cyber sicurezza

Direttiva Nis2 e Gdpr, come garantire la compliance

Home Sicurezza digitale
Indirizzo copiato

La direttiva Nis2 comporta nuovi obblighi per le imprese, ampliando inoltre la platea dei soggetti coinvolti: è importante, tuttavia, assicurare in contemporanea anche l’adeguamento al Gdpr

Pubblicato il 29 ott 2024
direttiva NIS2

L’obbligo di adeguamento alla direttiva Nis2, a partire dal 18 ottobre 2024, impone alle aziende una riflessione sulle proprie misure di cybersecurity e data protection. È importante valutarne l’efficacia, capire se si sono adottare tutte le misure richieste dalla normativa e, eventualmente, porre rimedio a possibili lacune che possono condurre a rischi non solo per sé stessi ma anche per fornitori e stakeholder.

A ciò si aggiunge la necessità di garantire la compliance, in contemporanea, anche al Gdpr, il regolamento europeo sulla protezione dei dati. Aspetti complessi che richiedono l’impiego di soluzioni specifiche per rendere più semplici i processi, oltre all’appoggio di specialisti del settore.

Direttiva Nis2, come cambia la gestione dei dati

È importante in primis essere al passo con i cambiamenti che la direttiva Nis2 impone alle organizzazioni.  Sul fronte della data protection, per l’Avv. Paolo Calvano, Legal & Compliance Manager presso Cubbit, “la gestione dei dati nelle aziende europee subirà un’evoluzione significativa, sia in termini di responsabilità che di sicurezza informatica. In particolare, la portata maggiormente dirompente della Nis2 è rappresentata dall’ampliamento del numero di imprese interessate: ciò significa che un maggior numero di soggetti devono adeguarsi ai requisiti di sicurezza e gestione del rischio”. 

La Direttiva si applica, infatti, a “enti essenziali, cioè operatori che forniscono servizi critici, ed enti definiti importanti, categoria che include imprese di settori come l’industria manifatturiera, alimentare, i servizi postali – precisa Calvano -. Anche le imprese con più di 250 dipendenti o con oltre 50 milioni di euro di fatturato annuale sono incluse automaticamente, in qualsiasi ambito operino”.

La direttiva Nis2 prevede “l’introduzione di controlli di cybersecurity e data protection più stringenti, per cui è necessario adottare misure adatte a garantire la business continuity e la tutela del patrimonio aziendale di dati”, aggiunge Calvano. In particolare, i cambiamenti riguardano “l’adozione di un approccio basato sulla gestione del rischio, che includa l’analisi delle vulnerabilità, l’individuazione di minacce specifiche e la definizione di piani di mitigazione – aggiunge Calvano -, ma anche misure di protezione avanzata dei dati, come la cifratura end-to-end, e il monitoraggio continuo per individuare in tempo le minacce”. Aspetti importanti sono anche la collaborazione con le autorità, per la condivisione di informazioni rilevanti, e la segnalazione tempestiva entro 24 ore degli incidenti di sicurezza.

Direttiva Nis2 e Gdpr: come garantire la compliance

Ulteriore complessità è data dal dover garantire al contempo la conformità sia alla direttiva Nis2 che al Gdpr: “Entrambe le normative richiedono misure rigorose per la protezione dei dati e la sicurezza informatica, ma con focus differenti: la Nis2 si concentra sulla sicurezza delle reti e dei sistemi informativi, mentre il Gdpr è incentrato sulla protezione dei dati personali e sulla privacy. Tuttavia, le due normative sono complementari e un approccio integrato può facilitare la conformità a entrambe”, spiega Calvano.

Secondo l’Avvocato e Legal & Compliance Manager, i cinque punti principali da seguire per essere conformi contemporaneamente alla direttiva Nis2 e al Gdpr sono:

  1. Implementazione di un robusto sistema di gestione della sicurezza delle informazioni, che si occupi della protezione dei dati personali, della sicurezza delle reti e dei sistemi. Per Calvano, è utile “implementare all’interno della propria organizzazione lo standard ISO/IEC 27001 e, al contempo, richiedere che i propri fornitori, soprattutto quelli di servizi informatici, siano in possesso di una certificazione”. 
  1. Valutazione e gestione dei rischi cibernetici: è fondamentale effettuare regolari analisi del rischio, mantenere un registro dei rischi e integrare controlli come la crittografia e la pseudonimizzazione. 
  1. Procedure di notifica degli incidenti: necessario adottare un processo unificato di incident response, per gestire in tempi rapidi gli eventi. Importante disporre di un piano, di un team dedicato e di sistemi di monitoraggio e logging continui. I canali di comunicazione con le autorità devono essere chiari e semplici. 
  1. Governance e responsabilità chiara: ogni impresa deve stabilire ruoli e responsabilità ben definiti. In particolare, il Dpo o un privacy officer, per monitorare la compliance della gestione dei dati personali, oltre a un responsabile della sicurezza informatica come un Ciso, responsabile dell’implementazione delle misure di sicurezza delle reti e dei sistemi. 
  1. Formazione e consapevolezza del personale: la NIS2 richiede che tutti i soggetti coinvolti nei servizi essenziali siano consapevoli dei rischi di sicurezza e delle procedure di risposta, mentre il GDPR obbliga le imprese a garantire che i dipendenti comprendano i loro obblighi in termini di protezione dei dati personali. Utile svolgere sessioni di formazione e test interni.  

Conformità alla direttiva Nis2: la soluzione di Cubbit

In questo scenario, spiega Calvano, “Cubbit aiuta le aziende a essere conformi alla direttiva Nis2 attraverso una serie di caratteristiche e funzionalità integrate nella nostra soluzione di cloud storage geo-distribuito”. Le caratteristiche della soluzione sono: 

  1. Sovranità e geofencing dei dati: “Cubbit permette alle aziende di comporre soluzioni di cloud storage su misura e di mantenere la localizzazione dei propri dati entro i confini nazionali oppure all’interno di aree geografiche specifiche scelte dal cliente. In questo modo, le imprese possono evitare che i dati personali o sensibili siano soggetti alla legislazione di Paesi terzi che non offrono gli stessi standard di sicurezza e protezione dei dati garantiti dalle normative europee – spiega l’Avvocato e Legal & Compliance Manager -. Questo è fondamentale per soddisfare i requisiti di sicurezza imposti dalla NIS2, garantendo che i dati non siano soggetti a leggi extraterritoriali che mettono a repentaglio la sovranità dei dati, quali ad esempio il Cloud Act statunitense”.  
  1. Sicurezza avanzata dei dati: Cubbit nella propria architettura dispone della crittografia end-to-end AES-256. Calvano spiega che “ciò garantisce che i dati siano protetti sia durante la trasmissione che in stato di riposo, riducendo il rischio di accessi non autorizzati o di violazioni della sicurezza”. 
  1. Resilienza e disponibilità: Cubbit “offre una durabilità dei dati fino a 15 nove, superando gli standard del settore di diecimila volte. L’infrastruttura geo-distribuita garantisce che, anche in caso di guasto di uno o più nodi, i dati rimangano accessibili”, aggiunge l’Avv.Paolo Calvani. 
  1. Gestione degli accessi e monitoraggio: Calvano spiega che “Cubbit offre funzionalità avanzate di Identity and Access Management (IAM) e strumenti per monitorare l’attività sul sistema, permettendo alle aziende di controllare chi ha accesso ai dati e di rilevare tempestivamente eventuali anomalie”. 

A garanzia della conformità alle normative, Cubbit ha ottenuto certificazioni come:

  • ISO/IEC 27001:2013 per la sicurezza delle informazioni. 
  • ISO/IEC 27017:2015 per la sicurezza nel cloud. 
  • ISO/IEC 27018:2019 per la protezione dei dati personali nel cloud. 

Standard che, oltre ad attestare i livelli di sicurezza, “supportano le aziende nel dimostrare la conformità ai requisiti delle normative” conclude Calvano.  

Contributo editoriale sviluppato in collaborazione con Cubbit

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Redazione

Aziende

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Social
Analisi
Video
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • l'approfondimento

    Nuovo DDL Cybersicurezza: gli enti e la compliance 231

    22 Mar 2024

    di Luca Antonetto

    Condividi

  • esperto risponde

    Fattura elettronica, quale copia inviare al cliente

    18 Nov 2024

    di Salvatore De Benedictis

    Condividi

  • videogame culture

    Gothic: un classico del passato da riscoprire

    30 Mag 2024

    di Corrado Cozza

    Condividi

Prossimo

Nuovo DDL Cybersicurezza: gli enti e la compliance 231

Articolo 1 di 4