ACN ha pubblicato due determinazioni che contengono anche le misure che devono prendere i soggetti NIS2. In pratica si tratta di un estratto dal Framework Nazionale per la Cybersecurity e la Data Protection. Le indicazioni della Commissione Europea (2024/2690 COMMISSION IMPLEMENTING REGULATION (EU) 2024/2690 of 17 October 2024; Commission Guidelines on the application of Article 4 (1) and (2) of Directive (EU) 2022/2555; Implementing Guidance On Commission Implementing Regulation (EU) 2024/2690) sono state completamente lasciate cadere.

La definizione di incidente significativo, per il quale si è soggetti ad obbligo di comunicazione, è enormemente ampliata rispetto a quella contenuta nel documento Implementing Act 2024/2690 della Commissione Europea. In pratica si devono segnalare tutti gli incidenti informatici che hanno un qualche impatto sull'esterno o che violano i livelli di servizio attesi che sono stati stabiliti.

È pubblicata la nuova versione del core del Framework Nazionale per la Cybersecurity e la Data Protection. Si tratta della versione 2.1 datata 2025.

Ad una prima occhiata presenta sensibili variazioni con la versione del 2019, perché si rifà alla versione 2 del NIST Cybersecurity Framework. Notiamo che nella colonna dei riferimenti, a differenza della versione precedente, porta un solo riferimento alla ISO/IEC 27001, peraltro poco a proposito (dove si parla di incidenti che coinvolgono dati personali) e citando la versione 2013, da tempo ritirata.

Le altre norme ISO nominate sono citate quasi tutte in versione vecchia e già ritirata (ISO/IEC 29001:2011, ISO/IEC 29134:2017, ISO/IEC 27018:2015, ecc.).

Alcune note sulla versione italiana della Direttiva (EU) 2022-2555, detta NIS2:

• Art.20, paragrafo 2: "management bodies" è stato tradotto con "organo di gestione" (al singolare), il che cambia l'interpretazione del paragrafo.
• Art. 21, paragrafo 2, punto i): "asset management" è stato tradotto con "gestione degli attivi": traduzione automatica?.
• Art. 33, Vigilanza ed esecuzione relative a soggetti essenziali. La versione in inglese invece titola il capitolo: "Supervisory and enforcement measures in relation to important entities". Il capitolo relativo ai soggetti essenziali in effetti è il 32.

La nuova direttiva sulla responsabilità per danno da prodotti difettosi è stata pubblicata nella Gazzetta Ufficiale dell'Unione Europea il 18 ottobre 2024 come Direttiva (UE) 2024/2853. Essa sostituisce la vecchia Direttiva sulla Responsabilità del Prodotto del 1985, al fine di soddisfare i requisiti del mercato unico digitale. 

Probabilmente la più grande innovazione della nuova versione della edirettiva è che riconosce il software come un prodotto. Questo apre la possibilità che il software possa essere riconosciuto difettoso ai sensi della Direttiva, per esempio a causa di una protezione dei dati o di una sicurezza informatica inadeguata. La direttiva comunque si applica ai prodotti immessi sul mercato o messi in servizio dopo il 9 dicembre 2026.

La direttiva si può scaricare da: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=OJ:L_202402853

È uscita la seconda versione dello studio "ENISA Foresight Cybersecurity Threats for 2030", che rappresenta un'analisi e una valutazione completa delle minacce emergenti alla sicurezza informatica previste per il 2030.
Lo scopo di questo studio è sostenere il sesto obiettivo strategico dell'ENISA. I risultati hanno permesso di prendere decisioni informate e basate su dati concreti sulla futura ricerca in materia di cybersicurezza.
Potrebbe essere interessante per, una volta tanto, provare ad avere uno "sguardo lungo" quando si parla di sicurezza delle informazioni.

Uptime Institute ha pubblicato da poco la sua relazione annuale sulle interruzioni nelle infrastrutture digitali. Il rapporto analizza i dati recenti dell'Uptime Institute sull'andamento delle interruzioni di servizio di IT e data center: cause, costi e conseguenze.

Nell'immagine qui riportata il grafico con il sunto delle principali cause di interruzione.

Il rapporto in versione riassunta può essere scaricato da qui, mentre il rapporto completo è riservato ai membri del Uptime Institute

Il Garante per la Protezione dei Dati Personali ha pubblicato il 21 dicembre 2023 un provvedimento riguardante i servizi di posta elettronica che è stato molto discusso, tant'è vero che il 22 febbraio 2024, con altro provvedimento, la efficacia del primo è stata sospesa ed è stata indetta una pubblica consultazione.

La interpretazione più ragionevole che riusciamo a trovare del Provvedimento del Garante del 21 dicembre 2023 [9978728] è la seguente.
Il Garante fa riferimento solo ai sistemi di gestione della posta elettronica intesi come mail server che instradano i messaggi verso i destinatari, distinguendoli dai programmi software che tale posta la raccolgono e gestiscono. I primi sono servizi per più utenti e risiedono necessariamente su un server, i secondi sono utilizzati singolarmente, e possono risiedere sia su un singolo dispositivo (PC, tablet, smartphone) che sul cloud.
Evidentemente il Garante vede i due tipi di servizi come nettamente separati, e nel provvedimento si occupa solo del primo.
Intesi in questo senso, programmi e servizi di gestione della posta elettronica in effetti non hanno necessità tecniche di mantenere a lungo i metadati della posta già arrivata a destinazione. Al contrario, un programma di gestione della posta usato dal singolo utente conserva, e deve conservare, non solo i metadati ma anche gli stessi dati dei messaggi molto più a lungo, secondo le scelte della persona che usa tale programma.

Oltre alle necessarie competenze tecniche, l'attività di auditing nel settore della sicurezza delle informazioni (e non solo) presuppone delle capacità che genericamente possiamo chiamare di comunicazione. Non a caso nel programma per ottenere la certificazione auditor/lead auditor dei sistemi di gestione comprende una sostanziosa parte di comunicazione e comportamento.

A questo proposito si fa riferimento alle cosiddette soft skill, cioè a quelle qualità/capacità non prettamente tecniche ma utilissime sul lavoro. Segnaliamo due vecchi ma sempre attuali articoli su questo argomento di Ed Gelbstein:

https://www.isaca.org/resources/isaca-journal/issues/2015/volume-2/is-au...

https://www.isaca.org/resources/isaca-journal/issues/2015/volume-3/is-au...

L'European Data Act [titolo completo: REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on harmonised rules on fair access to and use of data and amending Regulation (EU) 2017/2394 and Directive (EU) 2020/1828] è entrato in vigore dall'11 gennaio, anche se in realtà verrà applicato effettivamente dall'11 settembre 2025. A quel punto saranno interessati fino a 49 miliardi di dispositivi connessi e non dovrebbe entrare in conflitto con la protezione dei dati (in teoria, il GDPR ha sempre la precedenza).

Uno degli gli obiettivi di questa normativa è di dare a tutti i cittadini dell'Unione Europea e ad altre parti interessate l'accesso ai dati generati dai dispositivi elettronici, ad esempio lavatrici collegate in rete, orologi per il fitness, macchine agricole, aerei o robot industriali. Questo include anche i dati che un'auto moderna genera e fornisce continuamente al produttore.

L'idea positiva è che gli utenti dei dispositivi (ad esempio automobili o smartwatch) possono consentire ad altre organizzazioni, ad esempio un'officina indipendente, di accedere ai dati mediante un accordo di utilizzo dei dati.

La legge è ampia (50 articoli + 119 considerando) e complessa. Resta da vedere come verrà implementata.

La Commissione Europea ha formalmente riconosciuto gli Stati Uniti come un paese con protezioni e garanzie sufficienti sul trattamento dei dati personali (https://www.reuters.com/technology/eu-announces-new-us-data-transfer-pac...). Il provvedimento, preso a seguito alla emanazione in USA di un provvedimento esecutivo volto a limitare la raccolta dati da parte delle agenzie di intelligenze (https://www.justice.gov/opcl/executive-order-14086), dovrebbe risolvere una situazione di illegalità che si trascinava da alcuni anni.

Dubitiamo comunque che i provvedimenti presi dal Presidente Biden siano di fatto sufficienti ad equiparare la legislazione USA sul trattamento dei dati personali a quella europea. Ed infatti, Max Schrems annuncia già il prossimo ricorso.