Le leggi sulla cybersecurity

La nuova strategia di cybersecurity americana mi sembra avvicinarsi sempre di più a quella europea e italiana. Ma forse sbaglio. Sbaglio?

Dopo il decreto Monti del 2013:

● Direttiva (UE) 2016/1148 del 6 luglio 2016, attuata con D.Lgs 18 maggio 2018 n. 65 (Direttiva #NIS abrogata dalla NIS2 dal 18/10/2024);
● Direttiva (UE) 2022/2555 del 14 dicembre 2022 (Direttiva #NIS2);
● Direttiva (UE) 2022/2557 del 14 dicembre 2022 (Resilienza dei soggetti critici e che abroga la direttiva 2008/114/CE #CER);
● Regolamento (UE) 2022/2554 del 14 dicembre 2022
(Resilienza operativa digitale per il settore finanziario #DORA);
● Regolamento (UE) 2019/881 – Riorganizzazione #ENISA – (Cybersecurity Act);
● Decreto Legge n. 82 del 14/06/2021 (conv. con modificazioni dalla Legge 4/08/2021 n. 109) che definisce l’architettura nazionale di cybersicurezza ed istituisce l’ Agenzia per la Cybersicurezza Nazionale);
● DECRETO-LEGGE 21 settembre 2019, n. 105 (Disposizioni urgenti in materia di Perimetro di Sicurezza Nazionale Cibernetica) – #PSNC;
● DPCM 30/07/2020 n. 131 (Individuazione soggetti pubblici e privati inclusi nel PSNC) – DPCM 1;
● DPCM 14/04/2021 n. 81 (Regolamento in materia di notifiche degli incidenti con impatto su reti, sistemi informativi e servizi informatici) – DPCM 2;
● DPCM 15 giugno 2021 (Individuazione delle categorie di beni, sistemi e servizi ICT destinati ad essere impiegati nel perimetro di sicurezza nazionale cibernetica) – DPCM 3;
● DPR 5 febbraio 2021, n. 54 (Regolamento attuativo dell’articolo 1, comma 6, del DL 105/2019 che individua le modalità e le procedure relative al funzionamento del Centro di Valutazione e Certificazione Nazionale (#CVCN) – da leggersi con il DPCM 15/06/2021;
● DPCM 18 maggio 2022, n. 92 (Regolamento in materia di accreditamento dei laboratori di prova e di raccordi tra Centro di Valutazione e Certificazione Nazionale, i laboratori di prova accreditati e i Centri di Valutazione del Ministero dell’interno e del Ministero della difesa) – DPCM 4;
● Determina 3 gennaio 2023 – Tassonomia degli Incidenti che debbono essere oggetto di notifica (provvedimento attuativo dell’art. 1, comma 3 bis del DL 105/2019).

(Nella foto, l’opera di Alighiero Boetti ripresa alla GNAM di Roma)

Il Manifesto: Dove sono gli elenchi dei servizi digitali essenziali?

Dove sono gli elenchi dei servizi digitali essenziali?

Hacker’s Dictionary. La Nis, la Network and Information Security Directive, nelle intenzioni dei legislatori è un insieme di dispositivi normativi che dovrebbero assicurare la continuità operativa nella fornitura di servizi essenziali nel campo dell’energia, dei trasporti, in quello bancario e finanziario, ma anche nella fornitura e distribuzione di acqua potabile e delle infrastrutture digitali, dell’e-commerce, dei motori di ricerca e del cloud computing: cioè la continuità dei servizi necessari a un normale funzionamento delle società moderne

di ARTURO DI CORINTO per Il Manifesto del 15 Novembre 2018

Il 9 novembre è passato ma l’elenco degli operatori dei servizi essenziali previsti dalla Nis, la Direttiva europea sulla sicurezza delle reti, non è ancora stato pubblicato. Eppure la loro individuazione è una disposizione obbligatoria di questa direttiva del 2016 recepita in Italia il 26 giugno 2018. A causa del ritardo nel recepimento all’epoca scrivemmo che «si erano dimenticati della Nis». Continua a leggere Il Manifesto: Dove sono gli elenchi dei servizi digitali essenziali?

Il Manifesto: I russi fanno incetta di dati in Italia, interessa a qualcuno?

I russi fanno incetta di dati in Italia, interessa a qualcuno?

Hacker’s Dictionary. La rubrica settimanale a cura di Arturo Di Corinto

di ARTURO DI CORINTO per Il Manifesto del 19 Luglio 2018

In questi giorni abbiamo scoperto che hacker militari russi noti come APT28 hanno attaccato per mesi server italiani e che la botnet Mirai che nel 2016 ha messo fuori gioco Twitter e New York Times, avrebbe la seconda casa in Italia, nei server di Aruba.

Che l’Italia sia da tempo un terreno di conquista per bande criminali e malfattori informatici è un fatto noto. Le aziende spendono poco in sicurezza, lo dice Bankitalia, enti ed istituzioni ancora meno. La situazione non è diversa presso ministeri, comuni e gestori di infrastrutture critiche tranne alcune pregevoli eccezioni. Continua a leggere Il Manifesto: I russi fanno incetta di dati in Italia, interessa a qualcuno?

Il Manifesto: Cybersecurity all’amatriciana, si sono scordati della Nis

Cybersecurity all’amatriciana, si sono scordati della Nis
Hacker’s Dictionary. La rubrica settimanale a cura di Arturo Di Corinto
di ARTURO DI CORINTO per Il manifesto del 10 Maggio 2018

Il crimine informatico oggi costa al mondo quasi 600 miliardi di dollari, ovvero lo 0,8% del Pil globale, secondo un nuovo rapporto del Centro per gli studi strategici e internazionali (Csis) e McAfee, storica azienda di antivirus.

All’origine del fenomeno ci sono la cattiva progettazione di software e hardware, l’uso di dispositivi non protetti e l’errore umano. Ma la maggior parte degli attacchi è condotta da criminali in cerca di profitto che usano tecniche sempre più sofisticate per raggirare le vittime e superarne le difese. Continua a leggere Il Manifesto: Cybersecurity all’amatriciana, si sono scordati della Nis