La cura normativa

Estratto da “Introduzione al perimetro cibernetico: sicurezza informatica e minacce“, il primo Quaderno di ReD Open.

Il GDPR, di cui negli ultimi due anni si è molto parlato, tutela esclusivamente i dati personali delle persone fisiche, ma in un’azienda non ci sono solo dati personali. Per garantire un elevato livello di tutela anche a società e imprese, soprattutto se considerate essenziali per i servizi offerti alla collettività, si deve fare riferimento alla Direttiva NIS.

In apparenza, Direttiva NIS e GDPR, potrebbero sembrare indipendenti tra loro, ma la correlazione in realtà è molto stretta. I dati personali dei cittadini residenti negli Stati Membri, infatti, sono spesso conservati in banche dati custodite presso OSE e FSD, e di conseguenza, un livello di sicurezza elevato dei sistemi di questi soggetti, è propedeutico anche alle finalità del GDPR. 

La Direttiva NIS è stata recepita nell’ordinamento italiano con il Decreto Legislativo 18 maggio 2018, n° 65.

Le autorità nazionali competenti, hanno elaborato, a partire dal luglio 2019, le linee guida per la gestione dei rischi, la prevenzione e la mitigazione degli incidenti, basate sul Framework nazionale per la cybersecurity, che impattano sui sistemi che garantiscono erogazione e continuità dei servizi essenziali.

Il perimetro nazionale di sicurezza cibernetica (o perimetro cibernetico) estende l’applicazione della Direttiva NIS a più destinatari rispetto ai 465 previsti nell’elenco degli OSE, il cui elenco è stato pubblicato nel  novembre del 2019 in Gazzetta Ufficiale con il Decreto Legge n°105/2019 convertito, e rubricato come “disposizioni urgenti in materia di Perimetro di Sicurezza Nazionale Cibernetica”.

Il perimetro comprende  soggetti pubblici e privati, che non siano già sottoposti ai parametri NIS, aventi sede sul territorio nazionale, da cui dipende l’esercizio di una funzione essenziale allo Stato, e dal cui malfunzionamento o interruzione, possa derivare un pregiudizio per la sicurezza nazionale.

Tramite DPCM, entro quattro mesi dalla conversione in legge del decreto, si sarebbero dovuti individuare i soggetti inclusi nel perimetro, ma ancora, anche a causa dei rallentamenti dovuti all’emergenza COVID-19, non esiste un elenco.

Analogamente a quanto prevedono le linee guida NIS, in capo ai soggetti inclusi nel perimetro sorgerà l’obbligo di uniformare e potenziare i propri livelli di sicurezza.

La sicurezza non è un prodotto, non è uno stato acquisito una volta per tutte; la sicurezza è un processo nel quale gli esseri umani hanno e non possono che avere una posizione centrale.

Per continuare la lettura del primo volume de “I Quaderni di ReD Open”, scaricalo subito. Basta un click e non serve registrarsi!

Foto di Pete Linforth da Pixabay

Perché cadiamo vittime di phishing e data breach?

Utilizzando il sito, accetti l'utilizzo dei cookie da parte nostra. maggiori informazioni

Questo sito utilizza i cookie per fornire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o cliccando su "Accetta" permetti il loro utilizzo.

Chiudi