cyber sicurezza

Direttiva Nis2 e Gdpr, come garantire la compliance



Indirizzo copiato

La direttiva Nis2 comporta nuovi obblighi per le imprese, ampliando inoltre la platea dei soggetti coinvolti: è importante, tuttavia, assicurare in contemporanea anche l’adeguamento al Gdpr

Pubblicato il 29 ott 2024



direttiva NIS2

L’obbligo di adeguamento alla direttiva Nis2, a partire dal 18 ottobre 2024, impone alle aziende una riflessione sulle proprie misure di cybersecurity e data protection. È importante valutarne l’efficacia, capire se si sono adottare tutte le misure richieste dalla normativa e, eventualmente, porre rimedio a possibili lacune che possono condurre a rischi non solo per sé stessi ma anche per fornitori e stakeholder.

A ciò si aggiunge la necessità di garantire la compliance, in contemporanea, anche al Gdpr, il regolamento europeo sulla protezione dei dati. Aspetti complessi che richiedono l’impiego di soluzioni specifiche per rendere più semplici i processi, oltre all’appoggio di specialisti del settore.

Direttiva Nis2, come cambia la gestione dei dati

È importante in primis essere al passo con i cambiamenti che la direttiva Nis2 impone alle organizzazioni.  Sul fronte della data protection, per l’Avv. Paolo Calvano, Legal & Compliance Manager presso Cubbit, “la gestione dei dati nelle aziende europee subirà un’evoluzione significativa, sia in termini di responsabilità che di sicurezza informatica. In particolare, la portata maggiormente dirompente della Nis2 è rappresentata dall’ampliamento del numero di imprese interessate: ciò significa che un maggior numero di soggetti devono adeguarsi ai requisiti di sicurezza e gestione del rischio”. 

La Direttiva si applica, infatti, a “enti essenziali, cioè operatori che forniscono servizi critici, ed enti definiti importanti, categoria che include imprese di settori come l’industria manifatturiera, alimentare, i servizi postali – precisa Calvano -. Anche le imprese con più di 250 dipendenti o con oltre 50 milioni di euro di fatturato annuale sono incluse automaticamente, in qualsiasi ambito operino”.

La direttiva Nis2 prevede “l’introduzione di controlli di cybersecurity e data protection più stringenti, per cui è necessario adottare misure adatte a garantire la business continuity e la tutela del patrimonio aziendale di dati”, aggiunge Calvano. In particolare, i cambiamenti riguardano “l’adozione di un approccio basato sulla gestione del rischio, che includa l’analisi delle vulnerabilità, l’individuazione di minacce specifiche e la definizione di piani di mitigazione – aggiunge Calvano -, ma anche misure di protezione avanzata dei dati, come la cifratura end-to-end, e il monitoraggio continuo per individuare in tempo le minacce”. Aspetti importanti sono anche la collaborazione con le autorità, per la condivisione di informazioni rilevanti, e la segnalazione tempestiva entro 24 ore degli incidenti di sicurezza.

Direttiva Nis2 e Gdpr: come garantire la compliance

Ulteriore complessità è data dal dover garantire al contempo la conformità sia alla direttiva Nis2 che al Gdpr: “Entrambe le normative richiedono misure rigorose per la protezione dei dati e la sicurezza informatica, ma con focus differenti: la Nis2 si concentra sulla sicurezza delle reti e dei sistemi informativi, mentre il Gdpr è incentrato sulla protezione dei dati personali e sulla privacy. Tuttavia, le due normative sono complementari e un approccio integrato può facilitare la conformità a entrambe”, spiega Calvano.

Secondo l’Avvocato e Legal & Compliance Manager, i cinque punti principali da seguire per essere conformi contemporaneamente alla direttiva Nis2 e al Gdpr sono:

  1. Implementazione di un robusto sistema di gestione della sicurezza delle informazioni, che si occupi della protezione dei dati personali, della sicurezza delle reti e dei sistemi. Per Calvano, è utile “implementare all’interno della propria organizzazione lo standard ISO/IEC 27001 e, al contempo, richiedere che i propri fornitori, soprattutto quelli di servizi informatici, siano in possesso di una certificazione”. 
  1. Valutazione e gestione dei rischi cibernetici: è fondamentale effettuare regolari analisi del rischio, mantenere un registro dei rischi e integrare controlli come la crittografia e la pseudonimizzazione. 
  1. Procedure di notifica degli incidenti: necessario adottare un processo unificato di incident response, per gestire in tempi rapidi gli eventi. Importante disporre di un piano, di un team dedicato e di sistemi di monitoraggio e logging continui. I canali di comunicazione con le autorità devono essere chiari e semplici. 
  1. Governance e responsabilità chiara: ogni impresa deve stabilire ruoli e responsabilità ben definiti. In particolare, il Dpo o un privacy officer, per monitorare la compliance della gestione dei dati personali, oltre a un responsabile della sicurezza informatica come un Ciso, responsabile dell’implementazione delle misure di sicurezza delle reti e dei sistemi. 
  1. Formazione e consapevolezza del personale: la NIS2 richiede che tutti i soggetti coinvolti nei servizi essenziali siano consapevoli dei rischi di sicurezza e delle procedure di risposta, mentre il GDPR obbliga le imprese a garantire che i dipendenti comprendano i loro obblighi in termini di protezione dei dati personali. Utile svolgere sessioni di formazione e test interni.  

Conformità alla direttiva Nis2: la soluzione di Cubbit

In questo scenario, spiega Calvano, “Cubbit aiuta le aziende a essere conformi alla direttiva Nis2 attraverso una serie di caratteristiche e funzionalità integrate nella nostra soluzione di cloud storage geo-distribuito”. Le caratteristiche della soluzione sono: 

  1. Sovranità e geofencing dei dati: “Cubbit permette alle aziende di comporre soluzioni di cloud storage su misura e di mantenere la localizzazione dei propri dati entro i confini nazionali oppure all’interno di aree geografiche specifiche scelte dal cliente. In questo modo, le imprese possono evitare che i dati personali o sensibili siano soggetti alla legislazione di Paesi terzi che non offrono gli stessi standard di sicurezza e protezione dei dati garantiti dalle normative europee – spiega l’Avvocato e Legal & Compliance Manager -. Questo è fondamentale per soddisfare i requisiti di sicurezza imposti dalla NIS2, garantendo che i dati non siano soggetti a leggi extraterritoriali che mettono a repentaglio la sovranità dei dati, quali ad esempio il Cloud Act statunitense”.  
  1. Sicurezza avanzata dei dati: Cubbit nella propria architettura dispone della crittografia end-to-end AES-256. Calvano spiega che “ciò garantisce che i dati siano protetti sia durante la trasmissione che in stato di riposo, riducendo il rischio di accessi non autorizzati o di violazioni della sicurezza”. 
  1. Resilienza e disponibilità: Cubbit “offre una durabilità dei dati fino a 15 nove, superando gli standard del settore di diecimila volte. L’infrastruttura geo-distribuita garantisce che, anche in caso di guasto di uno o più nodi, i dati rimangano accessibili”, aggiunge l’Avv.Paolo Calvani. 
  1. Gestione degli accessi e monitoraggio: Calvano spiega che “Cubbit offre funzionalità avanzate di Identity and Access Management (IAM) e strumenti per monitorare l’attività sul sistema, permettendo alle aziende di controllare chi ha accesso ai dati e di rilevare tempestivamente eventuali anomalie”. 

A garanzia della conformità alle normative, Cubbit ha ottenuto certificazioni come:

  • ISO/IEC 27001:2013 per la sicurezza delle informazioni. 
  • ISO/IEC 27017:2015 per la sicurezza nel cloud. 
  • ISO/IEC 27018:2019 per la protezione dei dati personali nel cloud. 

Standard che, oltre ad attestare i livelli di sicurezza, “supportano le aziende nel dimostrare la conformità ai requisiti delle normative” conclude Calvano.  

Contributo editoriale sviluppato in collaborazione con Cubbit

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4