好的,我需要帮用户总结这篇文章的内容,控制在100字以内。首先,我要仔细阅读文章内容,理解其主要观点。 文章主要讨论了ACN更新的NIS法规下的“基本规范”,特别是关于“重大事件”的定义。作者分析了四种类型的事件,其中前三种涉及数据泄露、数据完整性问题和违反服务水平协议,而第四种仅适用于关键基础设施,并且仅限于未经授权的访问。 用户的要求是用中文总结,不需要特定的开头,直接描述内容。因此,我需要提炼出关键点:ACN更新了规范,定义了四种重大事件类型,其中前三类涵盖各种数据问题,第四类仅适用于关键基础设施。 接下来,我要确保语言简洁明了,并且在100字以内。可能的结构是先说明ACN更新的内容,然后简要描述四种类型及其适用范围。 最后,检查是否有遗漏的重要信息,并确保总结准确反映原文的核心内容。 </think> ACN 更新了 NIS 法规下的“基本规范”,重新定义了“重大事件”的类型。包括数据泄露、数据完整性问题、违反服务水平协议以及未经授权的访问(仅适用于关键基础设施)。这些定义涵盖了从轻微的数据泄露到严重的技术故障等多种情况。 2026-1-17 18:43:0 Author: blog.cesaregallotti.it(查看原文) 阅读量:1 收藏
Come già detto, ACN ha aggiornato le "Specifiche di base per l'adempimento agli obblighi di cui agli articoli 23, 24, 25, 29 e 32 del decreto NIS": https://www.acn.gov.it/portale/nis/la-normativa.
Ho avuto quindi modo di rileggere le definizioni di incidenti significativi e sono rimasto perplesso.
Il primo tipo di incidente significativo è quando "Il soggetto NIS ha evidenza della perdita di riservatezza, verso l'esterno, di dati digitali di sua proprietà o sui quali esercita il controllo, anche parziale".
Quindi rientrano tutti i casi di perdita di riservatezza di dati digitali, a prescindere dalla loro criticità (o classificazione): l'email inviata all'indirizzo sbagliato, il vicino sul treno che spia lo schermo del pc, il vocale ascoltato in viva voce sul metrò, eccetera. Mi sembra un po' eccessivo, però vuolsi così colà ove si puote ciò che si vuole e più non dimando.
Il secondo tipo di incidente significativo è quando "Il soggetto NIS ha evidenza della perdita di integrità, con impatto verso l'esterno, di dati digitali di sua proprietà o sui quali esercita il controllo, anche parziale".
Anche qui si capisce che anche un record corrotto, a prescindere dalla sua criticità, va notificato. O anche quello con qualche carenza, come la certificazione unica senza la seconda pagina.
Il terzo tipo introduce, finalmente, qualche criterio di criticità: "Il soggetto NIS ha evidenza della violazione dei livelli di servizio attesi dei suoi servizi e/o delle sue attività, sulla base dei livelli di servizio atteso (SL) definiti ai sensi della misura DE.CM-01".
Qui val la pena ricordare che i fornitori di servizi IT possono (e devono) ricavare questi SL dal Regolamento di esecuzione (UE) 2024/2690 della Commissione (ma sappiamo che ACN ignora completamente questo Regolamento, anche nelle FAQ, lasciandoci così con mille dubbi).
Infine, solo per i soggetti essenziali, è un incidente significativo quando "Il soggetto NIS ha evidenza, anche sulla base dei parametri quali-quantitativi definiti ai sensi della misura DE.CM-01, dell'accesso, non autorizzato o con abuso dei privilegi concessi, a dati digitali di sua proprietà o sui quali esercita il controllo, anche parziale".
Quindi, assurdamente, un'azienda chimica registrato come soggetto NIS importante (o anche essenziale, a ben vedere) ha evidenza di un'intrusione sui propri sistemi OT e non lo deve dichiarare entro 24 al CSIRT. Questo anche se ACN ha detto che una delle ragioni per chiedere una notifica entro le 24 ore era quella di avere notizia di eventi che potrebbero propagarsi o ripetersi e quindi poter intervenire.
Traduzione: è possibile un intervento tempestivo per l'email inviata all'indirizzo sbagliato e non per un'intrusione a degli impianti di produzione.
O io non ho capito o la categorizzazione degli incidenti "significativi" potrebbe essere migliorata.
如有侵权请联系:admin#unsafe.sh