La Cybersecurity Compliance è la branca della sicurezza delle informazioni che si occupa di garantire la conformità alle normative inerenti alla sicurezza informatica. Le normative in materia di sicurezza informatica possono essere di due tipi: cogenti (di fonte normativa e obbligatoria) e volontarie (ad es., la ISO/IEC 27001:2022 inerente ai Sistemi di Gestione della Sicurezza delle Informazioni).
Tra le norme cogenti più recenti troviamo:
- il Reg. UE 2016/679 (c.d. GDPR, applicabile a tutte le organizzazioni che operano in Unione europea);
- il Reg. UE 2022/2554 (c.d. DORA, applicabile alle organizzazioni che oerano nel settore finanziario);
- la Direttiva UE 2022/2555 (c.d. NIS 2, applicabile ai soggetti rilevanti per il buon funzionamento dei servizi essenziali per i Paesi membri dell’Unione), recepita in Italia col D. Lgs. 2024/138;
- 90/2024 (disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici);
- il Reg. UE 2023/988 (relativo alla sicurezza dei prodotti);
- il Reg. UE 2024/1689 (c.d. AI Act, relativo all’intelligenza artificiale);
- il Reg. UE 2024/2847 (c.d. Cyber Resilience Act, relativo ai requisiti di cybersecurity per i prodotti con elementi digitali).
Non tutte queste norme si applicano a ogni tipologia di organizzazione pubblica o privata; ognuna di esse, infatti, ha il proprio ambito di applicazione e le proprie peculiarità. Tuttavia, il denominatore comune di tutte le norme comunitarie è il principio di Accountability, lo stesso che ritroviamo -ad esempio- nel GDPR.
Nella cybersecurity, il principio di Accountability si declina nella capacità di un’organizzazione di dimostrare che le scelte sulle misure di sicurezza adottate nel proprio contesto siano adeguate a contrastare le minacce che, in una certa misura, potrebbero compromettere la continuità operativa dell’organizzazione e danneggiare gli stakeholder.
Il criterio più efficace – peraltro imposto dalle più recenti normative – per valutare il grado di esposizione alle minacce è quello basato sul rischio. Ecco che risulta fondamentale attivare una politica di risk management per:
- identificare le minacce che possono impattare negativamente sull’organizzazione;
- censire le misure di sicurezza in essere (logiche, organizzative e fisiche);
- valutare il grado di efficacia delle misure di sicurezza in relazione alle minacce.
Ulteriore elemento fondamentale per contribuire alla robustezza e allo sviluppo dell’economia del Paese è la gestione della continuità operativa delle organizzazioni. Indipendentemente dalla tipologia di organizzazione e dal settore in cui opera, è essenziale implementare e mantenere nel tempo efficaci piani di gestione degli incidenti, coordinati con i piani di business continuity e disaster recovery.
Quanto riportato non esaurisce l’insieme delle attività necessarie all’attivazione di un sistema di gestione della sicurezza delle informazioni, ma vuole offrire una ricognizione di alto livello sui principali compiti (applicabili trasversalmente a tutte le organizzazioni, pubbliche e private) per garantire un livello minimo di adeguatezza al GDPR e a tutte le altre norme applicabili a ciascun settore specifico.
Pertanto, se volete saperne di più su questo tema o se volete avere la certezza di quali norme si applicano alla vostra organizzazione, vi invitiamo a contattarci. Gli specialisti del nostro “Data Protection Office” saranno a vostra disposizione per ogni approfondimento e per suggerire il framework più congeniale per implementare un piano di adeguamento alla cybersecurity in relazione alla tipologia di organizzazione e al suo ambito di operatività.