L’evoluzione normativa: l’impatto crescente delle regole di cybersecurity

Introduzione

Nell’era digitale, la cybersecurity è emersa quale colonna portante essenziale per la protezione delle infrastrutture critiche, dei dati aziendali e delle informazioni personali. Di fronte a minacce informatiche sempre più sofisticate e pervasive, governi ed organizzazioni internazionali hanno risposto con un’evoluzione normativa significativa, mirata a rafforzare le difese contro gli attacchi informatici ed a garantire la resilienza delle reti digitali.

La crescente importanza della cybersecurity nelle politiche globali è evidente nell’accelerazione degli sforzi legislativi e regolamentari. Ad esempio, il rapporto “Global Cybersecurity Index 2020” dell’Unione Internazionale delle Telecomunicazioni (ITU) sottolinea come l’adozione di misure legislative sia fondamentale al fine di migliorare la prontezza globale alla cybersecurity [ITU, 2020]: l’indice, che misura l’impegno dei paesi nella cybersecurity, evidenzia come la consapevolezza e le azioni legislative stiano diventando priorità sempre più pressanti a livello mondiale.

Gli eventi chiave che hanno catalizzato la formulazione di nuove leggi e regolamenti includono incidenti di alto profilo quali l’attacco WannaCry del 2017, che ha colpito centinaia di migliaia di computer in oltre 150 paesi, causando interruzioni significative in settori critici quali la sanità nel Regno Unito [BBC News, 2017]. Tale attacco ransomware ha evidenziato la vulnerabilità delle infrastrutture critiche agli attacchi informatici e ha ravvivato l’interesse affinchè venissero ipotizzate fattispecie giuridiche maggiormente pervasive, dando input all’emanazione di nuove leggi e politiche inerenti la cybersecurity.

L’Unione Europea ha risposto a tali minacce con l’introduzione del Regolamento Generale sulla Protezione dei Dati (GDPR) nel 2018, stabilendo nuovi standard per la protezione dei dati personali e la privacy. Il GDPR è considerato una pietra miliare nella legislazione sulla protezione dei dati, imponendo rigorosi requisiti di conformità per le organizzazioni che trattano dati di cittadini dell’UE, e prevedendo incisive sanzioni per le violazioni [Regolamento UE 2016/679]. L’importanza del GDPR risiede nella sua ampia applicabilità, che si estende oltre i confini dell’UE, influenzando le pratiche aziendali globali e promuovendo un approccio più consapevole alla sicurezza dei dati.

Parallelamente, l’UE ha adottato la Direttiva sulla sicurezza delle reti e dei sistemi informativi (NIS Directive), la prima legge dell’UE dedicata esclusivamente alla cybersecurity. Entrata in vigore nel 2016, la direttiva mira a migliorare la sicurezza nazionale delle reti e dei sistemi informativi, con particolare enfasi sui fornitori di servizi essenziali e sui servizi digitali [Direttiva UE 2016/1148]. La direttiva evidenzia il riconoscimento dell’importanza vitale della resilienza informatica per il funzionamento della società moderna, in particolare nei settori critici quali energia, trasporti e salute.

Negli Stati Uniti, la California ha dato il via con l’introduzione del California Consumer Privacy Act (CCPA) nel 2018, che mira a fornire ai consumatori maggiori diritti e controllo sui loro dati personali. Il CCPA rappresenta un’importante pietra miliare nella legislazione sulla privacy negli Stati Uniti e serve da catalizzatore per un potenziale cambiamento federale nella regolamentazione della privacy [California Legislative Information, 2018]. Il confronto tra il CCPA e il GDPR evidenzia un movimento globale verso la protezione dei dati personali e la privacy, con impatti significativi sulle strategie aziendali, che devono ora muoversi in un paesaggio normativo sempre più complesso e rigoroso.

In Asia, il Cybersecurity Act di Singapore del 2018 è un esempio emblematico di come i governi stiano adottando approcci proattivi e comprensivi alla cybersecurity: la legge fornisce un quadro giuridico per la gestione delle minacce alla sicurezza informatica e stabilisce un regime di regolamentazione per gli operatori di infrastrutture informatiche critiche [Cyber Security Agency of Singapore, 2018]. L’impatto di tale legislazione si estende ben oltre i confini di Singapore, influenzando le politiche aziendali e la governance della sicurezza informatica a livello internazionale. Tali evoluzioni normative rappresentano solo la punta dell’iceberg nel contesto globale della legislazione sulla cybersecurity: man mano che la tecnologia continua ad evolversi e le minacce informatiche diventano sempre più sofisticate, è chiaro come la regolamentazione in questo settore debba essere un elemento dinamico e cruciale delle strategie nazionali ed internazionali di sicurezza informatica. L’impegno continuo nel rafforzare le leggi e le politiche di cybersecurity è vitale al fine proteggere le società moderne dalle crescenti minacce informatiche, garantendo al contempo che i diritti alla privacy e la protezione dei dati siano mantenuti in un mondo sempre più digitalizzato.

Evoluzione delle leggi e delle direttive

L’evoluzione delle leggi e delle direttive in materia di cybersecurity segna un capitolo fondamentale nella risposta globale alle crescenti minacce informatiche: un panorama normativo in continua evoluzione che riflette la necessità di adattarsi ad un ambiente digitale che si trasforma rapidamente, dove nuove tecnologie e metodi di attacco emergono con una frequenza sempre maggiore. Le legislazioni sono state concepite non solo al fine di proteggere le infrastrutture critiche ed i dati personali, ma anche per stabilire un terreno comune di fiducia e sicurezza che attraversi i confini nazionali, promuovendo la cooperazione internazionale.

Nell’ultimo decennio, abbiamo assistito all’introduzione di leggi pionieristiche ed alla revisione di direttive esistenti, con l’obiettivo di rafforzare la resilienza cibernetica delle nazioni e delle aziende: normative che abbracciano una varietà di aspetti, dalla protezione dei dati personali alla sicurezza delle infrastrutture critiche, dall’incoraggiamento alla condivisione delle informazioni sulle minacce cibernetiche alla promozione di una cultura della sicurezza cibernetica all’interno delle organizzazioni.

La creazione di un quadro normativo coerente ed efficace è pertanto cruciale onde affrontare i rischi associati alla digitalizzazione della società e dell’economia: leggi e direttive sono ad oggi caratterizzate dai differenti approcci adottati dalle varie giurisdizioni con relativo impatto sulle strategie aziendali e sulla governance della sicurezza informatica.

GDPR (Regolamento Generale sulla Protezione dei Dati)

Il Regolamento Generale sulla Protezione dei Dati (GDPR), adottato il 14 aprile 2016 e divenuto effettivo il 25 maggio 2018, rappresenta una pietra miliare nella legislazione sulla privacy e la protezione dei dati personali all’interno dell’Unione Europea (UE) e dello Spazio Economico Europeo (SEE). Il GDPR sostituisce la Direttiva sulla protezione dei dati del 1995, introducendo un quadro normativo aggiornato ed armonizzato che sappia affrontare le sfide poste dalla digitalizzazione e dalla globalizzazione della società contemporanea.

Il GDPR si basa su principi fondamentali di protezione dei dati, tra cui la liceità, la trasparenza e la correttezza del trattamento dei dati personali, la limitazione delle finalità, la minimizzazione dei dati, l’accuratezza, la limitazione della conservazione, l’integrità, la riservatezza e la responsabilità (Articolo 5 del GDPR). Tali principi guidano le organizzazioni nella gestione dei dati personali, assicurando che il trattamento sia effettuato in modo legittimo, giusto e trasparente.

Il GDPR garantisce maggiormente i diritti degli individui, o “interessati”, in relazione ai loro dati personali. Tra questi diritti vi sono il diritto di accesso, di rettifica, di cancellazione (noto anche come “diritto all’oblio”), di limitazione del trattamento, di portabilità dei dati e di opposizione. Tali disposizioni conferiscono agli individui un maggiore controllo sui propri dati, consentendo loro di accedere alle informazioni detenute dalle organizzazioni, richiederne la correzione o la cancellazione e trasferire o meno i propri dati ad altri fornitori di servizi.

Uno degli aspetti più innovativi del GDPR è il principio di “accountability” o responsabilità, che richiede alle organizzazioni di adottare misure tecniche ed organizzative adeguate al fine di garantire e dimostrare la conformità al regolamento (Articolo 24 del GDPR). Ciò include la necessità di implementare politiche di protezione dei dati, la realizzazione di valutazioni d’impatto sulla protezione dei dati per trattamenti ad alto rischio e – in determinate circostanze – la nomina di un Data Protection Officer (DPO).

L’introduzione del GDPR ha costituito un punto di svolta per le pratiche aziendali in Europa ed oltre: le organizzazioni che trattano dati personali di cittadini dell’UE sono tenute a conformarsi al GDPR, indipendentemente dalla loro ubicazione geografica. Ciò ha imposto un riesame delle politiche e delle procedure relative alla raccolta, al trattamento ed alla conservazione dei dati, con un impatto significativo su settori che vanno dal marketing digitale all’IT, dal commercio elettronico ai servizi finanziari.

Le aziende hanno dovuto investire in formazione, consulenza legale ed aggiornamenti tecnologici onde assicurarsi di rispettare i requisiti del GDPR: ciò ha incluso la revisione dei consensi alla privacy, l’aggiornamento delle informative sulla privacy, l’implementazione di procedure per gestire le richieste dei titolari dei dati nonché l’assicurazione che anche i fornitori di servizi terzi siano in conformità con il GDPR.

NIS Directive (Direttiva sulla sicurezza delle reti e dei sistemi informativi)

Adottata il 6 luglio 2016, la Direttiva sulla sicurezza delle reti e dei sistemi informativi (Direttiva NIS) rappresenta il primo elemento legislativo dell’UE riguardanti fattispecie mirate alla cybersecurity: la Direttiva NIS punta a migliorare la sicurezza informatica in tutta l’Unione Europea, richiedendo agli Stati membri di aumentare la loro preparazione cibernetica e rafforzare la loro cooperazione a livello transfrontaliero.

La Direttiva stabilisce misure volte a garantire un elevato livello comune di sicurezza delle reti e dei sistemi informativi all’interno dell’UE. Si applica a due categorie principali di soggetti: gli “Operatori di Servizi Essenziali” (OSE) e i “Fornitori di Servizi Digitali” (DSP). Gli OSE includono entità in settori critici quali energia, trasporti, sanità e fornitura di acqua, mentre i DSP coprono servizi quali marketplace online, motori di ricerca e servizi di cloud computing.

Gli Stati membri sono tenuti ad identificare gli OSE nel proprio territorio ed a garantire che siano da essi adottate misure tecniche ed organizzative adeguate a gestire i rischi per la sicurezza delle reti e dei sistemi informativi. Devono inoltre notificare alle autorità competenti gli incidenti di sicurezza capaci di arrecare un impatto significativo sulla continuità dei servizi essenziali.

La Direttiva NIS ha avuto un impatto significativo sui settori considerati essenziali per il mantenimento delle funzioni sociali ed economiche critiche. Le aziende operanti in tali settori sono ora obbligate ad implementare un livello di sicurezza adeguato ed a segnalare gli incidenti di sicurezza, contribuendo così ad una maggiore resilienza complessiva del settore delle infrastrutture critiche all’interno dell’UE.

La Direttiva incoraggia altresì una maggiore collaborazione e condivisione delle informazioni sui rischi e gli incidenti di cybersecurity attraverso la creazione di “Gruppi di Cooperazione” e di “Reti CSIRT” (Computer Security Incident Response Teams), promuovendo un approccio cooperativo e coordinato alla gestione degli incidenti cibernetici a livello europeo.

California Consumer Privacy Act (CCPA)

Il California Consumer Privacy Act (CCPA), entrato in vigore il 1° gennaio 2020, segna un punto di svolta nella regolamentazione della privacy negli Stati Uniti, introducendo una tutela giuridica senza precedenti per i consumatori della California ed obblighi per le aziende che raccolgono, trattano o vendono dati personali di residenti nello stato.

Il CCPA mira a garantire ai consumatori della California maggiore trasparenza e controllo sui loro dati personali. La legge concede ai residenti dello stato il diritto di sapere quali dati personali vengano raccolti su di loro, di chiedere l’eliminazione di tali dati e di opporsi alla vendita dei loro dati a terzi (“Do Not Sell My Personal Information”). Impone inoltre alle aziende di fornire informazioni dettagliate sulle categorie di dati raccolti e sulle finalità del loro trattamento.

Sebbene il CCPA condivida alcuni obiettivi con il GDPR, quale il rafforzamento dei diritti alla privacy ed il controllo dei dati personali, ci sono differenze significative nei dettagli e nell’ambito di applicazione delle due leggi: il CCPA, ad esempio, si concentra specificamente sulla vendita di dati personali e offre ai consumatori il diritto di optare per l’esclusione da tale vendita, una disposizione che non ha un diretto corrispettivo nel GDPR.

L’adozione del CCPA ha richiesto alle aziende operanti in California, ed a quelle che trattano dati di residenti californiani, di riesaminare le loro politiche e pratiche sulla privacy: le organizzazioni hanno dovuto implementare nuovi meccanismi per rispondere alle richieste dei consumatori relative ai loro dati personali ed assicurarsi di rispettare i requisiti di trasparenza e responsabilità previsti dalla legge.

L’entrata in vigore del CCPA ha innescato un effetto domino, spingendo altri stati degli USA a considerare od adottare legislazioni speculari per rafforzare la protezione della privacy dei consumatori. Il movimento normativo a livello statale evidenzia una crescente consapevolezza ed attenzione per i diritti alla privacy negli Stati Uniti, in assenza di una legge federale omnicomprensiva inerente la privacy dei dati.

Cybersecurity Act di Singapore

Il Cybersecurity Act di Singapore è stato approvato dal Parlamento il 5 febbraio 2018 e rappresenta un quadro legislativo completo volto a migliorare la sicurezza delle infrastrutture critiche informatiche a Singapore, affrontando le minacce alla sicurezza nazionale e promuovendo un ecosistema cibernetico più sicuro.

Il Cybersecurity Act stabilisce un quadro legale per la sovrintendenza e la gestione delle minacce alla sicurezza cibernetica, imponendo obblighi specifici agli “Operatori di Infrastrutture Critiche Informatiche” (CIIO) in settori vitali quali i servizi bancari e finanziari, l’energia, i trasporti ed i servizi governativi. La legge mira a rafforzare la protezione contro le minacce alla sicurezza cibernetica, a promuovere la condivisione delle informazioni sulla sicurezza ed a sviluppare un robusto ecosistema di talenti e competenze in materia di cybersecurity.

L’introduzione del Cybersecurity Act ha avuto un impatto significativo sulle aziende operanti a Singapore, sia locali che internazionali: le organizzazioni designate come CIIO sono tenute a rispettare rigorosi standard di sicurezza cibernetica, a sottoporsi ad audit (verifiche) regolari ed a partecipare a esercizi di incident response (risposta agli incidenti). Ciò ha portato le aziende ad investire maggiormente in tecnologie di sicurezza, formazione del personale e processi di conformità onde garantire l’aderenza alla legislazione.

Componente fondamentale del Cybersecurity Act è l’enfasi posta sulla collaborazione e sulla condivisione delle informazioni tra il settore pubblico e quello privato: la legge prevede infatti la creazione di un framework (struttura operativa) per la condivisione delle informazioni sui rischi e gli incidenti di cybersecurity, facilitando una risposta coordinata alle minacce e rafforzando la resilienza complessiva della nazione agli attacchi informatici.

Impatto sulle strategie aziendali

Incorporare le normative di cybersecurity nel tessuto delle strategie aziendali segna una svolta decisiva nel modo in cui le organizzazioni percepiscono e gestiscono le minacce informatiche: in un contesto in cui la digitalizzazione permea ogni aspetto dell’operatività aziendale, la sicurezza informatica non è più considerata un compito secondario od un onere esclusivo dei reparti IT, quanto un elemento fondamentale che influisce su decisioni strategiche, operazioni quotidiane e relazioni con clienti e partner. Si è pertanto dinanzi ad un cambiamento di paradigma, guidato da un quadro normativo in continua evoluzione, che obbliga le aziende a rivalutare le proprie priorità, allocando risorse significative per la protezione dei dati e la prevenzione degli attacchi informatici. La trasformazione implica un’adozione omnicomprensiva della cybersecurity, che diventa un pilastro portante della governance aziendale, influenzando tanto politiche interne, quanto la cultura organizzativa e le pratiche di business. La capacità di un’azienda di adattarsi e rispondere alle normative, pertanto, non solo determina la sua resilienza agli attacchi informatici, ma diventa anche un indicatore della sua maturità organizzativa e tecnologica. La conformità normativa, quindi, si trasforma da obbligo legale a vantaggio competitivo, offrendo alle aziende l’opportunità di rafforzare la fiducia dei clienti e di posizionarsi quali leader responsabili nel proprio settore.

Valutazione del rischio e conformità

La valutazione del rischio assume un ruolo centrale nelle strategie aziendali, orientando le organizzazioni verso una gestione più consapevole e proattiva delle minacce informatiche: la normativa vigente, tra cui il Regolamento Generale sulla Protezione dei Dati (GDPR) dell’Unione Europea, impone alle aziende di adottare un approccio basato sul rischio per la sicurezza dei dati, richiedendo un’analisi dettagliata dei potenziali pericoli che possono compromettere le informazioni personali dei cittadini. Le aziende, in risposta, hanno integrato sistemi avanzati per la gestione dei rischi, spesso avvalendosi di soluzioni software che permettono di identificare, valutare e mitigare i rischi in modo efficiente: un esempio significativo è rappresentato dall’implementazione di sistemi di Security Information and Event Management (SIEM), che aggregano ed analizzano i dati di log da diverse fonti all’interno dell’infrastruttura IT, fornendo una visione omnicomprensiva delle potenziali vulnerabilità e delle minacce in atto.

Le normative richiedono in aggiunta che le aziende non solo identifichino e mitighino i rischi ma anche che dimostrino la conformità attraverso documentazioni dettagliate e audit regolari: ciò ha portato all’adozione di framework quali l’ISO/IEC 27001, che fornisce un modello per stabilire, implementare, mantenere e migliorare continuamente il sistema di gestione della sicurezza delle informazioni (ISMS). La conformità normativa, quindi, non si limita ad una mera esercitazione burocratica, ma diventa un elemento chiave della strategia di cybersecurity, influenzando le decisioni aziendali a vari livelli. Le organizzazioni che operano in settori altamente regolamentati, come quello finanziario o sanitario, sono particolarmente sensibili a tali aspetti, data l’elevata quantità di dati sensibili gestiti e le severe fattispecie previste in caso di violazioni.

Per garantire la conformità e la sicurezza, molte aziende hanno introdotto la figura del Data Protection Officer (DPO), il cui ruolo è stato enfatizzato dal GDPR. Il DPO ha il compito di supervisionare le strategie di protezione dei dati, assicurando che le politiche e le pratiche aziendali siano in linea con le normative vigenti: un ruolo che si rivela cruciale per muoversi efficacemente nel complesso panorama normativo e per guidare l’organizzazione attraverso le necessarie valutazioni con l’imprescindibile obiettivo della riduzione dei rischi.

La crescente enfasi sulla valutazione del rischio e sulla conformità ha spinto le aziende ad investire in formazione e sviluppo delle competenze del personale IT, riconoscendo come la sicurezza dei dati sia una responsabilità condivisa estesa ben oltre il reparto IT: programmi di formazione continua, simulazioni di attacchi phishing e workshop su best practice di sicurezza sono diventati elementi comuni nei piani di formazione aziendale.

Investimenti in sicurezza

L’adozione di regolamenti più rigorosi in materia di cybersecurity ha portato le aziende a rivedere e spesso aumentare significativamente gli investimenti in sicurezza informatica: una tendenza che riflette la crescente consapevolezza di come le minacce informatiche non siano solo tecnicamente avanzate ma possano anche avere impatti finanziari devastanti e danneggiare la reputazione aziendale.

Le imprese stanno, quindi, allocando maggiori risorse per l’acquisto di tecnologie all’avanguardia, quali sistemi di rilevazione e risposta avanzati (Endpoint Detection and Response, EDR) e soluzioni basate sull’intelligenza artificiale per il rilevamento delle minacce in tempo reale. Vi è inoltre un’enfasi crescente sull’adozione di servizi di sicurezza gestiti (Managed Security Services, MSS) che offrano monitoraggio e gestione della sicurezza 24/7, liberando da tali attività le risorse interne consentendo loro di concentrarsi su altre iniziative strategiche. Un esempio notevole di investimento in sicurezza è rappresentato dalla decisione di JPMorgan Chase di raddoppiare la sua spesa per la cybersecurity a seguito di un attacco informatico subito nel 2014: un aumento che ha portato il budget annuale di sicurezza della banca ad oltre 500 milioni di dollari, sottolineando l’impegno dell’azienda a proteggere i propri sistemi e dati dai cybercriminali.

Va sottolineato, infine, come gli investimenti non si limitino alla tecnologia ma includano anche l’infrastruttura fisica, quali i centri dati sicuri e le risorse umane, ed attraverso la creazione di gruppi dedicati alla sicurezza informatica che lavorino in sinergia con tutte le funzioni aziendali onde garantire una copertura completa.

Formazione e consapevolezza

Parallelamente agli investimenti in tecnologia, le aziende riconoscono l’importanza critica della formazione e della sensibilizzazione dei dipendenti riguardo alle questioni di sicurezza informatica: i dipendenti sono spesso considerati l’anello più debole nella catena della sicurezza, principalmente a causa di errori involontari o di mancanza di conoscenza su pratiche sicure online.

Iniziative di formazione, quali programmi di sensibilizzazione sulla sicurezza, simulazioni di phishing e corsi su come gestire in modo sicuro le informazioni aziendali, sono diventate standard nelle organizzazioni di tutte le dimensioni. Tali iniziative mirano a fornire ai dipendenti le conoscenze e le competenze necessarie per riconoscere e prevenire potenziali minacce informatiche. Esempio emblematico di un approccio innovativo alla formazione sulla sicurezza è quello adottato da SANS Institute con il suo programma “Securing The Human”: il programma offre una serie di moduli di formazione che coprono diversi aspetti della sicurezza informatica, dalla gestione delle password alla sicurezza della posta elettronica, ed è progettato per rendere la formazione accessibile e coinvolgente per i dipendenti di vari livelli e reparti.

La continua evoluzione delle minacce informatiche richiede che tali programmi di formazione siano regolarmente aggiornati onde riflettere le nuove tecniche di attacco e le migliori pratiche di difesa. La gamification della formazione sulla sicurezza, che utilizza elementi di gioco per aumentare l’engagement e l’apprendimento, sta inoltre guadagnando popolarità quale metodo efficace per aumentare la consapevolezza sulla sicurezza tra i dipendenti.

Implicazioni per la protezione dei dati

La protezione dei dati si impone come un imperativo ineludibile per entità governative ed aziende di ogni settore: l’incessante moltiplicarsi di interazioni virtuali e di scambi dati online ha elevato la gestione e la salvaguardia delle informazioni personali ad una priorità assoluta. In tale contesto, il ruolo delle normative sulla protezione dei dati assume una rilevanza critica, fungendo da baluardo contro l’uso improprio delle informazioni e come garante della privacy individuale.

Le normative avanzate in materia di protezione dei dati, emergenti a livello globale, delineano un quadro giuridico stringente, volto a disciplinare la raccolta, l’uso, la condivisione e la conservazione delle informazioni personali: leggi che non solo mirano a proteggere i diritti dei singoli ma si propongono altresì di instillare una cultura della privacy all’interno delle organizzazioni, promuovendo pratiche trasparenti e responsabili nel trattamento dei dati.

L’adozione di tali normative implica una trasformazione sostanziale nelle operazioni aziendali, spingendo le entità a riconsiderare le proprie politiche ed i propri sistemi di sicurezza dati. L’obiettivo è duplice: prevenire le violazioni dei dati, sempre più frequenti e sofisticate, e consolidare la fiducia dei consumatori, sempre più consapevoli dell’importanza della privacy. In tale scenario, la protezione dei dati personali diventa un elemento chiave nella costruzione di relazioni solide e durature con i clienti, nonché un fattore distintivo nel competitivo mercato globale: la capacità di un’organizzazione di adattarsi efficacemente alle normative e di implementare strategie di sicurezza dati all’avanguardia rappresenta oggi un vantaggio competitivo inestimabile, oltre che un obbligo legale.

Protezione dei dati personali

L’avvento e l’evoluzione delle leggi sulla protezione dei dati hanno trasformato il paesaggio della cybersecurity, ponendo la protezione dei dati personali al centro delle politiche aziendali e delle strategie governative globali. In tale nuova era normativa, iniziative quali il Regolamento Generale sulla Protezione dei Dati (GDPR) dell’Unione Europea ed il California Consumer Privacy Act (CCPA) negli Stati Uniti hanno ridefinito i principi di responsabilità e trasparenza che le organizzazioni devono seguire per garantire la sicurezza dei dati personali.

Il GDPR, in particolare, ha stabilito nuovi standard per la raccolta, l’archiviazione ed il trattamento dei dati personali, introducendo concetti quali il “consenso esplicito” ed il “diritto all’oblio”: normative che richiedono che le aziende implementino misure tecniche ed organizzative avanzate per proteggere i dati personali da perdite, distruzione, alterazione ed accessi non autorizzati. Le organizzazioni sono inoltre tenute a notificare le autorità di regolamentazione e gli interessati in caso di violazioni dei dati, spesso entro tempi molto stretti. Un esempio significativo di come le aziende si siano adattate a tali requisiti normativi è rappresentato dalle politiche di privacy by design e by default: approcci che richiedono che la protezione dei dati personali sia integrata nella fase di sviluppo di prodotti e servizi e che le impostazioni predefinite garantiscano un elevato livello di privacy. Aziende quali IBM e Microsoft hanno pubblicamente dichiarato il loro impegno a rispettare i principi di privacy by design, ristrutturando i loro processi di sviluppo e le politiche aziendali onde garantire la conformità normativa.

La crescente enfasi sulla protezione dei dati ha inoltre portato alla proliferazione degli addetti alla protezione dei dati (DPO), figure professionali specializzate incaricate di sovrintendere alle strategie di protezione dei dati ed alla conformità normativa all’interno delle organizzazioni: un ruolo che è diventato obbligatorio per molte organizzazioni aderenti al GDPR, sottolineando l’importanza di una gestione competente e dedicata della protezione dei dati.

La risposta del settore alla necessità di proteggere i dati personali non si è limitata alla conformità normativa, bensì ha anche stimolato l’innovazione nel campo della cybersecurity, con lo sviluppo di tecnologie avanzate quali la crittografia end-to-end, l’autenticazione multifattoriale e le soluzioni basate su blockchain onde garantire l’integrità e la sicurezza dei dati. Tali tecnologie sono diventate fondamentali per assicurare che i dati personali siano protetti efficacemente contro accessi ed utilizzi illeciti.

La protezione dei dati personali ha anche implicazioni significative per la fiducia dei consumatori: in un’epoca in cui le violazioni dei dati sono sempre più frequenti, la capacità di un’azienda di dimostrare un impegno serio nella protezione dei dati può diventare infatti un importante vantaggio competitivo. Studi quale quello pubblicato da Cisco nel suo “2020 Consumer Privacy Survey” hanno evidenziato come la privacy e la sicurezza dei dati siano diventate priorità chiave per i consumatori, influenzando le loro decisioni di acquisto e la loro fiducia nei confronti dei brand (marchi).

Risposta agli incidenti e notifica

La gestione degli incidenti di sicurezza e la tempestiva notifica delle violazioni sono diventate componenti cruciali delle strategie di cybersecurity nelle organizzazioni di tutto il mondo: la normativa in materia di protezione dei dati, attraverso direttive quali il GDPR ed il CCPA, ha imposto requisiti rigorosi per la notifica delle violazioni, obbligando le organizzazioni a rivedere e rafforzare i relativi processi di risposta agli incidenti.

La capacità di rispondere efficacemente ad un incidente di sicurezza inizia con la preparazione: le organizzazioni devono avere piani di risposta agli incidenti ben definiti e testati regolarmente. Tali piani delineano le procedure da seguire non appena venga rilevata una violazione, compresi i passaggi per contenere la violazione, valutare l’impatto e comunicare con le parti interessate. L’American National Standards Institute (ANSI) e l’Internet Security Alliance (ISA) hanno ad esempio pubblicato il “Framework for Improving Critical Infrastructure Cybersecurity”, che fornisce linee guida su come le aziende possano sviluppare ed implementare piani di risposta efficaci.

Le leggi sulla protezione dei dati richiedono che le organizzazioni notifichino le autorità regolatorie e, in molti casi, gli individui interessati, entro un determinato lasso di tempo dall’identificazione della violazione. Il GDPR, ad esempio, impone alle organizzazioni di notificare l’autorità di protezione dei dati competente entro 72 ore dalla scoperta di una violazione, a meno che la violazione non presenti un rischio per i diritti e le libertà degli individui. La tempestività e la chiarezza della comunicazione sono fondamentali in tali circostanze al fine di mitigare l’impatto sulla privacy degli individui e sulla reputazione dell’organizzazione.

La violazione dei dati di British Airways del 2018 è un caso di studio illuminante: l’azienda ha subito una significativa violazione dei dati che ha esposto le informazioni personali di circa 500.000 clienti. La violazione è stata notificata all’Information Commissioner’s Office (ICO) del Regno Unito entro il termine prescritto, ma l’incidente ha sollevato interrogativi sulla tempestività della comunicazione ai clienti interessati: British Airways è stata in seguito multata con una cifra record, evidenziando l’importanza di una gestione efficace e tempestiva degli incidenti di sicurezza.

Per supportare la risposta agli incidenti e la notifica, le tecnologie emergenti stanno giocando un ruolo sempre più importante: le soluzioni di intelligenza artificiale e machine learning, ad esempio, stanno diventando strumenti preziosi per il rilevamento precoce delle violazioni e l’analisi dell’impatto, consentendo alle organizzazioni di reagire più rapidamente e con maggiore precisione. Allo stesso tempo, piattaforme di comunicazione automatizzate possono facilitare la rapida disseminazione delle informazioni relative alle violazioni, assicurando che tutte le parti interessate siano informate in modo efficace e tempestivo.

Conclusioni

L’evoluzione normativa nel campo della cybersecurity segna una tappa cruciale nella lotta contro le minacce informatiche che continuano ad evolversi con una rapidità senza precedenti. L’implementazione di leggi e regolamenti rigorosi quali il GDPR, la NIS Directive, il California Consumer Privacy Act ed il Cybersecurity Act di Singapore ha gettato le fondamenta per un ambiente digitale più sicuro e resiliente. Tali strumenti normativi non solo hanno elevato gli standard per la protezione dei dati e la sicurezza delle infrastrutture critiche ma hanno anche incentivato le organizzazioni a rivedere e rafforzare le proprie strategie di cybersecurity.

La necessità di conformarsi a tali regolamenti ha spinto le aziende a valutare attentamente i rischi legati alla sicurezza delle informazioni, portando ad un aumento significativo degli investimenti in tecnologie e competenze in materia di cybersecurity: le organizzazioni sono diventate più diligenti nell’identificare le vulnerabilità dei loro sistemi e nel mettere in atto misure preventive volte a mitigare i rischi di potenziali violazioni dei dati. Ciò ha comportato l’adozione di soluzioni di sicurezza all’avanguardia, il rafforzamento delle infrastrutture IT e l’implementazione di più efficaci protocolli di risposta agli incidenti.

La crescente enfasi sulla formazione e sulla consapevolezza in materia di cybersecurity ha inoltre rivelato un cambiamento di paradigma nella percezione della sicurezza informatica, considerata non più solo una responsabilità del reparto IT ma un obbligo condiviso a tutti i livelli dell’organizzazione: la formazione regolare dei dipendenti su tematiche quali il phishing, l’ingegneria sociale e le migliori pratiche per la sicurezza online è diventata una componente essenziale delle strategie di sicurezza aziendale, contribuendo a creare una cultura della sicurezza che può significativamente ridurre il rischio di incidenti.

Le normative hanno infine enfatizzato l’importanza di una gestione trasparente e responsabile degli incidenti di sicurezza, obbligando le aziende a notificare le violazioni dei dati in tempi brevi: ciò ha migliorato la fiducia tra le organizzazioni ed i loro clienti, rafforzando al contempo la collaborazione tra il settore privato e le autorità pubbliche nella gestione delle minacce informatiche.

Guardando al futuro, è chiaro come l’evoluzione normativa nel settore della cybersecurity continuerà ad essere un fattore chiave nella definizione delle strategie di sicurezza delle organizzazioni: con l’espansione dell’Internet of Things (IoT), l’aumento del cloud computing e l’avanzamento delle tecnologie emergenti quali l’intelligenza artificiale ed il machine learning, le normative dovranno adattarsi di conseguenza onde affrontare efficacemente nuovi tipi di vulnerabilità e rischi per la sicurezza.

Bibliografia

  • ITU (2020). Global Cybersecurity Index 2020. Unione Internazionale delle Telecomunicazioni.
  • BBC News (2017). “WannaCry: What is ransomware and how can it be stopped?”.
  • Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati).
  • Direttiva UE 2016/1148 del Parlamento Europeo e del Consiglio del 6 luglio 2016 relativa a misure destinate a garantire un elevato livello comune di sicurezza delle reti e dei sistemi informativi nell’Unione.
  • California Legislative Information (2018). California Consumer Privacy Act (CCPA).
  • Cyber Security Agency of Singapore (2018). Cybersecurity Act 2018.
  • Kuner, Christopher, et al. “The GDPR: A Commentary.” Oxford University Press, 2019.
  • Voigt, Paul, e Axel von dem Bussche. “The EU General Data Protection Regulation (GDPR): A Practical Guide.” 1st Ed. Springer, 2017.
  • Tikk-Ringas, Eneken, Mika Kerttunen, e Kadri Kaska. “The Cyber Defence Regulation of the European Union: The NIS Directive.” NATO CCD COE Publications, 2017.
  • Tikk-Ringas, Eneken, et al. “The EU Cybersecurity Directive: Setting the Course for a More Secure European Union.” Tallinn Paper, No. 8, NATO Cooperative Cyber Defence Centre of Excellence, 2017.
  • Carr, Madeline. “The NIS Directive and the Potential for Pan-European Sectoral Cyber Resilience.” International Cybersecurity Law Review, Vol. 1, 2020.
  • California Consumer Privacy Act (CCPA) – Codice civile della California, Sezioni 1798.100-1798.199.
  • Schwartz, Paul M., e Solove, Daniel J. “The California Consumer Privacy Act: A Brief Guide.” California Law Review, 2020.
  • McLaughlin, Stephen. “The Impact of the California Consumer Privacy Act on the Global Data Protection Landscape.” Journal of Cyber Policy, 2020.
  • Cybersecurity Act 2018 (Act 9 of 2018). Singapore Statutes Online.
  • Tan, Benjamin. “Singapore’s Cybersecurity Act: A New Benchmark for the Region.” International Journal of Cybersecurity Law, 2018.
  • Menon, Suresh. “Implementing the Cybersecurity Act in Singapore: Challenges and Opportunities.” Asia-Pacific Journal of Information Technology and Multimedia, 2019.
  • ISO/IEC 27001:2013. “Information technology — Security techniques — Information security management systems — Requirements.”
  • Ponemon Institute, 2020. “Cost of a Data Breach Report 2020.”
  • SANS Institute, 2021. “Securing The Human: A Review of SANS Security Awareness Training.”
  • JPMorgan Chase & Co., 2015. Annual Report 2014. JPMorgan Chase & Co.
  • Gartner, 2020. “Magic Quadrant for Security Information and Event Management.”
  • Symantec, 2019. “Internet Security Threat Report.”
  • Cavoukian, A. (2011). Privacy by Design. The 7 Foundational Principles. Information and Privacy Commissioner of Ontario, Canada.
  • IBM. (2018). Commitment to Privacy by Design.
  • Microsoft. (2020). Privacy at Microsoft.
  • Voigt, P., & Von dem Bussche, A. (2017). The EU General Data Protection Regulation (GDPR): A Practical Guide. Springer International Publishing.
  • Schneier, B. (2015). Data and Goliath: The Hidden Battles to Collect Your Data and Control Your World. W. W. Norton & Company.
  • Cisco. (2020). 2020 Consumer Privacy Survey.
  • American National Standards Institute (ANSI) & Internet Security Alliance (ISA). (2014).
  • Information Commissioner’s Office (ICO). (2020).
  • Toubiana, V., Subramanian, L., Nissenbaum, H., & Barocas, S. (2014). “Adapting Machine Learning and Data Mining for the Fair and Legal Use of Big Data. FTC Workshop on Big Data: A Tool for Inclusion or Exclusion?”

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *