Nel panorama normativo europeo il GDPR non è l’unico provvedimento a sancire misure di sicurezza dei dati personali e obblighi di comunicazione delle violazioni. Di recente introduzione è anche la direttiva NIS, recante misure per un livello elevato di sicurezza delle reti e dei sistemi informativi nell’Unione Europea.

Anche la NIS definisce quale debba essere il corretto processo di trattamento di dati, seppur in modo diverso e soprattutto nei confronti di una platea di soggetti giuridici più circoscritta. Scopriamo insieme somiglianze, differenze, ma soprattutto, le misure di sicurezza che le aziende sono chiamate ad adottare.

 

GDPR: oggetto di tutela e misure di sicurezza

Il regolamento trova applicazione nei casi di trattamento di dati personali, da intendersi, sulla base dell’art. 4, come qualsiasi informazione riguardante una persona fisica identificata o identificabile. Il GDPR prevede che chi effettua il trattamento di dati personali adotti specifiche misure di sicurezza: ai sensi dell’art. 32, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre:

  • la pseudonimizzazione e la cifratura dei dati personali;
  • la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
  • la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
  • una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

NIS: oggetto di tutela e misure di sicurezza

Al contrario, la Direttiva NIS non si prefigge il compito di assicurare alcuna tutela dei dati personali, almeno non direttamente, la sua ratio è piuttosto quella di definire obblighi di adozione di specifiche misure di sicurezza volte a conseguire un livello elevato di sicurezza della rete e dei sistemi informativi in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell’Unione Europea. Sono soggetti all’adozione di tali misure  i “fornitori di servizi critici”, ovvero gli operatori di servizi essenziali:

  • fornitura di energia: elettricità, petrolio e gas;
  • trasporto: aereo, ferroviario, marittimo e stradale;
  • settore bancario: istituti di credito;
  • salute: istituti sanitari;
  • infrastrutture proprie dei mercati finanziari: le sedi di negoziazione e le controparti centrali;
  • acqua: fornitura di acqua potabile e la relativa distribuzione;
  • infrastrutture digitali: Internet Exchange point, fornitori di servizi DNS e registri TLD.

L’Italia, tra pubblico e privato, ha individuato 465 aziende critiche che hanno avuto tempo fino a fine 2019 per mettersi al passo. Inoltre, è attualmente in via di definizione l’individuazione di un’ulteriore platea di aziende:

  • I fornitori di servizi digitali:
  • i Mercati online;
  • i Motori di ricerca;
  • i Servizi di cloud.

Su questa seconda categoria di soggetti l’Enisa, l’Agenzia europea per la sicurezza delle reti e dell’informazione, deve presentare le linee guida per semplificare il riconoscimento delle società da assoggettare alla direttiva.

 

Operatori di servizi essenziali

Gli operatori di servizi essenziali, in conformità all’art. 12 del D. lgs., devono adottare

  • adeguate misure tecniche e organizzative
  • proporzionate alla gestione dei rischi posti alla sicurezza della rete e dei sistemi informativi che utilizzano nelle loro operazioni.

Tenuto conto delle conoscenze più aggiornate in materia, dette misure devono assicurare un livello di sicurezza delle reti e dei sistemi informativi adeguato al rischio esistente. Gli operatori di servizi essenziali devono altresì adottare misure adeguate per

  • Prevenire
  • Minimizzare

l’impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi utilizzati per la fornitura dei servizi essenziali, al fine di assicurare la continuità di tali servizi.

 

I fornitori di servizi digitali

Per quanto concerne i fornitori di servizi digitali, sulla base di quanto definito dall’art. 14 del D. lgs, devono identificare ed adottare misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi relativi alla sicurezza della rete e dei sistemi informativi che utilizzano. Tenuto conto delle conoscenze più aggiornate in materia, tali misure devono assicurare un livello di sicurezza della rete e dei sistemi informativi adeguato al rischio esistente e tengono conto dei seguenti elementi:

  • la sicurezza dei sistemi e degli impianti;
  • trattamento degli incidenti;
  • gestione della continuità operativa;
  • monitoraggio, audit e test;
  • conformità con le norme internazionali.

NIS vs GDPR

L’assetto e le disposizioni contenute nelle due direttive sembra disegnare un quadro dove NIS e GDPR si completano a vicenda nel perseguire i rispettivi obiettivi di tutela dei dati personali.

Il GDPR enfatizza il ruolo del titolare del trattamento assegnandogli l’onore e l’onere di definire quali misure di sicurezza debbano essere adottate. Il NIS sancisce l’adozione di misure più elevate.

In questo specchietto estratto da un rapporto della Corte dei Conti Europea, è possibile individuare differenze e principali punti di contatto:

 

Meno muri e più sistemi di monitoraggio avanzato

Sempre più aziende adottano tecnologie emergenti e lo fanno più rapidamente rispetto alla velocità con cui affrontano i relativi problemi di cyber security. Questo rende sempre più difficile proteggere la propria organizzazione dalle vulnerabilità delle parti terze e salvaguardare i dati personali dei clienti, ma anche dei propri dipendenti. Uno scenario che trova un riscontro nel rapporto dell’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, secondo cui le imprese italiane hanno mediamente “sufficienti” strutture organizzative, procedure e competenze, ma devono ancora incrementare le iniziative di sicurezza a tutti i livelli manageriali e organizzativi.  

Per questo motivo le istituzioni nazionali ed Europee si stanno muovendo verso l’introduzione di provvedimenti che incentivino le aziende ad adottare sistemi intelligenti di sicurezza del dato.  Gli obblighi di comunicazione che scaturiscono da un ipotetico Data Breach, impongono alle aziende maggiori capacità di controllo nel rilevare e trattare gli incidenti. Ecco quindi che non è più sufficiente investire sulla protezione del perimetro aziendale. Nel contesto odierno costruire muri sempre più alti è inefficace. È invece necessario coordinare e centralizzare tutti questi sforzi in un unico ambiente di monitoraggio e analisi della sicurezza.

La tua azienda è pronta a questa sfida?

Richiedi informazioni sui sistemi intelligenti di sicurezza del dato per la tua azienda

Share This