Alla normativa europea GDPR seguiranno a breve la direttiva NIS 2 e il regolamento DORA: alcuni insegnamenti utili su come recepire le nuove norme, sanzioni incluse.
Alla normativa europea GDPR seguiranno a breve la direttiva NIS (Network & Information Security) 2 e il regolamento DORA (Digital Operational Resilience Act), entrambi per rendere i dati e le reti meno vulnerabili agli attacchi digitali. 6 anni dopo l’introduzione del GDPR (General Data Protection Regulation), si possono trarre alcuni insegnamenti utili su come recepire le nuove norme, sanzioni incluse.
La situazione normativa
Quando Il GDPR è stato introdotto il 24 maggio 2018, la grande domanda è stata se le conseguenze per le imprese che violano i requisiti serebbero stato minime o significative. 6 anni dopo, l’Enforcement Tracker dà un quadro chiaro elencando tutti i procedimenti avviati e le multe inflitte. Nei primi mesi del 2024 sono state già emesse multe per 4,5 miliardi di euro (mezzo in più rispetto allo stesso periodo del 2023, +11%), e uno studio legale globale come DLA Piper prevede un +14% nel 2024. L’Italia è al 4° posto tra i Paesi più sanzionati, con multe da 145 milioni di euro fino a oggi: tutto indica che se le aziende trattano i dati personali dei cittadini UE in modo improprio vengono segnalate e punite.
Come nel caso del GDPR, anche nella stesura della NIS 2 (che aggiorna le norme in materia di sicurezza informatica adottate nel 2016) e del DORA (dedicato specificatamente al settore finanziario), l’UE ha previsto multe significative non solo per ottimizzare il trattamento dei dati, ma anche per spingere le organizzazioni a strutturarsi meglio per resistere agli attacchi informatici. In sintesi, con la NIS 2 e il DORA sono state introdotte regole volte a stimolare maggior resilienza informatica.
La NIS 2 dovrà essere recepita dagli Stati membri al più tardi il 17 ottobre 2024, mentre il DORA entrerà in vigore il 17 gennaio 2025. Alcuni Paesi europei sono già a buon punto e approveranno a breve le normative locali. Normative che (come nel caso del GDPR) prevederanno sanzioni significative per le violazioni, a conferma del trend di inasprimento avviato con l’IT Security Act 2.0 del 2021.
Nel dettaglio, se le aziende non rispetteranno gli obblighi stabiliti dal DORA, rischieranno multe fino a 10 milioni di euro o pari al 5% del fatturato globale dell’anno precedente. Le ammende previste dalla NIS 2 sono ancora più severe e interesseranno da vicino anche il management: le persone giuridiche potranno infatti essere sanzionate da 100 mila euro fino a 20 milioni di euro. Inoltre è prevedibile che le autorità perseguiranno le trasgressioni con lo stesso rigore che stanno dimostrando con il GDPR.
Beneficiare del lavoro preparatorio sul GDPR
Il GDPR ha già imposto alle aziende una miglior gestione dei dati personali, richiedendo loro di gestirli in modo più rigoroso e attento rispetto a qualsiasi altra informazione. La previsione di ulteriori tutele, come il diritto all’oblio e l’obbligo di segnalare la perdita di dati, ha richiesto anche di implementare processi e flussi di lavoro che possono essere utilizzati in modo simile per NIS 2 e DORA in caso di attacco. Il ricorso a una piattaforma di sicurezza e gestione dei dati guidata dall’intelligenza artificiale può aiutare enormemente le imprese a implementare questi processi in modo scalabile ed efficiente. Permette infatti di:
– Conoscere l’esatto contenuto dei dati – In caso di attacco, gli hacker vogliono rubare, criptare o cancellare i dati. Le organizzazioni devono quindi sapere esattamente quali dati possiedono e che valore hanno per rispondere a determinati requisiti di governance e conformità. Inoltre, potranno capire più rapidamente quali dati sono stati colpiti nel caso in cui i criminali informatici siano riusciti a penetrare, accelerando la stesura dei report previsti da NIS 2 e DORA e rendendo i risultati molto più precisi. Si tratta però di un compito gigantesco per la maggior parte delle aziende, che accumulano ormai montagne di informazioni di cui sanno poco o nulla.
– Controllare i flussi di dati – Se i dati sono classificati con le caratteristiche corrette, la piattaforma di gestione dei dati sottostante può applicare automaticamente le regole senza che il proprietario dei dati debba intervenire, riducendo il rischio di errore umano. Le attuali piattaforme di gestione dei dati controllano l’accesso a determinati dati criptandoli automaticamente e richiedendo agli utenti di autorizzarsi tramite multi-factor authentication. Queste policy di controllo degli accessi sono un elemento fondamentale della NIS 2, che impone una verifica granulare degli accessi basata sui ruoli applicando il principio di sicurezza del minimo privilegio.
– Rispondere agli incidenti – Come molti attacchi informatici hanno insegnato, un’azienda deve essere in grado di agire. Al contrario, in caso di ransomware o di attacco wiper, le luci dell’azienda si spengono e non funziona più nulla: niente telefono, né e-mail, né database, per non parlare del sito. I team IT dei CIO e dei CISO non sono nemmeno in grado di rispondere a questi attacchi perché tutti gli strumenti di sicurezza sono offline, le prove nei log e nei sistemi sono criptate e non è possibile chiamare il proprio team perché il VoIP non funziona. Va quindi creata una clean room isolata con un set di strumenti e dati di sistema e di produzione per dare avvio a un’operazione di emergenza sicura che copra il sistema IT e avviare poi un processo di risposta, essenziale anche per generare report previsti dalle normative NIS 2, DORA e GDPR.
Le infrastrutture digitali devono diventare più solide e reattive. Per farlo, le aziende devono rivedere e ottimizzare tutti i processi e i flussi di lavoro che gestiscono i dati.
– a cura di Manlio De Benedetto, Senior Director Sales Engineering EMEA di Cohesity
a cura di Redazione
Condividi l'articolo
Scegli su quale Social Network vuoi condividere