martedì, 30 novembre 2021

W la Privacy

W la Privacy

Sicurezza tra Direttiva NIS, GDPR e Direttiva n.680/2016

24/11/2021

Il tema della sicurezza informatica, più conosciuto con il termine di cybersecurity è un argomento trasversale che coinvolge anche la disciplina sulla protezione dei dati personali introdotta dal Regolamento UE 679/2016.

Quest’ultimo all’articolo 32, non solo, prevede che le misure di sicurezza debbano "garantire un livello di sicurezza adeguato al rischio" del trattamento (art. 32, paragrafo 1) ma a partire dal 25 maggio 2018, dispone che tutti i titolari debbano notificare all’Autorità Garante per la Protezione Dei Dati Personali le violazioni di dati personali (c.d. data breach) di cui vengano a conoscenza, entro 72 ore e comunque "senza ingiustificato ritardo", qualora ritengano probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati.

Obblighi analoghi sono contenuti nel capo terzo del D.Lgs 51/2018 che ha recepito la Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio.

Inoltre, in tema di sicurezza delle reti e dei sistemi informativi un ruolo cruciale l’ha svolto una Direttiva europea del 2016 denominata Direttiva NIS (Network and Information Security) che ha imposto agli Stati membri l’impiego di misure di sicurezza comuni.

L’Italia ha recepito la Direttiva NIS con il D.Lgs 18 Maggio 2018, pubblicata in G.U. il 09 Giugno 2018. Esso si applica ai settori dell’energia, trasporti, banche, mercati finanziari, sanità, fornitura e distribuzione di acqua potabile e infrastrutture digitali; nonché motori di ricerca, servizi cloud e piattaforme di commercio elettronico.

Direttiva NIS, notifica degli incidenti e adempimenti per le aziende

I destinatari della Direttiva NIS sono solo due tipologie di operatori nell’ambito delle reti e dei sistemi informativi:

1. Gli OESoperatori di servizi essenziali”. Si tratta di soggetti pubblici o privati che offrono servizi essenziali nel settore sanitario, dell’energia, dei trasporti, bancario, delle infrastrutture dei mercati finanziari, della fornitura e distribuzione di acqua potabile e delle infrastrutture digitali;

2. Gli FSD Fornitori di servizi digitali”. Si tratta di soggetti che forniscono servizi di e-commerce, cloud computing e motori di ricerca ad eccezione di quelle imprese che la normativa europea definisce "piccole" e "micro", quelle cioè che hanno meno di 50 dipendenti e un fatturato o bilancio annuo non superiore ai 10 milioni di Euro.

Una strategia nazionale di cybersecurity  

La disciplina prevede l’adozione di una strategia nazionale di cybersecurity attraverso la designazione delle autorità competenti di vigilanza sul rispetto della normativa. In Italia sono state designate quali autorità di controllo cinque ministeri (sviluppo economico, infrastrutture e trasporti, economia, salute e ambiente).

Il decreto attuativo ha, inoltre istituito presso la Presidenza del Consiglio dei Ministri un unico CSIRT (Computer Security Incident Response Team ). Si tratta di un gruppo di intervento per la sicurezza informatica in caso di incidente (art. 3 comma, 1, lett. b D.Lgs n.65/2018).

Esso è istituito, presso la Presidenza del Consiglio dei ministri, e svolge i compiti e le funzioni del Computer Emergency Response Team (CERT) nazionale, di cui all’articolo 16-bis del decreto legislativo 1° agosto 2003, n. 259, e del CERT-PA, già operante presso l’Agenzia per l’Italia digitale ai sensi dell’articolo 51 del decreto legislativo 7 marzo 2005, n. 82.

Tutti gli OES dovranno inoltrare al CSIRT (e per conoscenza all’ autorità competente NIS del proprio settore) le notifiche di incidenti informatici con impatto rilevante sui servizi forniti. Un obbligo analogo è previso anche a carico degli FSD (motori di ricerca, servizi cloud e piattaforme di commercio elettronico).

Il decreto non fissa un limite temporale rigido per le notifiche, ma specifica che le stesse vanno effettuate “senza ingiustificato ritardo”.

(Aerticolo di Marco Soffientini - Esperto di Privacy e Diritto delle Nuove Tecnologie; docente Ethos Academy)


maggiori informazioni su:
www.fedeprivacy.org



Tutte le news

Calendario Corsi 2021

Privacy Channel

Webinar

Ethos Academy

  • Privacy Officer e consulente della privacy nel settore Videosorveglianza
    Corso specilistico in 4 sessioni:
    10, 17, 24 febbraio
    3 marzo 2022

Ethos Academy propone corsi propedeutici che portano alla certificazione degli operatori
Scopri la programmazione »