Sicurezza informatica e normative

Approfondimento relativo alla sicurezza informatica e alle normative che tutelano le aziende

Regolamento Generale sulla Protezione dei Dati (GDPR)

Il GDPR, in vigore dal 25 maggio 2018, è il regolamento principale in materia di protezione dei dati personali nell’UE. Questo regolamento si applica a tutte le aziende che trattano dati personali di cittadini dell’UE, indipendentemente dalla sede dell’azienda.

Principi fondamentali: Il GDPR richiede che i dati personali siano trattati in modo lecito, corretto e trasparente. Devono essere raccolti per scopi espliciti e legittimi e non eccedenti rispetto a tali scopi.
Misure di sicurezza: Le aziende devono implementare misure tecniche e organizzative adeguate per garantire la sicurezza dei dati. Ciò può includere la crittografia, il controllo degli accessi, e la pseudonimizzazione.
Violazione dei dati: In caso di violazione dei dati (data breach), le aziende devono informare il Garante per la Protezione dei Dati Personali entro 72 ore e, in certi casi, anche le persone interessate.
Sanzioni: Le sanzioni per la mancata conformità possono raggiungere i 20 milioni di euro o il 4% del fatturato globale annuo, a seconda di quale sia maggiore.

Codice dell’Amministrazione Digitale (CAD)

Il Codice dell’Amministrazione Digitale (D.Lgs. 82/2005 e successive modifiche) è il quadro normativo per la digitalizzazione della Pubblica Amministrazione (PA) italiana. Sebbene focalizzato sulla PA, offre indicazioni utili anche per le aziende private.

Sicurezza dei sistemi: Il CAD richiede che la PA adotti misure di sicurezza appropriate per la gestione dei documenti digitali, incluso l’uso di firme digitali, crittografia e archiviazione sicura.
Trasparenza e accessibilità: Le informazioni devono essere accessibili agli utenti in modo sicuro e devono garantire l’integrità e la disponibilità dei dati.
Certificati digitali: Le aziende che collaborano con la PA devono spesso implementare soluzioni di firma digitale, posta elettronica certificata (PEC) e autenticazione forte.

Legge sul Cybercrime (D.Lgs. 231/2001)

Il Decreto Legislativo 231/2001 introduce la responsabilità amministrativa delle aziende per reati commessi nell’interesse o a vantaggio dell’ente, tra cui i reati informatici.

Modello organizzativo: Le aziende devono adottare un modello organizzativo che includa misure di prevenzione e gestione dei rischi informatici. Questo modello deve essere aggiornato regolarmente per tenere conto delle nuove minacce.
Misure tecniche: Devono essere implementate misure di protezione contro accessi non autorizzati, malware, furto di dati, e attacchi informatici.
Sanzioni: Le aziende che non adottano adeguati modelli di prevenzione rischiano sanzioni pecuniarie e interdittive, che possono includere la sospensione dell’attività.

Decreto Legislativo 65/2018 (Direttiva NIS)

Il D.Lgs. 65/2018 recepisce la Direttiva NIS (Network and Information Security) dell’Unione Europea, mirata alla sicurezza delle reti e dei sistemi informatici nei settori critici.

Operatori di servizi essenziali (OSE): Le aziende che operano in settori come energia, trasporti, finanza, salute e infrastrutture digitali sono considerate OSE e devono adottare misure di sicurezza adeguate per proteggere le loro reti.
Fornitori di servizi digitali (FSD): Anche i fornitori di servizi cloud, motori di ricerca e piattaforme digitali sono soggetti a obblighi di sicurezza simili.
Notifica degli incidenti: Gli OSE e i FSD devono segnalare eventuali incidenti di sicurezza che possono avere un impatto significativo sui servizi essenziali. La segnalazione deve essere fatta al CSIRT nazionale (Computer Security Incident Response Team).

Linee Guida AgID

L’Agenzia per l’Italia Digitale (AgID) emette linee guida per la sicurezza informatica nelle aziende e nella Pubblica Amministrazione.

Piani di continuità operativa: Le linee guida AgID prevedono che le aziende adottino piani per garantire la continuità dei servizi in caso di attacchi informatici o guasti tecnici.
Classificazione delle informazioni: Le aziende devono classificare i loro dati e le informazioni sulla base del loro valore e criticità, implementando adeguate misure di protezione in base a tale classificazione.
Gestione del rischio: La gestione del rischio informatico è centrale nelle linee guida. Le aziende devono eseguire regolari valutazioni del rischio per identificare vulnerabilità e potenziali minacce.

Misure minime di sicurezza ICT per la PA (DPCM 2017)

Il DPCM 17 febbraio 2017 stabilisce le misure minime di sicurezza ICT che le amministrazioni pubbliche devono adottare, che possono servire da riferimento anche per le aziende private.

Autenticazione forte: Le aziende devono implementare sistemi di autenticazione forte (come l’autenticazione a due fattori) per l’accesso ai sistemi critici.
Backup: Devono essere previsti sistemi di backup regolari per garantire il ripristino dei dati in caso di attacco.
Controllo degli accessi: Devono essere implementati meccanismi per controllare e monitorare chi ha accesso ai dati critici dell’azienda.

Direttiva DORA (Digital Operational Resilience Act)

La Direttiva DORA, che verrà implementata nell’UE nei prossimi anni, è mirata a migliorare la resilienza operativa digitale del settore finanziario.

Obblighi per le aziende IT: Anche i fornitori di servizi IT e cloud per istituzioni finanziarie saranno soggetti a rigorosi requisiti di sicurezza.
Test di resilienza: Le aziende dovranno sottoporsi a regolari test di resilienza operativa per valutare la loro capacità di resistere ad attacchi informatici.
Segnalazione degli incidenti: Sarà obbligatorio segnalare eventuali incidenti significativi di sicurezza informatica.

Come proteggere la tua azienda:

Valutazione del rischio: Le aziende devono condurre valutazioni periodiche dei rischi per identificare le vulnerabilità e adottare misure preventive.
Piani di continuità operativa: È cruciale implementare un piano che assicuri il funzionamento delle attività aziendali in caso di incidente.
Crittografia e controllo degli accessi: La protezione dei dati attraverso la crittografia e il monitoraggio degli accessi riduce i rischi di accessi non autorizzati.
Formazione del personale: Una parte significativa della sicurezza informatica si basa sull’educazione dei dipendenti a riconoscere minacce come phishing, malware, e tecniche di ingegneria sociale.

Le leggi in materia di sicurezza informatica sono fondamentali per proteggere non solo i dati delle aziende ma anche la privacy dei cittadini e l’integrità delle infrastrutture critiche.

Se desideri ulteriori dettagli, contattaci.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_1549571_3	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Durata	Descrizione
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_ir	session	This is a Pinterest cookie that collects information on visitor behaviour on multiple websites. This information is used on the website, in order to optimize the relevance of advertisement.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.