Privacy e sicurezza informatica: direttiva 2555 del 2022

DIR (UE) 2022/2555 un obbligo ma anche un’opportunità per gestire Privacy e sicurezza informatica a cui nessuno si debba sentire escluso.

E’ necessario comprendere che tale normativa mette al centro la sicurezza dell’architettura informatica aziendale al pari della sicurezza alimentare o della sicurezza sui luoghi di lavoro. Questo richiede in tutti noi un profondo riesame delle politiche d’investimento, del valore reale dei dati che gestiamo e non da ultimo dei comportamenti che adottiamo di fronte a questo nuovo soggetto/bene: “il dato”.

La Direttiva NIS 2 – acronimo di “Network and Information Security” – è una normativa europea entrata in vigore il 16 gennaio 2023, con l’obiettivo di rafforzare la sicurezza informatica e la resilienza delle infrastrutture essenziali e critiche necessarie al funzionamento di ogni Stato membro dell’Unione Europea.

Il recepimento della normativa in Italia

Il primo ottobre 2024 è stato pubblicato in Gazzetta Ufficiale il D.lgs.138/2024 in recepimento della NIS2. Le disposizioni contenute nel Decreto si applicano a partire dal 18 ottobre 2024.

Il Decreto vede coinvolti i soggetti indicati negli allegati I (Settori ad altra criticità) – II (Altri settori critici) e III (Amministrazioni centrali, regionali, locali e di altro tipo) – IV (Ulteriori tipologie di soggetti). Per il settore privato gli allegati rilevanti sono l’allegato I e II.

Il decreto si applica ai soggetti delle tipologie di cui all’allegato I e II, che superano i massimali per le piccole imprese ai sensi dell’articolo 2, paragrafo 2, dell’allegato alla raccomandazione 2003/361/CE.

Anche qualora l’azienda non rientrasse nei limiti di applicabilità previsti dal Decreto è possibile, nel caso l’azienda fosse fornitrice di un soggetto obbligato, che quest’ultimo proceda alla verifica della sicurezza della propria supply chain.

La verifica potrà verosimilmente avvenire attraverso l’applicazione di check-list di conformità la cui compilazione, positiva o negativa, potrebbe determinare la prosecuzione o meno del rapporto di fornitura.

 Gli organi di gestione delle società saranno chiamati ad avere un ruolo attivo nella compliance.

Cambia il paradigma delle responsabilità: i manager incaricati tramite deleghe specifiche o i CDA dalle aziende saranno direttamente sanzionabili in caso di non applicazione della norma. La responsabilità personale agirà sicuramente da acceleratore dell’applicazione della stessa norma.

Gli obblighi in materia di gestione dei rischi e implementazione delle misure di sicurezza:

  • I soggetti essenziali e i soggetti importanti adottano misure tecniche, operative e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza dei propri sistemi informativi e di rete utilizzati nelle attività d’impresa o nella fornitura dei servizi erogati.
  • Assicurano un livello di sicurezza dei sistemi informativi e di rete adeguato ai rischi esistenti (tenuto conto dei costi di attuazione) sono proporzionate al grado di esposizione a rischi del soggetto, alle dimensioni e alla probabilità che si verifichino incidenti, compreso il loro impatto sociale ed economico.

Obbligo di misure con un approccio multirischio

Le misure sono basate su un approccio volto a proteggere i sistemi informativi e di rete nonché il loro ambiente fisico da incidenti:

  • politiche di analisi dei rischi e di sicurezza dei sistemi informativi e di rete
  • gestione degli incidenti, ivi incluse le procedure e gli strumenti per eseguire le notifiche
  • continuità operativa (gestione di backup, disaster recovery, business continuity)
  • sicurezza estesa alla catena di approvvigionamento
  • sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informativi e di rete
  • politiche e procedure per valutare l’efficacia delle misure di gestione dei rischi per la sicurezza informatica
  • formazione in materia di sicurezza informatica
  • politiche e procedure relative all’uso della crittografia/cifratura
  • politiche di controllo dell’accesso e gestione dei beni e degli asset
  • uso di soluzioni di autenticazione a più fattori

Un piano operativo che consigliamo a tutti di mettere in pratica

Comprendere lo stato AS-IS utilizzando come parametro di riferimento standard nazionali e internazionali in materia di cybersecurity e quanto previsto dalla NIS2 con questi livelli d’analisi:

  • analisi dei processi e delle procedure in essere nonché degli strumenti tecnologici utilizzati per l’applicazione delle procedure di sicurezza
  • analisi del livello di security-awareness degli utenti

Definizione dello scenario TO-BE – gli obiettivi che l’organizzazione vuole raggiungere:

  • Elaborazione di una GAP Analysis emergente dal confronto tra l’AS-IS e il TO-BE
  • Analisi e gestione dei rischi: associare a ogni gap un grado di rischio al fine di prioritizzarlo in termini di remediation e individuare le risorse in azienda che si occuperanno delle fasi di sviluppo.

Le Sanzioni

Il compito di supervisionare la corretta applicazione delle disposizioni della Direttiva NIS 2 e di esercitare i poteri sanzionatori è stato attribuito alla nostra Agenzia per la Cybersicurezza Nazionale, il criterio di applicazione delle sanzioni è modulare in base al soggetto tenuto al rispetto della normativa.

Le sanzioni scattano per:

  • l’inosservanza degli obblighi imposti agli organi di amministrazione
  • la mancata implementazione delle misure tecniche, organizzative ed operative
  • l’assenza di notifica

fino a 10 milioni o fino al 2% del totale del fatturato annuo su scala mondiale con un minimo editabile fino al 0,1% o fino allo 0,07% del fatturato mondiale annuo per le violazioni considerate meno gravi.

Le sanzioni accessorie interdittive in caso di diffida da parte dell’ACN che richieda l’implementazione di determinate misure che venga ignorata, è possibile sospendere temporaneamente un certificato o un’autorizzazione relativi ai servizi erogati dal soggetto. Inoltre, nella medesima ipotesi, le conseguenze possono ripercuotersi anche sul management, che non potrà svolgere funzioni dirigenziali nell’ente.

 

Articolo scritto da

AFRO STECCHEZZINI
Vicepresidente e Amministratore Delegato

e

Avv. Eugenia Canistro
Responsabile Privacy e Sicurezza Informatica