******************************************************
Indice
00- Editoriale
01- NIS2 approvata
02- Convegno Accredia sulle certificazioni di cybersecurity
03- EN 17640 sulla certificazione dei prodotti ICT
04- Guide per lo sviluppo sicuro di NSA
05- "Data Breach Investigations Report" di Verizon
06- Digital resignation
******************************************************
00- Editoriale
Auguro a tutti un buon inizio 2023, dopo un 2022 che ci ha visti tornare alla normalità, anche se con qualche dovuta attenzione (anche se ho notato che, a fronte dell'influenza attuale, in pochi si sono posti il problema di mettersi la mascherina per non infettare gli altri).
La UE ci sta tenendo occupati con le tante normative che sono uscite e stanno uscendo (in particolare la NIS 2, la certificazione privacy, le possibili certificazioni per il cyber security act). Quindi il 2023 non sarà sicuramente un anno noioso (purtroppo, seguendo l'approccio cinese, stiamo vivendo tempi interessanti e non solo per la sicurezza delle informazioni). Noi cercheremo di viverlo al meglio.
******************************************************
01- NIS2 approvata
E' stata approvata dal Consiglio UE la Direttiva NIS2, che sostituirà la Direttiva NIS:
- https://www.consilium.europa.eu/en/press/press-releases/2022/11/28/eu-decides-to-strengthen-cybersecurity-and-resilience-across-the-union-council-adopts-new-legislation/.
L'articolo indica anche i prossimi passi: la Direttiva sarà pubblicata sulla Gazzetta europea e poi dovrà essere adottata dagli Stati membri entro fine 2024 (o inizio 2025).
Nel frattempo sono stati pubblicati alcuni articoli di approfondimento. Segnalo questo, anche se pubblicato prima dell'approvazione da parte del Consiglio UE:
- https://www.agendadigitale.eu/sicurezza/nis-2-approvata-gli-effetti-su-aziende-e-pa/.
Va anche detto che, per l'Italia, dovremo vedere come sarà modificato il D. Lgs. 65 del 2018, quello che recepisce la NIS (ricordo che le Direttive, a differenza dei Regolamenti europei, per essere applicabili, devono essere recepite dagli Stati membri).
******************************************************
02- Convegno Accredia sulle certificazioni di cybersecurity
Accredia il 14 novembre 2022 ha promosso il convegno "Come gestire il rischio informatico? Il contributo dell'accreditamento e della certificazione alla cybersecurity nazionale". Sono stati pubblicati i materiali presentati:
- https://www.accredia.it/pubblicazione/come-gestire-il-rischio-informatico-il-contributo-dellaccreditamento-e-della-certificazione-alla-cybersecurity-nazionale/.
Il Quaderno presenta 128 pagine molto fitte, mentre la presentazione le riassume. Utile per capire cosa c'è e cosa ci potrà essere (anche se rimango perplesso sulla spinta a sviluppare schemi nazionali di certificazione).
******************************************************
03- EN 17640 sulla certificazione dei prodotti ICT
Segnalo questo articolo di ICT Security Magazine dal titolo "Sicurezza dei prodotti ICT: dall'Unione Europea arrivano nuovi criteri di valutazione":
- https://www.ictsecuritymagazine.com/notizie/sicurezza-dei-prodotti-ict-dallunione-europea-arrivano-nuovi-criteri-di-valutazione/.
Al momento non mi risultano attivi schemi di certificazione dei prodotti ICT per il cyber security act e per il NIS. E mi risulta anche oscura l'organizzazione degli standard relativi. Ci arriveremo, ma per adesso mi sembra tutto oscuro (anche se accompagnato da annunci pieni di entusiasmo).
******************************************************
04- Guide per lo sviluppo sicuro di NSA
Dalla newsletter Crypto-Gram segnalo che NSA ha pubblicato due guide per lo sviluppo sicuro.
Il primo ha titolo "Software Supply Chain Guidance for Developers":
- https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3146465/nsa-cisa-odni-release-software-supply-chain-guidance-for-developers/.
Il secondo ha titolo "Software Supply Chain Guidance for Suppliers" (che purtroppo ha le prime 22 pagine su 45 in formato foto e non testo):
- https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/3204427/esf-partners-nsa-and-cisa-release-software-supply-chain-guidance-for-suppliers/.
Si tratta di cose note, ma ben approfondite.
******************************************************
05- "Data Breach Investigations Report" di Verizon
Segnalo la pubblicazione del DBIR "Data Breach Investigations Report" di Verizon:
https://www.verizon.com/business/resources/reports/2022/dbir/2022-data-breach-investigations-report-dbir.pdf.
Un'enorme quantità di dati. Segnalano soprattutto il fatto che molti attacchi sfruttano errori di configurazione (misconfiguration), soprattutto in merito all'accesso ai servizi cloud.
******************************************************
06- Digital resignation
Segnalo questo interessante articolo dal titolo "Digital resignation: Non dobbiamo per forza cedere i nostri dati alle Big Tech: ecco i servizi a prova di privacy":
- https://www.agendadigitale.eu/sicurezza/privacy/non-dobbiamo-per-forza-cedere-i-nostri-alle-big-tech-ecco-i-servizi-a-prova-di-privacy/.
Nulla di tecnico, ma espone bene alcuni concetti che penso siano essenziali per chi si occupa di privacy e protezione dei dati personali.
******************************************************
EONL