Alessandro Cosenza mi ha segnalato la pubblicazione della  UNI/PdR 174:2025 "Sistema di gestione per la cybersicurezza e la sicurezza delle informazioni armonizzato alla norma UNI CEI EN ISO/IEC 27001 e al Framework NIST CSF 2.0 - Requisiti": https://store.uni.com/uni-pdr-174-2025.

Come tutte le PdR è gratuita (e non lo sapevo e su questo ho già fatto una figura di palta su LinkedIn) e questo è bene.

Si tratta di una proposta per mettere insieme ISO/IEC 27001 e le misure del NIST CSF. Non ho nulla da obiettare sulla correttezza, anzi, apprezzo il lavoro fatto.

Sono un inguaribile pessimista e temo queste cose:

1- la difficoltà di leggibilità (p.e. al 5.1 "raggiungere gli obiettivi previsti dalla sottocategoria GV.RR-01 appartenente alla funzione GOVERN e alla categoria RUOLI, RESPONSABILITÀ E AUTORITÀ");

2- l'eccesso di relazioni molti-a-molti, che rende poi difficilissimo il lavoro operativo;

3- che Accredia e ACN spingano alla certificazione su questa norma.

Ribadisco, ahinoi, il problema che ACN continua a promuovere riferimenti nazionali e non, come previsto dal D. Lgs. 138 e anche dalla necessità dei tempi, riferimenti internazionali o almeno europei. Meno male che nel gruppo di lavoro c'era almeno Fabio Guasconi che  è attivo a livello internazionale sugli standard di sicurezza delle informazioni. Sarebbe bello vedere partecipare anche ACN e Accredia, per dirne due (questa mattina, a parlare della futura ISO/IEC 27004, per l'Italia eravamo... due; un consulente e un'organizzazione utilizzatrice, nessun rappresentante di organismi di accreditamento o di certificazione e neppure delle grandi società di consulenza).