Con le normative GDPR, cybersecurity e tutela del segreto industriale il legislatore italiano ed europeo hanno introdotto il principio dell’accountability. Un assioma strategico che responsabilizza l’organizzazione e la incardina su binari a prova di futuro. Vediamo perché la partita non si gioca solo sul campo del mero adempimento, ma anche su quello del valore aziendale.
Che cos’è l’accountability
Il principio di accountability è il principio della responsabilizzazione. Ossia il principio sulla base del quale le aziende sono invitate ad adottare un comportamento responsabile, consistente nell’avviare un proprio autonomo processo di risk assessment e ad individuare ed adottare misure non standard né uguali per tutti, ma adeguate al proprio caso concreto e al proprio livello di rischio, al fine di proteggere la sicurezza delle proprie reti e dei propri sistemi informativi, dei dati personali e dei segreti aziendali.
La Nis e la cybersecurity
Tale principio caratterizza anzitutto la normativa cybersecurity. Come noto, il 6 luglio 2016 è entrata in vigore la direttiva UE n. 1148/2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi, cosiddetta NIS. L’8 maggio 2018 la direttiva è stata recepita in Italia con il D.Lgs n. 65/2018.
Il comparto normativo di cyber sicurezza è stato poi completato dal Regolamento (EU) 2019/881 (il cd. Cyber Security Act).
La normativa in commento rappresenta il primo insieme univoco di regole sulla sicurezza informatica a livello dell’Unione Europea, volto a sostenere gli Stati membri nell’affrontare le minacce e gli attacchi alla sicurezza informatica in modo sistematico, strutturato e organizzato.
I tre scopi principali della normativa consistono nel:
• Migliorare le capacità di cyber security dei singoli Stati dell’Unione;
• Aumentare il livello di cooperazione tra gli Stati dell’Unione;
• Raggiungere un livello elevato di sicurezza dei sistemi, delle reti e delle informazioni comune a tutti i Paesi membri dell’UE.
Come? Mediante l’assolvimento di alcuni obblighi.
In particolare, la normativa in commento impone ai destinatari l’adozione di misure tecniche ed organizzative adeguate a proteggere le informazioni, pena importanti obblighi ed elevate sanzioni fino a 500.000 euro.
Per poter individuare le misure tecniche ed organizzative occorre che ogni destinatario della normativa effettui un assessment di rischio e di impatto della propria situazione concreta, individuando così le misure necessarie a seconda dei sistemi usati ed andandole ad implementare e a monitorare.
Tra le misure rientrano quelle organizzative, tra cui il modello organizzativo cybersecurity, la procedura di analisi dei rischi e la procedura per la segnalazione degli incidenti, oltre alla formazione del personale.
Allo stesso modo, le misure tecniche quali ad esempio i sistemi IT/OT, SCADA (Supervisory Control and Data Acquisition), o DCS (Distributed Control Systems) che divengono fondamentali nuclei di endorsement operativo, tanto all’esterno, quanto all’interno delle infrastrutture proprietarie. Tra queste le misure volte a ottenere:
• la sicurezza fisica e dell’ambiente: disponibilità di una serie di misure volte a proteggere le reti e i sistemi informativi dai danni attraverso un risk-based global approach (es. in previsione di errori di sistema, gli errori umani, gli atti dolosi o i fenomeni naturali);
• la sicurezza delle forniture: definizione e il mantenimento di politiche adeguate al fine di assicurare l’accessibilità e, se del caso, la tracciabilità delle forniture critiche utilizzate nella prestazione dei servizi;
• I controlli dell’accesso alle reti e ai sistemi informativi: disponibilità di una serie di misure per assicurare un accesso fisico e logico alle reti e ai sistemi informativi (inclusa la sicurezza amministrativa di tali reti e sistemi) autorizzato e limitato sulla base di esigenze aziendali e di sicurezza.
Accountability nel GDPR
L’accountability è l’evidente leitmotiv anche del Regolamento Europeo volto alla protezione non delle reti e dei sistemi – come la Cyber Security – ma dei dati personali, entrato in vigore nel 2016 ed applicabile dal 25 maggio 2018.
Tale regolamento, cd. GDPR, impone infatti ai destinatari della normativa l’obbligo dell’adozione di misure tecniche ed organizzative adeguate allo scopo di proteggere i dati personali, pena elevate sanzioni fino al 4% del fatturato di gruppo.
Per poter individuare le misure tecniche organizzative in commento, occorre che ogni destinatario della normativa – specularmente a quanto previsto dalla normativa cyber – effettui un proprio assessment di rischio e di impatto, individuando così le misure necessarie in base ai trattamenti di dati effettuati in concreto dall’azienda ed andandole ad implementare e a monitorare.
Tra le misure da adottare rientrano le misure organizzative, ad esempio:
• la regolazione dei flussi di risorse, anche a livello umano, mediante l’adozione di procedure interne;
• una gestione adeguata dei dati trattati dall’azienda, prevedendo dei periodi di retention conformi al trattamento degli stessi;
• l’adozione di procedure di gestione dei rischi e di segnalazione degli incidenti e dei data breach;
• la formazione del personale.
Allo stesso modo, le misure tecniche quali le misure di privacy by design, pseudo-anonimizzazione, patching, logging e, soprattutto, le misure di cyber security esaminate al precedente paragrafo che ben possono proteggere i dati personali oltre alle informazioni ed alle reti.
Tutela del segreto, la normativa europea
Il fil rouge dell’accountability trova infine ulteriore applicazione in materia di proprietà intellettuale ed industriale.
Ne è prova un’altra importante normativa UE, emanata non a caso nello stesso periodo di quelle a protezione della cyber e dei dati personali sopra commentate: si tratta della direttiva n. 943/2016 volta alla “protezione del know-how riservato e delle informazioni commerciali riservate (segreti commerciali) contro l’acquisizione, l’utilizzo e la divulgazione illeciti”.
La norma impone ai destinatari della normativa, che vogliano proteggere i segreti aziendali e goderne della relativa tutela, l’obbligo dell’adozione di misure tecniche ed organizzative adeguate a mantenere le informazioni ed esperienze segrete.
Per poter individuare le misure tecniche organizzative in commento, occorre che ogni destinatario della normativa – come previsto dalla normativa cyber e dal Gdpr – effettui un assessment di rischio e di impatto, individuando così le misure necessarie in base ai segreti da proteggere in concreto ed andandole ad implementare e a monitorare.
Tra le misure da adottare rientrano, ad esempio, quelle:
- endoaziendali: ossia strumenti di ostacolo “concreto” (mobili chiusi a chiave, badge, casseforti etc.) e le misure volte a proteggere la documentazione digitale e le reti telematiche (password, chiavi di rete, firme digitali, algoritmi di cifratura etc.);
- esoaziendali: ossia le prassi concernenti i rapporti dell’azienda con soggetti esterni (fornitori, clienti, consulenti etc.) con cui la stessa condivida informazioni per natura segrete.
Allo stesso modo, le misure tecniche quali le misure di cyber security esaminate al precedente paragrafo – che possono ben proteggere anche il know how – ed, in particolare, i controlli dell’accesso alle reti e ai sistemi informativi.
Una nuova cultura aziendale
In conclusione, appare evidente come il legislatore europeo e quello nazionale – attraverso, in particolare, alle norme in tema cybersecurity, Gdpr e di segreti aziendali – mirino ad un fondamentale intento: la creazione della cultura dell’accountability aziendale.
Le aziende sono infatti invitate ad adottare un comportamento responsabile, consistente nell’avviare un proprio autonomo processo di risk assessment e ad individuare ed adottare misure non standard né uguali per tutti, ma adeguate al proprio caso concreto e al proprio livello di rischio, al fine di proteggere la sicurezza delle proprie reti e dei propri sistemi informativi, dei dati personali e dei segreti aziendali.
Misure che, pressoché analoghe in tutte le normative menzionate, permettono una volta adottate non solo di adempiere agli obblighi di legge, ma anche di proteggere al meglio i propri asset e, quindi, in ultimo di incrementare i relativi investimenti economici.
