Regolamento DORA e NIS2: necessario valutare misure di sicurezza applicate dai fornitori a protezione dei dati
Alla luce dell’entrata in vigore della Direttiva UE 2022/2555 (nota anche come “Direttiva NIS 2”) e del Regolamento DORA (acronimo di Digital Operational Resilience Act), emergono nuovi e importanti adempimenti legati alla gestione degli eventi informatici.
(Nella foto: Piermaria Saglietto, Ceo di CEO di Compet-e srl, è stato speaker al Privacy Day Forum 2023)
I soggetti interessati dall’applicazione della Direttiva NIS 2 e dal Regolamento DORA sono chiamati a sposare un approccio di gestione fondato sulla identificazione, valutazione e mitigazione del rischio cyber, ossia di tutti quegli eventi informatici in grado potenzialmente di produrre conseguenze catastrofiche per il core business aziendale.
A chi è rivolta Direttiva NIS2? oltre ai soggetti già definiti dalla NIS 1, è rivolta anche alle medie imprese che erogano servizi ritenuti “critici” tra cui, a titolo esemplificativo, coloro che erogano servizi postali, di trasporto e consegna merci, servizi di gestione dei rifiuti, fabbricazione di dispositivi medici, di prodotti informatici ed elettronici o, ancora, servizi della grande distribuzione alimentare e dell’energia.
Quali sono gli adempimenti per la Direttiva NIS2?
- Analizzare e valutare i rischi di sicurezza dei sistemi informativi con operazioni di vulnerability assessment, penetration test, ecc.
- Gestire gli incidenti di sicurezza informatici con un piano e un’attività di incident response
- Dotarsi di un piano di continuità di business e gestione delle crisi
- Testare regolarmente la sicurezza dell’infrastruttura IT e l’efficacia delle misure di gestione del rischio adottate
- Assicurare la sicurezza delle supply chain, controllando che i propri fornitori dispongano di adeguati requisiti in termini di sicurezza.
A chi è rivolto invece il Regolamento DORA? questo Regolamento europeo si applica alla quasi totalità dei soggetti che operano all’interno del mercato finanziario: non solo le banche, ma le imprese di investimento e le imprese di assicurazione, oltre agli operatori del mercato finanziario e ai loro fornitori.
Quali sono gli adempimenti introdotti dal Regolamento DORA?
- Governance e organizzazione interna (art. 5): Le entità finanziarie dovranno dotarsi di una governance di cybersecurity interna e di un quadro di controllo tali da garantire una gestione efficace e prudente di tutti i rischi ICT, al fine di raggiungere un elevato livello di resilienza operativa digitale. In particolare, occorrerà attribuire una serie definita di compiti all’organo di gestione dell’ente finanziario, che rimane il principale responsabile della gestione complessiva dei rischi ICT.
- Risk management (artt. 6 - 16):
# utilizzare strumenti e sistemi di ICT resilienti, tali da ridurre al minimo l’impatto dei relativi rischi;
# identificare prontamente tutte le fonti di rischio e implementare meccanismi in grado di rilevare attività anomale;
# adottare procedure interne e misure di protezione e prevenzione.
- Incident management e reporting (artt. 17 – 23):
# prevedere e implementare politiche di continuità operativa e sistemi e piani di ripristino in caso di disastro relativo alle ICT, quale conseguenza ad esempio di un cyberattacco;
# dotarsi di capacità e personale idonei a rilevare vulnerabilità, minacce, incidenti e attacchi informatici e valutare le possibili conseguenze sulla loro resilienza operativa digitale;
# prevedere piani di comunicazione nei confronti dei vari stakeholder.
- Fornitori terzi di servizi ICT (artt. 28 – 44): Al fine di mitigare i rischi derivanti dalla dipendenza delle entità finanziarie da fornitori terzi di servizi, è previsto il conferimento alle autorità di vigilanza finanziaria di specifici poteri di sorveglianza.
GDPR, NIS 2 e DORA: il continuum normativo per la protezione e la sicurezza dei dati - Protezione e sicurezza dei dati viaggiano di pari passo nella definizione di sistemi che possano ritenersi realmente robusti nel prevenire e rimediare i sempre più diffusi attacchi di natura informatica.
Fra le tre normative vi sono diversi punti comuni, fra qui:
- Governance e organizzazione interna: è necessario definire un modello organizzativo chiaro definendo i ruoli e le responsabilità dei soggetti interni all’organizzazione, definire policy e procedure per la corretta applicazione delle misure di sicurezza;
- Approccio basato sul rischio: tutte e tre le normative hanno il cosiddetto approccio “risk-based”. Tutte le attività da svolgere in ambito di protezione dei dati sono quindi da progettare e pianificare in seguito ai risultati ottenuti da una specifica analisi del rischio.
- Gestione degli incidenti: che si tratti di un incidente che riguarda dati personali (GDPR) o meno, si rende comunque necessario identificarlo, analizzare le cause che hanno portato alla violazione e valutare se le misure di sicurezza applicate fossero sufficienti ad evitarlo o a mitigare gli impatti;
- Fornitori e soggetti esterni: quando ci si affida ad un fornitore è necessario valutare che esso applichi misure di sicurezza adeguate alla protezione dei dati e delle informazioni così da avere una supply chain robusta.
È ormai chiaro che le istituzioni europee stiano tentando di creare un comparto di norme che dialoghi tra loro e tuteli tutti i principali aspetti della società dell’informazione. Come abbiamo visto, fra GDPR, NIS2 e DORA vi sono parecchi punti di intersezione, per cui non avrebbe alcun senso agire per compartimenti stagni in aree di applicabilità che di fatto si sovrappongono.
Che finalmente l’adozione di un vero modello di “compliance integrata” sia la reale risposta a tutte queste esigenze?
Nel video: lo speech di Piermaria Saglietto al Privacy Day Forum 2023. Sotto le slides dell'intervento)
