Il mondo degli appalti a 360°

Conformità normativa per la Sicurezza Informatica

NIS2:

la sicurezza informatica è sempre più importante per le imprese e le Pubbliche Amministrazioni. Dal 16 ottobre 2024, entra in vigore la nuova normativa italiana sulla Network and Information Security (NIS). L’Agenzia per la cybersicurezza nazionale è l’Autorità competente per l’applicazione della NIS e punto di contatto unico, delineando un percorso graduale e sostenibile per consentire alle organizzazioni pubbliche e private di adempiere ai nuovi obblighi di legge.

Aumentano i campi di applicazione della normativa. I settori interessati diventano 18, di cui 11 altamente critici e 7 critici, coinvolgendo oltre 80 tipologie di soggetti, distinguendoli tra essenziali e importanti in relazione al livello di criticità delle attività svolte e del settore in cui operano. Quindi, maggiori obblighi per le misure di sicurezza e per la notifica degli incidenti e più potere di supervisione all’Agenzia e agli organi preposti alla risposta agli incidenti e alla gestione della crisi. Previsti anche nuovi strumenti per la sicurezza informatica, come la divulgazione coordinata delle vulnerabilità, da realizzarsi attraverso la cooperazione e la condivisione delle informazioni a livello nazionale ed europeo.

Il percorso di attuazione

L’adeguamento alla normativa NIS prevede un percorso sostenibile con una graduale implementazione degli obblighi.

Il primo passo, per i soggetti interessati, è quello di registrarsi al portale di ACN. C’è tempo dal 1° dicembre 2024 fino al 28 febbraio 2025 per le medie e grandi imprese e, in alcuni casi, anche per le piccole e le microimprese.

Per agevolare il recepimento degli obblighi di notifica di incidente e delle misure di sicurezza, gli stessi verranno definiti in maniera progressiva e a valle delle consultazioni nell’ambito dei tavoli settoriali in seguito alle determine del Direttore Generale di ACN che saranno adottate entro il primo quadrimestre del 2025.

È prevista, inoltre, una finestra temporale di implementazione differenziata: 9 mesi per le notifiche e 18 mesi per le misure di sicurezza, decorrenti dalla data di consolidamento dell’elenco dei soggetti NIS (fine marzo 2025).
Da aprile 2025 partirà quindi un percorso condiviso di rafforzamento della sicurezza informatica nazionale ed europea.

La direttiva NIS2, recepita dall’Italia con la legge n. 90 del 2024, disciplina la legislazione a livello UE sulla sicurezza informatica. NIS2 è un aggiornamento della precedente direttiva sulla sicurezza delle reti e delle informazioni (NIS). Il suo obiettivo è creare un livello comune di sicurezza informatica negli Stati membri dell’Unione europea. Come il regolamento generale sulla protezione dei dati (GDPR), NIS2 mira ad armonizzare misure e approcci negli Stati membri dell’UE per proteggere l’infrastruttura digitale, in questo caso le best practice per affrontare il crescente assalto di attacchi informatici.

Contesto di conformità NIS2

Gli attacchi informatici come ransomware e violazioni dei dati hanno un impatto sempre maggiore sulle organizzazioni e le aziende in tutta l’UE. Con un ampio ambito di applicazione, NIS2 mira a migliorare la sicurezza informatica in "entità essenziali e importanti" in settori critici come energia, vendita al dettaglio, trasporti, banche, sanità, pubblica amministrazione, ecc. La direttiva copre anche la sicurezza della catena di fornitura e dei fornitori di servizi oltre confine.

Come influisce la NIS2 su un’organizzazione?

La NIS2 si applica a qualsiasi azienda che opera nell’UE, compresi “tutti gli enti pubblici e privati del mercato interno che svolgono funzioni importanti per l’economia e la società nel suo complesso” e che “sono tenuti ad adottare misure adeguate di sicurezza informatica”.

La direttiva divide le “entità coperte” in due tipi:

  • Entità essenziali (EE)

  • Entità importanti (IE)

La differenza tra le due classi per quanto riguarda la conformità è che le entità essenziali sono soggette a requisiti normativi più severi per il monitoraggio della conformità, l’obbligo di segnalazione degli incidenti e le misure di applicazione sui sistemi informativi. Esempi di ciascun tipo di entità sono:

Le entità che operano nei seguenti settori possono essere considerate essenziali (EE);

  1. - Trasporti

  2. - Energia

  3. - Settore bancario

  4. - Salute

  5. - Acqua

Le entità che operano nei seguenti settori possono essere considerate importanti (IE);

  1. Servizi postali e di corriere

  2. Gestione dei rifiuti

  3. Produzione e lavorazione di prodotti chimici

  4. Alimentare

  5. Fornitori di servizi digitali (motori di ricerca, piattaforme di social network, ecc.).

GDPR

SOC 2, ISO, HIPAA, Cyber Essentials: tutti i framework e le certificazioni di sicurezza oggi sono una zuppa di acronimi che può far girare la testa anche a un esperto di conformità. Se stai intraprendendo il tuo percorso di conformità alla sicurezza informatica, , ti aiutiamo a individuare lo standard migliore per la tua azienda e come la gestione della vulnerabilità può aiutare la conformità.

La conformità alla sicurezza informatica ha significati diversi per aziende diverse in settori e sedi diverse, ma essenzialmente significa che hai soddisfatto una serie di regole concordate in merito al modo in cui proteggi le informazioni sensibili e i dati dei clienti. Queste regole possono essere stabilite dalla legge, dalle autorità di regolamentazione, dalle associazioni di categoria o dai gruppi industriali.

Ad esempio, il GDPR è stabilito dall’UE con un’ampia gamma di requisiti di sicurezza informatica a cui ogni organizzazione nel suo ambito deve conformarsi, mentre ISO 27001 è un insieme volontario (ma riconosciuto a livello internazionale) di best practice per la gestione della sicurezza delle informazioni. Sebbene non sia obbligatorio, la conformità potrebbe essere necessaria se hai firmato un contratto che lo richiede. I clienti si aspettano la garanzia che la conformità porta, perché le violazioni e la divulgazione dei dati avranno un impatto anche sulle loro operazioni, sui ricavi e sulla reputazione.

Ogni azienda in ogni settore è operativamente diversa e ha esigenze di sicurezza informatica diverse. Le misure di sicurezza utilizzate per mantenere riservate le cartelle cliniche dei pazienti ospedalieri non sono le stesse delle normative per mantenere sicure le informazioni finanziarie dei clienti.

Per alcuni settori, la conformità è la legge. I settori che trattano informazioni personali sensibili, come sanità e finanza, sono altamente regolamentati. In alcuni casi, le normative sulla sicurezza informatica si sovrappongono tra i settori. Ad esempio, se sei un’azienda nell’UE che gestisce pagamenti con carta di credito, dovrai essere conforme sia alle normative sulle carte di credito e bancarie (PCI DSS) sia al GDPR.

Nozioni di base sulla sicurezza come valutazioni dei rischi, archiviazione dati crittografata, gestione delle vulnerabilità e piani di risposta agli incidenti sono abbastanza comuni tra gli standard, ma quali sistemi e operazioni devono essere protetti e come, sono specifici per ogni standard.

Il  Regolamento generale sulla protezione dei dati (GDPR) è un’ampia normativa che disciplina il modo in cui le aziende, comprese quelle negli Stati Uniti, raccolgono e archiviano i dati privati dei cittadini dell’Unione europea. Le multe per la non conformità sono elevate, fino a 20.000.000 di euro o il 4% del fatturato globale, e l’UE non è timida nell’applicarle. Una migliore sicurezza raramente è gratuita e la gestione delle vulnerabilità non fa eccezione, mala spesa per una corretta gestione delle vulnerabilità è estremamente bassa rispetto ai costi delle multe GDPR, per non parlare dei danni causati dalla violazione stessa. Chiunque raccolga o elabori i dati personali di chiunque altro nell’UE, ovunque vada o faccia acquisti online. Le informazioni personali o "dati personali" includono praticamente qualsiasi cosa, dal nome e dalla data di nascita alle informazioni geografiche, indirizzo IP, identificatori di cookie, dati sanitari e informazioni di pagamento**. Quindi, se fai affari con residenti nell’UE, sei tenuto a rispettare il GDPR.**

Come la scansione delle vulnerabilità può aiutare a rispettare il GDPR

La tua politica di sicurezza IT per il GDPR non deve essere un documento complicato: deve solo stabilire, in termini facili da capire, i protocolli di sicurezza che la tua azienda e i tuoi dipendenti devono seguire. Puoi anche usare modelli gratuiti come modelli. Noi ti aiutiamo a farlo!

SOC 2

Le aziende SaaS e native nel cloud che forniscono servizi e sistemi digitali avranno maggiore familiarità con SOC 2, poiché riguarda l’archiviazione, la gestione e la trasmissione di dati digitali. La certificazione Soc sta diventando sempre più popolare tra tutti i fornitori di servizi.

SOC 2 si basa sul raggiungimento di diversi criteri specifici. Ci sono due report:

il Tipo 1 è una valutazione puntuale della tua postura di sicurezza informatica;

il Tipo 2 è un audit continuo da parte di un valutatore esterno per verificare che tu stia rispettando questi impegni, rivisto e rinnovato ogni 12 mesi.  

Come ISO 27001, SOC 2 ti dà un certo margine di manovra su come soddisfare i suoi criteri, mentre PCI DSS, HIPAA e la maggior parte degli altri framework di sicurezza hanno requisiti molto espliciti. Sebbene SOC 2 non sia un requisito legale, è il framework di sicurezza più ricercato per i provider SaaS in crescita. È più rapido ed economico da raggiungere rispetto alla maggior parte degli altri standard, pur dimostrando un impegno concreto per la sicurezza informatica.  

La conformità SOC 2 richiede di mettere in atto controlli o misure di sicurezza sul monitoraggio del sistema, violazioni degli avvisi sui dati, procedure di audit e analisi forense digitale. Il successivo rapporto SOC 2 è l’opinione del revisore su come questi controlli soddisfano i requisiti di cinque "principi di fiducia":

  1. sicurezza

  2. riservatezza

  3. integrità di elaborazione

  4. disponibilità

  5. privacy.