Infosec & Quality newsletter ITA (Febbraio 2025)
******************************************************
Indice
01- Novità normative: Aggiornamento legislativo 2025
02- Novità normative: 27 febbraio 2025 mattina: mio seminario sulla normativa applicabile
03- Novità normative: Commissione europea e interpretazioni AI Act
04- Novità normative: DPCM sull'applicazione della clausola di salvaguardia NIS2
05- Novità normative: Sicurezza negli esercizi pubblici
06- Novità normative: Regolamento sullo spazio europeo dei dati sanitari (EHDS)
07- Dispositivi medici che mandano dati dei pazienti in Cina
08- Privacy: sanzione a Regione Molise e ai responabili
09- Privacy: Linee guida (in bozza!) EDPB sulla pseudonimizzazione
10- Gli uomini possono fare tutto (Febbraio 2025)
******************************************************
01- Novità normative: Aggiornamento legislativo 2025
Segnalo la mia presentazione "Aggiornamento legislativo 2025" (pdf, 2,2 MB): https://www.cesaregallotti.it/Pdf/Pubblicazioni/2025-Aggiornamento-legislativo-20250126.pdf.
E' una presentazione sulla normativa legale applicabile all'IT, con alcuni riferimenti all'applicabilità alle certificazioni ISO 9001, ISO/IEC 27001 e non solo.
Ho anche aggiornato i miei appunti sulla NIS2 e il suo recepimento italiano: https://www.cesaregallotti.it/Pdf/Pubblicazioni/2024-NIS-2-Appunti%20Cesare-recepimento-ITA.pdf.
******************************************************
02- Novità normative: 27 febbraio 2025 mattina: mio seminario sulla normativa applicabile
Il giovedì 27 febbraio terrò un intervento su "NIS2: Normativa applicabile all’IT": https://www.coretech.it/it/service/event/eventDetail.php?ID=1223.
In realtà, si parlerà anche di NIS2, ma non solo. Però l'hanno messo davanti al titolo perché oggi sembra richiamare maggiormente l'attenzione.
Dice 10.30 - 11.30, ma potremmo andare avanti più a lungo, ma non oltre l'ora di pranzo.
******************************************************
03- Novità normative: Commissione europea e interpretazioni AI Act
La Commissione europea ha pubblicato due documenti.
Il primo ha titolo "Guidelines on prohibited artificial intelligence (AI) practices": https://digital-strategy.ec.europa.eu/en/library/commission-publishes-guidelines-prohibited-artificial-intelligence-ai-practices-defined-ai-act.
Il secondo ha titolo "Guidelines on AI system definition": https://digital-strategy.ec.europa.eu/en/library/commission-publishes-guidelines-ai-system-definition-facilitate-first-ai-acts-rules-application.
Temo che saremo travolti da pubblicazioni anche ponderose (il primo è di 150 pagine, per un Regolamento già molto lungo e complesso; il secondo è almeno di sole 13 pagine). Purtroppo manca una pagina, aggiornata e facile da consultare, sul sito web della Commissione. Per il momento, ho scoperto che si può usare il seguente link (dove 25 è il tipo "Policy and legislation" e il 119 è l'argomento "Artificial intelligence"): https://digital-strategy.ec.europa.eu/en/related-content?type=25&topic=119. La ricerca fornisce anche altri documenti, ancora più specifici.
Ho ricevuto notizie da varie fonti in merito a queste linee guida. Cito Franco Vincenzo Ferrari (via email) e alcuni post su LinkedIn.
******************************************************
04- Novità normative: DPCM sull'applicazione della clausola di salvaguardia NIS2
Io ho preso questi appunti: L’applicabilità della NIS 2 dipende in larga parte dalla dimensione dell’impresa. La clausola di salvaguardia consente alle imprese di richiedere una deroga al calcolo delle dimensioni aziendali (dipendenti, fatturato e bilancio) tenendo conto del grado di indipendenza dai sistemi informativi e di rete delle imprese collegate. Questo per le organizzazioni che, pur facendo parte di un gruppo, operano in modo indipendente. L’esempio tipico è quello di un’azienda che appartiene a un gruppo, ma non utilizza i sistemi informatici del gruppo (https://www.studiolegaledelliponti.eu/guida-pratica-alla-registrazione-dei-soggetti-nis2-sul-portale-acn/).
Hanno approvato il DPCM 221 del 2024 per specificare meglio le condizioni: https://www.normattiva.it/eli/id/2025/02/10/25G00017/ORIGINAL.
La notizia l'ha data Filippo Bianchini agli Idraulici della privacy. Ma non era lui in ritardo, è il DPCM che è stato pubblicato in GU solo il 10 febbraio 2025.
******************************************************
05- Novità normative: Sicurezza negli esercizi pubblici
Il Ministero degli interni ha emanato il DECRETO 21 gennaio 2025 con titolo "Adozione delle linee guida per la prevenzione degli atti illegali e di situazioni di pericolo per l'ordine e la sicurezza pubblica all'interno e nelle immediate vicinanze degli esercizi pubblici": www.gazzettaufficiale.it/eli/id/2025/01/25/25A00562/sg.
Non l'ho letto, ma ho letto il commento molto polemico di Christian Bernieri: https://garantepiracy.it/blog/kapo/.
Non mi occupo di sicurezza pubblica e non lo farò. Però questo mi sembra un bell'esempio di fuffa-sicurezza, che vedo anche in molte aziende: un codice di condotta che nessuno leggerà, videosorveglianza dappertutto, timbri per riconoscere i visitatori (qui i minori, ma il concetto è lo stesso) ma non per riconoscere gli altri.
******************************************************
06- Novità normative: Regolamento sullo spazio europeo dei dati sanitari (EHDS)
Il Consiglio dell'UE ha adottato un nuovo atto legislativo sullo scambio dei dati sanitari e l'accesso a livello dell'UE: https://www.consilium.europa.eu/it/press/press-releases/2025/01/21/european-health-data-space-council-adopts-new-regulation-improving-cross-border-access-to-eu-health-data/.
La notizia l'ho avuta dalla newsletter di Project:IN Avvocati via LinkedIn.
Spero che verrà diffuso il numero del Regolamento quando sarà pubblicato.
******************************************************
07- Dispositivi medici che mandano dati dei pazienti in Cina
Mi hanno segnalato un articolo interessante dal titolo "Allarme negli ospedali, dispositivi medici mandano dati dei pazienti in Cina": https://www.tomshw.it/hardware/allarme-negli-ospedali-dispositivi-medici-mandano-dati-dei-pazienti-in-cina-2025-01-31.
L'avviso originale della CISA è questo: https://www.cisa.gov/resources-tools/resources/contec-cms8000-contains-backdoor.
Mi pare interessante anche il commento di una persona che si occupa di marcatura CE di dispositivi medici: "la cybersecurity è ormai un problema serissimo in questo campo e la nostra analisi ai fini della marcatura CE non avrebbe mai e poi mai trovato questa "cosuccia". Forse facendo dei vulnerability assessment e penetration test durante un uso intenso del dispositivo un buon laboratorio avrebbe potuto vedere qualcosa, ma i cinesi sono stati furbi ad usare la porta tipicamente usata per la trasmissione HL7 in ambito sanitario. Oltre a ciò, i VA-PT sono commissionati dal fabbricante e non dall'organismo che verifica".
Questo mi fa ripensare alla mia denuncia sulla "sicurezza di carta", di cui sono vittime anche le marcature CE: tante check list, tante analisi documentali, mentre forse si potrebbero ridurre in favore di VA-PT più tecnologici.
******************************************************
08- Privacy: sanzione a Regione Molise e ai responsabili
Segnalo il Provvedimento del 27 novembre 2024 [10095810] del Garante privacy: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/10095810.
La notizia sulla newsletter del Garante ha titolo "Data breach, FSE Molise: le sanzioni del Garante privacy": https://www.gpdp.it/home/docweb/-/docweb-display/docweb/10095854#2.
In due parole: il servizio web di Fascicolo sanitario elettronico della Regione Molise presentava un bug, sfruttato da una persone per visualizzare altre pratiche.
Il Garante ha sanzionato, oltra al titolare Regione Molise e il responsabile Società Molise dati anche Engineering Ingegneria Informatica S.p.A. (che a sua volta era responsabile di un responsabile della Società Molise dati, ossia il sub3-responsabile), che aveva in manutenzione il servizio.
La cosa interessante è che Engineering è stata sanzionata perché "omettendo di mettere in atto misure tecniche [...] come previsto anche dall’atto di nomina a responsabile" e perché "avrebbe dovuto -nell’ambito dei doveri di ordinaria diligenza- adottare misure adeguate, e verificarne l’efficacia con l’esecuzione di opportuni casi di test".
Ecco quindi che il responsabile non deve seguire pedissequamente le istruzioni del titolare, ma farsi carico dei "doveri di ordinaria diligenza".
******************************************************
09- Privacy: Linee guida (in bozza!) EDPB sulla pseudonimizzazione
In tanti stanno divulgando la notizia sulla pubblicazione della bozza delle "Guidelines 01/2025 on Pseudonymisation" di EDPB: https://www.edpb.europa.eu/our-work-tools/documents/public-consultations/2025/guidelines-012025-pseudonymisation_en.
Sono in bozza e in attesa di commenti che possono essere spediti entro il 28 febbraio 2025.
Io le bozze non le leggo. A mio parere vanno lette solo da chi vuole inviare commenti e solo per quello (abbiamo già visto i danni di chi invece ha lavorato sulle bozze del GDPR e altre bozze e schemi).
******************************************************
10- Gli uomini possono fare tutto (Febbraio 2025)
Oggi vorrei parlarvi dei nonni, croce e delizia degli uomini che possono fare tutto, ma non sempre ce la fanno. Li viziano e non seguono le istruzioni, ma intervengono quando c'è bisogno di loro, anche quando gli acciacchi riducono la loro disponibilità.
Così ringrazio mia mamma che è andata a prendere degli esami medici di un figlio in un periodo in cui noi genitori non potevamo passare a prenderli dalle 9 alle 16.30, mio suocero che è andato a prendere un figlio di ritorno dagli scout mentre io ero con l'altro al calcio, tutti e quattro i nonni che tengono compagnia ai nipoti quando noi siamo impegnati.
Questo mese è andato così. Che è arrivato il momento di dire che anche i nonni possono fare tutto, ma è bene non farglielo fare, visto che tocca a noi adesso fare i genitori. Ed è anche il momento di ringraziarli di cuore.
******************************************************
EONL