La sicurezza dei sistemi informativi e la protezione dei dati sono tematiche di sempre maggiore interesse per il legislatore comunitario, che ha regolato ambedue le materie con apposite Direttive e Regolamenti.
Indice degli argomenti
Il quadro normativo tra sicurezza informatica e protezione dei dati
Tra queste è intuitivo che la “Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022 relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148”, nota come NIS2 (di seguito Direttiva) e il Regolamento Ue 2016/679, noto come GDPR (di seguito Regolamento) convergano nella gestione della cybersicurezza attraverso un sistema coerente di obblighi che impone alle organizzazioni, individuate al contempo sia come Soggetti NIS2 che Titolari del trattamento, un elevato livello di maturità tecnica, giuridica ed organizzativa.
Cosa prevede la NIS2 per resilienza, servizi essenziali e governance
La Direttiva istituisce un quadro giuridico unificato per sostenere la cibersicurezza in 18 settori critici in tutta l’UE e individua le misure per un livello comune elevato di sicurezza informatica, mira a migliorare il livello di sicurezza informatica nell’Unione europea, richiedendo agli Stati membri di rafforzare le capacità di sicurezza informatica e di introdurre misure di gestione dei rischi di sicurezza informatica e di segnalazione nei settori critici, insieme a norme sulla cooperazione, la condivisione delle informazioni, la supervisione e l’applicazione delle norme.
In sintesi si occupa della resilienza delle infrastrutture critiche ed è rivolta direttamente ai soggetti cd. “essenziali” o “importanti” che operano in ambiti critici o altamente critici (ad es. trasporti pubblici, gestione acque e rifiuti, servizi sanitari, pubblica amministrazione, ecc..) ed è finalizzata alla protezione dei dati aziendali di servizio, cioè di quelli fondamentali necessari per garantire la continuità operativa dei servizi più critici, garantendone la continuità operativa e la sicurezza delle infrastrutture critiche e delle reti.
La sicurezza informatica comporta la protezione dei sistemi informativi e di rete, dei loro utenti e di altri individui colpiti da incidenti e minacce informatiche.
La Direttiva innalza quindi il livello comune di cibersicurezza e la resilienza delle infrastrutture critiche di fronte alle minacce cyber, visto che gli incidenti informatici sono aumentati in modo esponenziale e gli attacchi sono diventati sempre più sofisticati, colpendo in particolare entità essenziali e importanti appartenenti a settori essenziali, come quello sanitario.
Introduce misure di gestione dei rischi e obblighi di segnalazione, politiche per la sicurezza della catena di approvvigionamento, gestione delle vulnerabilità, educazione e sensibilizzazione in materia di cibersicurezza, al fine di prevenire incidenti che potrebbero causare perturbazioni o danni significativi, e responsabilizza l’alta dirigenza per il mancato rispetto delle misure di gestione dei rischi di cibersicurezza, portando così la cibersicurezza all’attenzione del top management.
Perché l’incident response plan integrato GDPR e NIS2 è necessario
Oggi la sicurezza informatica non può però essere scissa dalla protezione dei dati, perché i due temi sono interconnessi e inscindibili, e devono essere affrontati assieme, in particolare nei contesti organizzativi ad elevata complessità organizzativa, come ad esempio le strutture sanitarie, il cui sistema aziendale si prende ad esempio per la trattazione della tematica oggetto di approfondimento.
Obiettivo primario del Regolamento è invece quello di rafforzare la protezione dei dati personali e la tutela dei diritti e delle libertà fondamentali delle persone fisiche, attraverso una serie di misure ed adempimenti ai quali sono tenuti a far fronte i Titolari del trattamento, che devono dimostrare di aver adottato misure tecniche e organizzative adeguate.
La convergenza tra i due corpus normativi, quello della Direttiva e quello del Regolamento, si manifesta principalmente nei pilastri della sicurezza, nell’approccio basato sul rischio e nella gestione coordinata degli incidenti.
I pilastri RID e l’estensione al modello RIDA
Il Regolamento protegge i tre pilastri classici della sicurezza informatica, cioè delle attività necessarie per proteggere le reti e i sistemi informativi, gli utenti di tali sistemi e altre persone colpite dalle minacce informatiche, relativamente ai dati personali: Riservatezza, Integrità e Disponibilità (RID).
La Direttiva amplia questa base introducendo un ulteriore pilastro, l’Autenticità del dato (evolvendo il modello in RIDA), intesa come la garanzia che un’informazione derivi realmente dalla fonte dichiarata e non sia stata modificata, un aspetto cruciale per contrastare minacce come il phishing o gli attacchi man-in-the-middle.
Approccio basato sul rischio tra accountability e continuità operativa
Entrambe le normative segnano il passaggio da un modello “prescrittivo” a un modello “valutativo” basato sul principio di accountability (responsabilizzazione), elemento fondamentale in particolare del Regolamento, le cui misure sono graduate sulla base della valutazione del rischio del trattamento dei dati personali.
Sia il Regolamento, come indicato in particolare dalla lettera f) del paragrafo 1 dell’articolo 5, e dai paragrafi 1 degli articoli 24 e 32, sia la Direttiva richiedono infatti l’adozione da parte del Soggetto NIS2 o Titolare (di seguito Azienda) di misure tecniche e organizzative adeguate al rischio, ed il percorso di compliance che quest’ultima dovrà portare avanti dovrà assicurare comunque che tutte le misure adottate per migliorare la sicurezza informatica siano innanzitutto conformi anche al Regolamento.
Mentre il Regolamento tara il rischio sull’impatto verso i diritti e le libertà degli interessati, le persone fisiche alle quali si riferiscono i dati oggetto di trattamento, la Direttiva parrebbe concentrarsi a prima vista invece sulla resilienza dei servizi e dei sistemi dell’Azienda che consentono tale attività, ed ha per obiettivo il prevenire perturbazioni operative gravi o perdite finanziarie per il soggetto o per terzi.
Valutazione del rischio, supply chain e organizzazione interna
Anche se si tratta di ambiti distinti, le due norme si intrecciano però in diversi punti:
- nella valutazione del rischio sia il Regolamento che la Direttiva richiedono un approccio basato sul rischio che impone alle organizzazioni di adottare misure tecniche e organizzative adeguate;
- nell’organizzazione, vista la necessità di gestire con maggiore rigore la supply chain, visto che la Direttiva prevede una maggiore responsabilità sulla gestione dei fornitori, un aspetto già considerato essenziale nella gestione della filiera dei Responsabili del trattamento dal Regolamento;
- nella gestione degli incidenti: entrambe impongono notifiche di incidenti di sicurezza alle Autorità, anche se con cadenze e verso destinatari diversi, attraverso la notifica all’Autorità Garante Privacy per il Regolamento, e la notifica al CSIRT/ACN per la Direttiva.
Come l’incident response plan integrato GDPR e NIS2 coordina gli incidenti
Sulla gestione degli incidenti di sicurezza, a ben vedere, le due normative tendono a sovrapporsi o a percorrere dinamiche che possiamo considerare parallele.
Quando un incidente è significativo secondo la Direttiva
Per la Direttiva un incidente è un evento che va a compromettere l’erogazione di un servizio che viene pertanto interrotto, ossia in gergo un incidente significativo, che deve essere notificato, mentre i c.d. quasi incidenti o near-miss che avrebbero potuto configurare un incidente ma sono stati evitati prima, non necessitano di obblighi di notifica.
Secondo l’Articolo 2, comma 1, lettera t) della Direttiva, un “incidente” è definito come: “Un evento che compromette la disponibilità, l’autenticità, l’integrità o la riservatezza dei dati conservati, trasmessi o elaborati o dei servizi offerti dai sistemi informativi e di rete o accessibili attraverso di essi.“
Si tratta quindi di un qualsiasi evento in grado di minacciare la riservatezza, integrità o disponibilità dei sistemi informativi o dei dati più delicati di un’organizzazione, sia come ad esempio gli attacchi informatici intenzionali da parte di hacker o utenti non autorizzati o le violazioni non intenzionali da parte di utenti dei diversi servizi, come gli errori umani.
Quando la violazione diventa data breach ai sensi del GDPR
A tal proposito un incidente di sicurezza viene classificato come “significativo” e fa scattare l’obbligo di notifica quando presenta almeno una delle seguenti caratteristiche:
• Ha causato o può causare una grave perturbazione operativa dei servizi o ingenti perdite finanziarie per il soggetto interessato;
• Ha avuto o può avere ripercussioni su altre persone fisiche o giuridiche, provocando perdite materiali o immateriali considerevoli;
• Compromette la disponibilità, l’autenticità, l’integrità o la riservatezza (i cosiddetti pilastri “RIDA“) dei dati, anche di tipo personale, conservati o dei servizi offerti.
Molti degli incidenti significativi in taluni settori critici per la Direttiva sono automaticamente anche violazioni di dati personali per il Regolamento, sia che queste debbano essere, dopo la loro valutazione e processamento, notificate all’Autorità Garante.
Secondo il punto 12) del paragrafo 1 dell’articolo 4 del Regolamento la «violazione dei dati personali» o Data Breach è invece la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Tempi di notifica e procedure nell’incident response plan integrato GDPR e NIS2
La convergenza delle due discipline verso il fine ad ambedue comune di proteggere i sistemi informativi ed i dati in esso presenti è particolarmente evidente nelle procedure di gestione degli incidenti, posto quindi che un evento critico può configurarsi contemporaneamente sia come un “incidente significativo” della Direttiva che come una “violazione dei dati personali” o un data breach di cui all’articolo 33 del Regolamento.
Early warning entro 24 ore e notifica entro 72 ore
Il meccanismo di segnalazione degli incidenti previsto dalla Direttiva è articolato in una procedura graduata che si sviluppa in tre fasi principali, finalizzate a garantire una risposta tempestiva e coordinata tra i soggetti colpiti e le autorità competenti.
Non rispondere tempestivamente alle minacce, può comportare gravi conseguenze per l’azienda, dalla perdita delle credenziali, alla compromissione dei dati aziendali, fino all’interruzione dell’operatività, con tutte le conseguenze sull’erogazione dei servizi essenziali delle strutture sanitarie.
Per questo motivo, implementare piani di gestione degli incidenti non è solo importante per rispettare i requisiti previsti dalla Direttiva, ma anche per riuscire a limitare i possibili danni e garantire la continuità operativa in caso di crisi.
Early Warning o Pre-notifica
La prima fase è quella Early Warning o Pre-notifica, fase che prevede che il soggetto viene a conoscenza di un incidente “significativo” entro 24 ore da tale momento debba inviare una segnalazione iniziale al CSIRT Italia, specificando se l’incidente è sospettato di essere il risultato di atti illegittimi o malevoli e se potrebbe avere un impatto transfrontaliero.
Notifica dell’incidente entro 72 ore
La seconda fase, che deve essere fatta entro 72 ore dalla conoscenza, è la Notifica dell’incidente, più completa e di aggiornamento della Pre-notifica, e che deve includere una valutazione iniziale sulla gravità e sull’impatto dell’evento, nonché gli indicatori di compromissione (IoC) qualora siano disponibili.
Relazione finale, documentazione e tracciabilità degli eventi
Nella terza fase è previsto che il Soggetto NIS2 invii una relazione dettagliata finale entro un mese dalla trasmissione della seconda notifica con una descrizione approfondita della causa originale (root cause), del tipo di minaccia, delle misure di attenuazione adottate e dell’eventuale impatto transfrontaliero.
Questa tempistica, a ben vedere, coincide per le prime due fasi con quella prevista dal Regolamento all’articolo 33 per la gestione delle violazioni di dati o data breach, caratteristica che permette un agevole coordinamento tra le due procedure di gestione.
Infatti l’articolo 33 succitato impone al titolare la notifica della violazione all’Autorità di controllo entro 72 ore dal momento in cui se ne viene a conoscenza e al paragrafo 5 dispone di documentare in ogni caso qualsiasi violazione “Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all’autorità di controllo di verificare il rispetto del presente articolo”.
Documentazione, accountability e misure organizzative
Per tale motivo entrambe le normative impongono l’adozione di sistemi documentali strutturati.
Il Regolamento prescrive, tra gli altri adempimenti, che siano adottate misure adeguate di sicurezza sia tecnica che organizzativa, che sia attivato il Registro delle attività di trattamento e che per quelle tra queste che vengono considerate ad alto rischio sia elaborata la DPIA, la Valutazione d’Impatto sulla Protezione dei Dati.
La Direttiva poi rafforza questo approccio finalizzato al miglioramento del percorso di accountability dell’azienda, prevedendo che questa debba redigere una serie di documenti di natura tecnica e organizzativa e piani di gestione del rischio informatico con indicatori di efficacia misurabili, comprensivo di audit di prima e seconda parte.
L’incident response plan integrato GDPR e NIS2 come leva di resilienza
Fra le misure richieste alle aziende a tal proposito è previsto un piano di risposta agli incidenti (Incident Response Plan – IRP), che corrisponde ad un insieme di azioni e procedure strutturate che consente ai team di sicurezza (CSIRT – Computer Security Incident Response Team) di identificare le minacce, rispondere tempestivamente e mitigare l’impatto degli incidenti informatici.
Il piano di risposta agli incidenti specifica come un’organizzazione reagisce ad un evento critico di sicurezza informatica pianificando preparazione, rilevamento e ripristino, permettendo di migliorare e velocizzare i processi decisionali in situazioni di crisi.
Considerato che l’azienda sia nella fase di pre che di post incidente deve adottare velocemente una serie di misure di sicurezza o modificare o implementare le misure in essere è di tutta evidenza il vantaggio di un approccio integrato tra le due norme della Direttiva e del Regolamento, così da evitare di eseguire due volte la valutazione del rischio e per assicurare la massima tempestività nella gestione della crisi.
In tale contesto va inoltre sottolineato che la gestione integrata degli incidenti di sicurezza informatica non è finalizzata soltanto alla gestione del singolo incidente, ma è essenziale anche per il miglioramento continuo della sicurezza e per la revisione strategica degli standard di sicurezza adottati a protezione dei dati stessi, attività che vedono sistematicamente coinvolti ed in prima linea sia i responsabili della sicurezza informatica che il Data Protection Officer (DPO).
Governance, compliance e resilienza dei servizi essenziali
Alla luce di tale approccio sinergico appare quindi sia possibile che utile coordinare le comunicazioni, effettuando la notifica all’Autorità Garante Privacy, anche solo in forma preliminare, già in occasione della prima segnalazione NIS2 per ottimizzare la gestione della conformità e congruità dell’approccio all’incidente, adottando piani di risposta agli incidenti che integrino i requisiti del Regolamento e della Direttiva, evitando modelli procedurali disallineati che potrebbero generare inefficienze o sanzioni.
Ciò consentirebbe all’azienda di porre l’analisi dei rischi come elemento strutturale della compliance normativa in ambito sicurezza informatica e protezione dei dati personali, potenziandone l’accountability ed i meccanismi di vigilanza.
Pertanto, la capacità di integrare sistematicamente gli obblighi della Direttiva e del Regolamento rappresenta oggi un elemento qualificante della governance organizzativa dell’azienda, agendo come presidio di affidabilità dei servizi e strumento di tutela dei diritti degli interessati.
Un‘occasione da sfruttare, anche dotando delle adeguate risorse, come previsto anche dall’articolo 38 del Regolamento i responsabili della sicurezza informatica e il Data Protection Officer (DPO), al fine di elevare la resilienza dei soggetti critici, ridurre le vulnerabilità e garantire senza impedimenti l’erogazione dei servizi essenziali per il mantenimento di funzioni vitali per la società, l’economia, la sanità pubblica e la sicurezza o l’ambiente dei servizi e delle prestazioni.
Articolo molto chiaro e utile, soprattutto nel mettere in evidenza quanto sia importante integrare GDPR e NIS2 in un’unica strategia di gestione degli incidenti.
Spesso nelle aziende si lavora ancora a compartimenti separati tra compliance e sicurezza operativa, mentre il vero valore sta proprio nella capacità di collegare procedure, tempi di risposta e strumenti concreti di rilevazione.
Nella pratica, uno degli aspetti più complessi è passare dalla teoria alla capacità reale di individuare tempestivamente un incidente e limitarne l’impatto. Non sempre le organizzazioni sono preparate su questo fronte.
Anche nel settore della sicurezza avanzata e della contro-sorveglianza, realtà come Endoacustica Europe evidenziano quanto sia ancora diffuso il rischio di vulnerabilità poco considerate, soprattutto legate alla protezione delle informazioni e dei dispositivi.
In questo senso, l’integrazione tra governance, tecnologia e consapevolezza interna diventa davvero centrale per costruire una resilienza concreta, non solo formale.