Quali sono, oggi, i beni aziendali più preziosi? E quali strategie di prevenzione e sicurezza le aziende mettono in atto per proteggerli?
I beni aziendali più preziosi e, al tempo stesso, più vulnerabili sono i dati e le infrastrutture. Con l’obiettivo di proteggere tali beni – informazioni, dati dei dipendenti, know-how dell’azienda, reti informatiche e sistemi informativi che permettono di erogare servizi – l’Unione Europea, nel 2016, ha pubblicato due normative che gli Stati Membri hanno recepito o stanno ancora recependo.
La prima è il GDPR – General Data Protection Regulation, regolamento pubblicato sulla Gazzetta Ufficiale Europea il 4 maggio 2016 – divenuto operativo a partire dal 25 maggio 2018 e recepito in Italia dal Decreto legislativo 101 del 10 agosto 2018 – in tema di trattamento dei dati personali e privacy. La seconda è la NIS (acronimo di Network and Information Security), Direttiva approvata nel 2016 – recepita in Italia dal Decreto Legislativo 18 maggio 2018, entrato in vigore il 24 giugno 2018 – che impone l’adozione di una serie di misure comuni per la sicurezza delle reti e dei sistemi informativi.
Gli ambiti di intervento di tali normative sono diversi, ma entrambe hanno origine da un‘unica esigenza: una più forte consapevolezza, a livello europeo, circa l’importanza, per le aziende, di una strategia puntuale ed efficace in tema di sicurezza e prevenzione.
Che cosa tutela il GDPR
In particolare, il GDPR trova applicazione nei casi di trattamento dei dati personali, da intendersi come qualsiasi informazione riguardante la persona fisica. Ai sensi del GDPR, la persona fisica si considera “identificabile” con particolare riferimento al nome, al numero di identificazione, ai dati relativi all’ubicazione, all’identificativo online o a un elemento caratteristico della sua identità fisica, fisiologica, genetica, economica, culturale o sociale.
E prevede che chi, in azienda, effettua il trattamento dei dati personali, adotti specifiche misure di sicurezza, tenuto contro delle finalità del trattamento e del rischio per il diritto alla privacy e alla riservatezza delle persone fisiche coinvolte.
Ricordiamo, però, che il GDPR non è applicabile sempre e in ogni caso di trattamento di dati personali. Non risulta applicabile quando il trattamento è effettuato per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione Europea, quando è effettuato per l’esercizio di attività a carattere personale (ad esempio, la memorizzazione di un numero di telefono di un amico o conoscente) o quando effettuato dalle Autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali.
Le finalità della Direttiva NIS
La Direttiva NIS definisce un’unica linea strategica tra i vari Stati dell’Unione europea contro il rischio di incidenti ai danni delle reti informatiche e dei sistemi informativi. Linea che si basa sulla gestione dei rischi, sulla protezione contro i cyber attacchi, sull’individuazione di incidenti e sulla riduzione dell’impatto di tali incidenti.
Nello specifico, la Direttiva NIS si rivolge a due tipologie di operatori nell’ambito delle reti e dei sistemi informativi: quei soggetti, pubblici o privati, che forniscono servizi cosiddetti “essenziali” per la società e l’economia (definiti “Operatori di Servizi Essenziali” – OES) nei settori sanitario, dell’energia, dei trasporti, bancario, delle infrastrutture dei mercati finanziari, della fornitura e distribuzione di acqua potabile e delle infrastrutture digitali; i Fornitori di Servizi Digitali (FSD), vale a dire le persone giuridiche che forniscono servizi di e-commerce, cloud computing e motori di ricerca con sede sociale (o rappresentante designato) sul territorio nazionale. A tale riguardo, non sono soggetti alla Direttiva NIS i Fornitori di Servizi Digitali con meno di cinquanta dipendenti o con fatturato inferiore ai 10 milioni di euro l’anno.
GDPR e Direttiva NIS: stesso obiettivo finale
GDPR e Direttiva NIS hanno il medesimo obiettivo finale, ovvero che le aziende adottino misure tecniche e organizzative adeguate e puntuali, col fine di garantire un elevato livello di sicurezza. Questo consente di prevenire e di minimizzare i rischi degli incidenti ai danni di reti e sistemi informatici e di tutelare i dati e le informazioni, garantendo così continuità nell’erogazione dei servizi cosiddetti “essenziali”.
Per far sì che ciò avvenga, le aziende devono adottare regole uniformi in materia, cooperando con le Autorità e con tutti i soggetti coinvolti. In particolare, le normative definiscono in maniera precisa cosa si intende per “misure di sicurezza” e cosa le aziende sono tenute a comunicare, e cioè tutte le “informazioni necessarie per valutare la sicurezza della loro rete e dei loro sistemi informativi, compresi i documenti relativi alle politiche di sicurezza”.
Un aspetto importante e da sottolineare è che sia la NIS sia il GDPR partono da un medesimo approccio di applicazione, che chiede alle aziende e ai suoi responsabili di mettere al centro data & security governance sin dalla progettazione di qualunque processo e procedura aziendali. Entrambe le normative spingono verso una strategia unitaria, in grado di applicare le direttive nel loro complesso e di agire in un’ottica di integrazione tra norme e sistemi.