSI (ISMS nel mondo anglofono).
4) Controlli e audit: le norme ISO come la ISO 19011 per gli audit dei Sistemi di Gestione, oppure la ISO/IEC 17021-1 per l’audit della Sicurezza delle Informazioni, forniscono orientamenti sulla conduzione di audit interni ed esterni. In buona sostanza, integrando le diverse norme ISO nel contesto del GDPR, i Titolari e i Responsabili dei trattamenti possono beneficiare di un quadro strutturato – e riconosciuto a livello europeo – per affrontare le sfide della Cybersecurity, ma chi di dovere dovrebbe conoscerle, e non solo a chiacchiere… e questa è tutta un’altra storia: prova ad esempio a chiedere al tuo consulente GDPR la differenza pratica dei rischi di Sicurezza Informatica legati all’eventualità di ritrovarsi una backdoor piuttosto che un rootkit nella rete informatica o nei sistemi operativi utilizzati dal cliente…e se non ti sa rispondere, o se pur di farfugliare qualcosa di vagamente sensato si affida a ChatGPT, per il tuo bene (e quello della tua organizzazione) trai tu stesso le conclusioni sull’affidabilità e la preparazione tecnica del tuo consulente.
dmzware.com 