Avevo segnalato la bozza del NIST CSF 2.0: https://blog.cesaregallotti.it/2023/08/nist-cybersecurity-framework-20-in-bozza.html.

Davide Giribaldi di Swiss Cyber Com mi ha informato che ne è stata pubblicata la versione definitiva: https://www.nist.gov/cyberframework.

Mi riporta anche le caratteristiche:

- Aggiunge il pilastro Governance a quelli già presenti;

- Valido non più solo per le infrastrutture critiche;

- Gestione rischio terze parti.

Mi chiede cosa ne penso. Ed ecco cosa ne penso, considerando che l'ho solo sfogliato:

- non ho trovato un file xls (o cvs) come c'era per la precedente versione ed era molto comodo; anzi, è poco chiaro come navigare tra i requisiti;

- i requisiti di sicurezza sono, alla fine, sempre quelli; la differenza tra uno schema e l'altro è la loro facilità d'uso; mi sembra sia diventato più complicato e più prolisso e questo non è un bene; per dare un giudizio completo dovrei contare il numero di controlli e quindi aspetto il formato xls;

- alcuni requisiti sono evidentemente tarati per aziende che possono permettersi una struttura documentale significativa e il CSF non discute possibili alternative (o, meglio, non parte da un minimo che possa essere ampliato).

Davide segnala che a questo punto dovrà essere aggiornato il Framework Nazionale per la Cybersecurity e la Data Protection (https://www.cybersecurityframework.it/framework2).

Cosa ne penso? Che potrebbe essere l'occasione per ripartire dalla ISO/IEC 27001, standard internazionale a cui collabora anche l'Italia.