In un mondo sempre più digitalizzato, la protezione dei dati personali in contesto aziendale è diventata una priorità assoluta per ogni azienda. Soprattutto negli ultimi tempi, i due acronimi che più spesso ricorrono in questo contesto sono GDPR e NIS2.
Il GDPR, Regolamento Generale sulla Protezione dei Dati, si occupa di privacy e gestione dei dati personali. La NIS2, Direttiva sulla sicurezza delle reti e dei sistemi informativi, pone l’accento sulla cybersecurity, il cui ruolo è indispensabile nelle aziende per affrontare il pericolo digitale.
Pur essendo distinti, questi due ambiti sono strettamente interconnessi e formano un binomio inscindibile per la sicurezza e la compliance aziendali.
GDPR: il guardiano della privacy
Il GDPR, in vigore dal 2018, ha ridefinito il modo in cui le aziende trattano i dati personali. Il suo obiettivo principale è proteggere le persone fisiche con riguardo al trattamento dei loro dati personali.
In termini pratici, le aziende che trattano dati personali, ovvero “tutte le aziende”, devono in qualunque fase del trattamento, sia essa la raccolta, l’utilizzo o la conservazione dei dati personali, preoccuparsi di proteggere le informazioni che riguardano individui riducendo al minimo i rischi di data breach, ovvero di violazioni di sicurezza che comportano accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
La domanda, quindi è: cosa dice il GDPR al riguardo? Ovvero: come dobbiamo proteggere i dati personali?
L’art. 32 parla di misure tecniche e organizzative adeguate a garantire un livello di sicurezza adatto al rischio di data breach, facendo alcuni esempi:
- la pseudonimizzazione e la cifratura dei dati personali;
- la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
- la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
- una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Evidente che la cybersecurity, attesa la quasi completa dematerializzazione delle informazioni in azienda, dal punto di vista delle misure tecniche la faccia da padrona, ma attenzione: le misure di sicurezza informatiche non bastano a garantire la protezione dei dati personali, perché a esse vanno affiancate misure di tipo operativo e organizzativo, quali procedure, policy e, soprattutto, formazione.
NIS2: lo scudo contro le minacce informatiche
La Direttiva NIS2, attuata in Italia mediante il Dlgs 138/2024, rafforza le norme sulla cybersecurity a livello europeo e, almeno nelle aziende nelle quali si applica, innalza notevolmente la soglia di sicurezza dei sistemi informativi e di rete garantendo, di conseguenza, un livello più elevato di protezione dei dati personali.
La NIS2 impone alle aziende obblighi specifici in materia di cybersecurity, tra cui:
- Adozione di misure di sicurezza adeguate e proporzionate: le aziende devono implementare misure tecniche, operative e organizzative per proteggere le proprie reti e i sistemi informativi, tenendo conto dello stato dell’arte e dei costi di attuazione.
- Notifica degli incidenti di sicurezza: le aziende devono notificare tempestivamente alle autorità competenti gli incidenti di sicurezza che hanno un impatto significativo sulla continuità dei servizi.
- Gestione del rischio: le aziende devono identificare, valutare e gestire i rischi per la cybersecurity, adottando un approccio basato sul rischio.
- Formazione del personale: il personale deve essere adeguatamente formato in materia di cybersecurity, per garantire la corretta applicazione delle misure di sicurezza.
Un legame indissolubile: la cybersecurity a supporto della privacy
Per una corretta applicazione del GDPR, per quanto riguarda le misure tecniche di sicurezza, anche per le aziende fuori perimetro, la NIS2 rappresenta una sorta di normativa di riferimento, un vademecum per quella adeguata protezione dei dati personali che transitano sui sistemi informativi e sulla rete aziendali.
Vediamo alcuni esempi concreti di come la cybersecurity della NIS2 supporta la privacy:
- Prevenzione delle violazioni dei dati (data breach): misure di cybersecurity come firewall, antivirus, sistemi di rilevamento delle intrusioni e crittografia dei dati aiutano a prevenire accessi non autorizzati e furti di dati personali, minimizzando il rischio di data breach.
- Controllo degli accessi: meccanismi di autenticazione robusti, come l’autenticazione a più fattori e la gestione dei privilegi di accesso limitano l’accesso ai dati solo al personale autorizzato, riducendo il rischio di accessi interni non autorizzati.
- Sicurezza delle reti e dei sistemi: la protezione delle reti e dei sistemi informativi da attacchi informatici garantisce la disponibilità, l’integrità e la riservatezza dei dati personali, proteggendoli da alterazioni o cancellazioni non autorizzate.
- Gestione degli incidenti (incident response): un piano di risposta agli incidenti di sicurezza ben definito consente di gestire tempestivamente eventuali violazioni dei dati, minimizzando i danni e ripristinando rapidamente la normale operatività.
Cybersecurity quale misura organizzativa
Come già sottolineato, la cybersecurity non si limita all’implementazione di soluzioni tecnologiche. Un ruolo cruciale è svolto anche dalle misure organizzative, che comprendono:
- Politiche di sicurezza: definizione di politiche chiare e precise in materia di cybersecurity, che definiscano ruoli, responsabilità e procedure per la gestione della sicurezza delle informazioni.
- Formazione e sensibilizzazione del personale: il personale deve essere consapevole dei rischi informatici e formato sulle corrette pratiche di sicurezza, per evitare comportamenti che possano compromettere la sicurezza dei dati.
- Valutazione e gestione del rischio: identificazione e valutazione dei rischi per la cybersecurity, implementando misure per mitigarli e monitorarne l’efficacia.
- Audit e controlli periodici: verifica periodica dell’efficacia delle misure di sicurezza implementate, per identificare eventuali lacune e apportare miglioramenti.
Cosa devono fare concretamente le aziende?
Ecco alcuni consigli pratici indirizzati a tutte le aziende dentro e fuori perimetro NIS2 a cui, sicuramente, si applica il GDPR:
- Effettuare una valutazione del rischio congiunta: identificare i rischi per la privacy e la cybersecurity specifici dell’azienda, considerando le interdipendenze tra i due ambiti.
- Implementare le misure di sicurezza adeguate: adottare misure tecniche e organizzative per proteggere i dati personali e i sistemi informativi, tenendo conto delle best practice e degli standard di settore.
- Formare il personale: investire nella formazione e nella sensibilizzazione del personale in materia di privacy e cybersecurity, promuovendo una cultura della sicurezza a tutti i livelli.
- Nominare un Responsabile della Protezione dei Dati (DPO): se obbligatorio, nominare un DPO per supervisionare la conformità al GDPR e coordinare le attività con il responsabile della cybersecurity.
- Collaborare con esperti di cybersecurity e privacy: affidarsi a professionisti del settore per implementare e gestire le misure di sicurezza e garantire la conformità alle normative.
- Mantenersi aggiornati: il panorama delle minacce informatiche e delle normative è in continua evoluzione; pertanto, è fondamentale rimanere aggiornati sulle nuove tendenze e vulnerabilità, partecipando a corsi di formazione, conferenze e leggendo pubblicazioni specializzate.
In conclusione, la privacy del GDPR e la cybersecurity come delineata dalla NIS2 sono due facce della stessa medaglia: investire in cybersecurity non è solo un obbligo normativo, ma un investimento strategico per proteggere l’azienda, i clienti e la reputazione. Privacy compliance e cybersecurity non sono quindi un costo, ma un investimento che protegge il valore del business.”
Sei in regola con la normativa sulla Privacy?
