Il 22 febbraio la Camic ha tenuto un webinar riguardante un argomento di grande attualità, quale la cyber security. La relatrice Hana Gawlasová, responsabile del dipartimento legale digitale presso Deloitte Legal, ha presentato le nuove disposizioni di legge riguardanti gli obblighi delle aziende per la protezione dei dati attraverso un approccio proattivo alla cyber security, normative che rispecchiano le evoluzioni dell’ambiente digitale.
Introduzione alla direttiva NIS2
Le recenti disposizioni in materia di cyber security sono contenute nella NIS2 (Direttiva europea sulla sicurezza delle reti e sui sistemi informatici), entrata in vigore il 16 gennaio 2023. Tali norme sono dedicate a tutti quei soggetti ed entità di estrema importanza sulle quali si basa l’economia nazionale, ampliando sia il numero di soggetti sia gli obblighi a cui sono sottoposti. I principali obiettivi che hanno guidato la nuova disposizione sono:
- aumentare il livello di sicurezza informatica in settori chiave come quello bancario, sanitario, energetico e dei trasporti;
- creare nuovi standard minimi di sicurezza in ambiente digitale come nel luogo fisico;
- maggiore protezione dei dati personali;
- migliorare la collaborazione tra i singoli stati membri e i soggetti regolamentati.
Le recenti modifiche derivano dalla necessità di affrontare il crescente numero di attacchi informatici. Secondo i dati UE, le principali minacce riguardano attacchi ransomware (si stima che circa il 60% delle organizzazioni colpite paghi il riscatto richiesto), violazioni sulla privacy e incidenti nella catena di fornitura.
Divisione delle organizzazioni obbligatorie
Affinché un soggetto rientri nell’ambito di applicazione della norma è necessario che la sua attività sia espressamente indicata nella normativa. Ulteriore requisito è che l’azienda debba avere un fatturato superiore a 250 milioni e più di 250 dipendenti. Se vengono rispettati entrambe queste condizioni, il soggetto diventa automaticamente regolamentato.
Le entità individuate sono poi divise in due categorie:
– entità essenziali: tra cui trasporto, energia, banking, sanità e servizi idrici;
– entità importanti: quali servizi postali e di spedizione, gestione dei rifiuti, produzione e trattamenti chimici, alimenti e fornitori di servizi digitali.
Questa distinzione comporta l’applicazione di diversi obblighi imposti e penalità: mentre per le prime i requisiti normativi sono più rigorosi, in quanto è richiesto un controllo preventivo continuo e un intervento più marcato e significativo sul loro funzionamento (fino anche all’imposizione del divieto di prestazione); per le seconde, il controllo è reattivo e presente solo in caso di problematiche comportando l’applicazione di minori poteri dalle autorità pubbliche nei confronti di tali soggetti.
Obbligo di implementare misure di sicurezza e segnalazione degli incidenti
La normativa impone agli stati membri l’introduzione di misure tecniche, operative e organizzative adeguate in processi riguardanti: gestione degli incidenti, politiche interne, catene di approvvigionamento sicurezza delle reti, risorse umane e continuità operativa.
Oltre a questi obblighi, gli stati membri devono garantire che gli enti chiave comunichino al proprio gruppo CSIRT (Team di risposta agli incidenti di sicurezza informatica) o con un’altra entità competente, quale la NÚKIB (Ufficio nazionale per la sicurezza informatica e delle informazioni) qualsiasi incidente che incida in modo significativo sulla fornitura dei loro servizi.
Un incidente è considerato significativo se: ha causato o può causare gravi interruzioni operative dei servizi/perdite finanziarie al soggetto interessato, o ha causato/potrebbe causare notevoli danni materiali o immateriali ad altre persone fisiche o giuridiche. Il processo di segnalazione degli incidenti richiede l’attuazione di diversi obblighi:
1. Avvertimento tempestivo all’autorità competente di un incidente significativo entro e non oltre 24 ore dalla sua scoperta;
2. Rapporto sull’incidente su cosa sia successo entro e non oltre le 72 ore dalla sua scoperta ed eventuali modifiche in caso di avvenimenti e informazioni importanti;
3. Su richiesta del team CSIR o, ove applicabile, dall’autorità competente NUKIB, un rapporto continuo sugli aggiornamenti significativi dello stato dell’incidente;
4. Entro e non oltre la presentazione della notifica dell’incidente, è richiesta una relazione finale comprendente la descrizione dettagliata dell’incidente, la gravità, il tipo di minaccia o la causa principale, le misure adottate e l’impatto in corso, anche in ambito transfrontaliero.
A tal proposito, il personale deve essere ben formato e aggiornato ripetutamente sui processi assettati, per permettere una migliore comunicazione sugli incidenti avvenuti attraverso l’utilizzo di sistemi tecnologici adeguati.
Controllo sul rispetto degli obblighi e sanzioni
Il controllo sarà effettuato da NÚKIB, che avrà diverse autorizzazioni a seconda che si tratti di un’entità di base o importante. Ai sensi del GDPR (Regolamento generale sulla protezione dei dati), in caso di incidenti di sicurezza, le autorità competenti sono obbligate a collaborare con le autorità di vigilanza nazionali. Queste hanno il compito di:
– controllare e vigilare ossia richiedere l’accesso ai luoghi o ai dati;
– controllare la sicurezza usufruendo di un ente indipendente o attraverso l’autorità competente;
– emettere avvisi di violazione, pubblicare avvertimenti, pubblicare istruzioni su come comportarsi;
– verificare fatti rilevanti in base al tipo di violazione, alla sua gravità, durata, violazioni precedenti, soggetti coinvolti, quantità di danni e misure adottate.
L’importo delle sanzioni può raggiungere cifre piuttosto elevate, fino a diversi miliardi di euro in base al fatturato. Il tal modo le sanzioni possono essere inflitte in aggiunta ad altre misure coercitive: adozione di istruzioni vincolanti, ordini di attuare raccomandazioni a seguito di un controllo di sicurezza o ordini di avvisare i clienti della vulnerabilità dei loro sevizi. Le sanzioni si distinguono in base al soggetto a cui si applicano.
Sino al 17/1/2025, gli Stati membri devono prevedere per gli enti di base un certo livello di sanzioni amministrative pecuniarie di importo massimo di almeno 10 milioni di euro o del 2 % del fatturato totale annuo mondiale dell’esercizio precedente, se superiore. Per quanto riguarda le entità importanti, invece, la sanzione massima può essere pari ad almeno 7 milioni di euro o almeno all’1,4% del fatturato totale annuo mondiale dell’esercizio precedente, se superiore.
Conclusioni
Essendo una direttiva europea, gli stati hanno tempo per ratificarla fino al 17 ottobre 2024. A dicembre 2023, la Repubblica Ceca insieme all’autorità NÚKIB ha pubblicato sulla Gazzetta Ufficiale il progetto di legge. Dalla pubblicazione sulla Gazzetta alla data di efficacia della legge, le imprese hanno sei mesi di tempo per adottare le modifiche necessarie alla propria struttura. A favore di ciò, l’autorità regolatrice ha previsto un’applicazione sulla quale è possibile inserire i dati, il fatturato, il numero di dipendenti e il settore di attività allo scopo di valutare preliminarmente se il soggetto sarà regolamentato o meno.
È evidente che la direttiva NIS2 avrà un impatto significativo sulle aziende sia in termini di implementazione delle nuove misure di sicurezza sia in termini di aumento dei costi operativi. Tuttavia, è da considerare che questa riforma è stata progettata con l’obiettivo di potenziare le strategie di cyber security, specialmente considerando l’aumento degli attacchi informatici verificati. La necessità di adattarsi a queste nuove normative e di investire nelle infrastrutture e nei processi necessari diventa quindi una priorità per le aziende che operano in questo contesto.
Fonti: https://www.camic.cz/it/
Immagine generata dall’IA
Fonte grafiche: www.storyset.com
