PICCOLA E MEDIA IMPRESA: COME ORIENTARSI IN TEMA DI CYBER SECURITY E GDPR

PICCOLA E MEDIA IMPRESA: COME ORIENTARSI IN TEMA DI CYBER SECURITY E GDPR

Le recenti novità legislative e le imminenti scadenze in tema di GDPR rinnovano la necessità per le piccole e medie imprese di valutare con attenzione tutte le tematiche inerenti la c.d. “cyber security” aziendale.

Il tessuto connettivo della piccola e media impresa italiana potrebbe in alcuni casi non essere strutturato e pronto ad adempiere correttamente agli oneri imposte dai regolamenti e dalle normative comunitarie e ciò potrebbe comportare una perdita di competitività nel mercato dell’Industria 4.0.

Vediamo quindi di fare un po’ di chiarezza e di fornire, di seguito, qualche spunto operativo utile.

1.  Fonti normative in materia di Cyber Security

a)     Fonti dell’Unione Europea:

·       Regolamento EIDAS n. 910/2014: il “Regolamento per i servizi fiduciari ed i mezzi di identificazione elettronica utilizzati nei diversi Stati membri” è entrato in vigore nel settembre 2014 ed è direttamente applicabile da luglio 2016. Punti chiave:

-    prevede meccanismi per rafforzare la sicurezza e la certezza delle transazioni elettroniche fra cittadini, imprese e pubbliche amministrazioni;

-    per raggiungere l’efficacia auspicata necessita meccanismi implementati a regola d’arte e sostenuti da forti investimenti.

·       Regolamento GDPR n. 679/2016: il Regolamento europeo per la protezione dei dati personali costituisce il primo caso di norma comune europea in tema di Privacy. È entrato in vigore nel maggio 2016 ma sarà applicabile in via diretta in tutti i paesi UE a partire da maggio 2018. Punti chiave:

-    ha come destinatari le aziende di qualsiasi settore e dimensione ed i privati;

-    prescrive l’obbligo a carico delle imprese di innalzare gli standard di difesa dei dati personali;

-    prevede un forte inasprimento delle sanzioni rispetto al passato: fino ad € 20.000.000 per privati ed imprese non facenti parte di gruppi e fino al 4% del fatturato complessivo consolidato per i gruppi societari.

·       Direttiva NIS n. 1148/2016: la Direttiva UE recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione è stata emanata nel luglio 2016 ma gli Stati hanno tempo fino al maggio 2018 per recepirne i contenuti. Punti chiave:

-    miglioramento delle capacità di Cyber Security dei singoli Stati mediante l’adozione di specifiche misure di sicurezza a carico dei settori interessati;

-    aumento del livello di cooperazione fra Stati in tema di Cyber Security;

-    obbligo per gli Stati di designare un’apposita autorità nazionale che funga da punto di contatto per gli scambi internazionali e di dotarsi di una strategia cyber;

-    obbligo per gli operatori di servizi essenziali e per i fornitori di servizi digitali di adottare un approccio basato sulla gestione dei rischi e di riportare tutti gli incidenti informatici di una certa entità ad apposite autorità (nazionale ed europea).

 

b)     Fonti interne:

·       Decreto del Presidente del Consiglio dei Ministri del 17.02.2017direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali, pubblicata in G.U. il 13.04.2017. Punti chiave:

-   normativa più snella ed efficace rispetto alla precedente del 2013;

-   responsabilità di governo collocata all’interno del Dipartimento per le Informazioni e la Sicurezza (DIS).

·   Circolare AgID n. 2/2017: recante le misure minime di sicurezza ICT (Information and Communications Technology) per le Pubbliche Amministrazioni. Punti chiave:

-      adozione di standard minimi di prevenzione e reazione ad eventi cibernetici;

-      adozione formalmente obbligatoria per tutte le P.A., che hanno tempo fino al 31.12.2017 per adottarne le prescrizioni;

-      Tre diversi livelli di attuazione delle misure: minimo, standard e superiore.

 

2.  Problematiche rilevanti:

a)    Riguardanti le normative:

-      la Direttiva NIS non è direttamente applicabile e necessita di una legge di recepimento, che nel caso dell’Italia non è ancora arrivata;

-      i Regolamenti GDPR ed EIDAS contengono previsioni innovative che però richiedono rilevanti costi di applicazione ed investimenti da parte delle piccole e medie imprese;

-      il DPCM rappresenta una normativa interna che necessita ulteriori misure di adattamento in materia di capacità difensiva e reattiva nazionale;

-      la Circolare AgID è applicabile soltanto alle P.A.;

b)   Riguardanti le imprese:

-      assenza all’interno della prevalenza delle aziende di personale qualificato per il coordinamento di attività di gestione e di protezione dei dati e dei sistemi informatici (ad es. Chief Information Security Officer o Security Manager);

-      generale impreparazione delle piccole, medie e micro imprese ad affrontare efficacemente le minacce e gli incidenti cibernetici;

-      conseguenze dirette agli attacchi: interruzione dell’operatività e del business, spionaggio elettronico e/o furto di informazioni riservate e Know how;

-      conseguenze indirette agli attacchi: possibile perdita di reputazione aziendale e/o esposizione a problemi legali, quali responsabilità contrattuale, penale, amministrativa o extracontrattuale verso terzi quali clienti e forntori.


3.  Interventi utili e consigliabili per migliorare il livello di Cyber Security

-      necessità di emanazione di una normativa organica nazionale che offra adeguati strumenti di difesa preventiva e di rimedio ad attacchi informatici;

-      necessaria presenza all’interno delle imprese di professionisti con specifiche competenze digitali e di sicurezza informatica (soprattutto nelle piccole e medio imprese, più facilmente attaccabili poiché impreparate e attraverso le quali i c.d. malware riescono ad insinuarsi nei sistemi delle grandi imprese o capo-gruppo);

-      valutazione dell’idoneità dei membri del C.d.A. e delle posizioni apicali nelle aziende: sufficienti competenze tecnologiche ed in materia di gestione dei rischi;

-      adozione di polizze assicurative sul Cyber Risk: strumenti utili ma non sufficienti se non accompagnate dagli ulteriori accorgimenti nelle materie predette.

Tra gli strumenti utili per individuare le linee di intervento, si segnalano:

-      Framework Nazionale per la Cyber Security: pubblicato nel 2016 dal CIS Sapienza e dal Laboratorio Nazionale di Cyber Security rappresenta il primo documento italiano che definisce la metodologia che le aziende (piccole, medie o grandi) possono seguire per rendere più sicure le loro infrastrutture informatiche;

-      Controlli essenziali di Cyber Security: anch’esso pubblicato nel 2016 dal CIS Sapienza e dal Laboratorio Nazionale di Cyber Security è un documento-guida che propone controlli minimi da adottare da parte di piccole e medio imprese al fine di scongiurare gli attacchi più comuni ed aumentare, a tutti i livelli aziendali, la consapevolezza del personale interno.


Lo Studio legale C.T. Law è in grado di supportare le piccole e medie imprese per affrontare le tematiche sopra esposte fornendo consulenza sulle misure da adottare in concreto per rendere più sicure le loro infrastrutture informatiche, al fine di consentire la protezione del proprio know how e di prevenire le conseguenze dannose che dovessero derivare da attacchi e/o disfunzionalità gravi dei sistemi stessi.

 

Avv. Gioacchino Massimiliano Tavella