Meno di un mese fa, lo scorso 28 gennaio, si è celebrata la Giornata Europea della protezione dei dati personali per sensibilizzare e promuovere l’importanza della privacy e della protezione dei dati personali. La sicurezza dei dati personali è ormai una questione con la quale tutti i soggetti pubblici e privati devono confrontarsi nella prassi quotidiana quando vogliono o devono trattare dati in qualsiasi contesto, soprattutto in un mondo che è sempre più digitalizzato e connesso. Lo scoppio della pandemia ha senza dubbio dato un’ulteriore forte scossa al digitale, con una crescente digitalizzazione dei servizi essenziali che tuttavia, al contempo, hanno rappresentato anche un catalizzatore per il crimine informatico di tutto il mondo. Un motivo in più per cui è diventato indispensabile aggiornare con una certa regolarità il panorama normativo.
Un quadro normativo in evoluzione. Una recente ricerca dell’Osservatorio Cybersecurity & Data Protection della School of Management del Politecnico di Milano ha posto l’accento sul quadro normativo europeo in materia di data protection e cyber security che si è evoluto negli ultimi anni grazie all’entrata in vigore, in particolare, del Regolamento generale (UE) sulla protezione dei dati personali 2016/679 (GDPR), della direttiva Nis e del Cybersecurity Act. Alla fine del 2020, la Commissione europea ha pubblicato un nuovo pacchetto di misure per realizzare un piano strategico sulla cyber security per i prossimi cinque anni volto ad aumentare la resilienza di reti e infrastrutture e contrastare il cybercrime. In Italia è stato adottato il nuovo insieme di norme relative al “Perimetro di sicurezza nazionale cibernetica”. Un’altra sfida cruciale, secondo gli esperti, riguarda il difficile rapporto tra innovazione tecnologica e data protection. In un’era che guarda costantemente alla sfera della digitalizzazione e al progresso tecnologico è necessario bilanciare saggiamente le opportunità offerte dalle nuove tecnologie con la necessità di mitigare i rischi insiti nelle stesse, utilizzando gli strumenti di tutela messi a disposizione dal framework normativo in materia di protezione dei dati: la trasformazione digitale e l’innovazione tecnologica, difatti, in assenza di adeguate misure di tutela per i soggetti interessati , produrrebbero anche un significativo squilibrio di potere ed effetti negativi per diritti e le libertà dei consumatori e cittadini.
Su questo fronte, ha rappresentato uno spartiacque l’avvento del già citato GDPR (General Data Protection Regulation) che ha abrogato le previgenti direttive europee e portato ad una armonizzazione delle normative a livello locale in materia di protezione dei dati personali, aumentando altresì la consapevolezza in tema di privacy anche al di fuori dei confini europei. È stato, però, un punto di partenza e non di arrivo sul frontedella regolamentazione. Come ricordano gli esperti di Deloitte, ad esempio tra i diritti introdotti dal GDPR, il diritto alla portabilità dei datiha rappresentato una significativa novità: i consumatori hanno oggi il diritto di ottenere la trasmissione diretta dei loro dati personali da un titolare del trattamento all’altro, e ciò ha implicato che le organizzazioni che trattano dati personali oggi devono sviluppare formati interoperabili che consentano detta portabilità. . Ma anche un’altra questione è fondamentale: “ogni organizzazione che elabora i dati personali deve assicurarsi che questi dati vengano adeguatamente protetti da modifica, perdita, furto, accesso non autorizzato mettendo in atto misure tecniche o organizzative adeguate”. Questione tanto importante che il GDPR include una espressa previsione che impone ai titolari del trattamento di notificare la violazione dei dati personali a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche.: quando si verifica una violazione della sicurezza dovrebbe essere segnalata all’autorità di controllo entro 72 ore.
Alcuni numeri e trend della cybersecurity. C’è poi tutto l’ampio capitolo della cybersecurity finito sotto pressione nel 2020 a causa delle scoppio della pandemia. Tornando ai numeri snocciolati a febbraio dall’Osservatorio Cybersecurity & Data Protection della School of Management del Politecnico di Milano, per il 40% delle grandi imprese sono aumentati gli attacchi informatici rispetto all’anno precedente. Complice la rapida e capillare diffusione del remote working e del lavoro agile, l’uso di dispositivi personali e reti domestiche nonché il boom delle piattaforme di collaborazione hanno aumentato le possibilità di attacco. Lo studio entra più nel dettaglio della questione, soffermandosi sulle competenze di security e data protection. La gestione della cybersecurity e della data protection richiede, infatti, profili e competenze specifiche. La data protection è gestita in modo più avanzato, con il data protection officer (dpo) presente nell’organico del 69% delle imprese e come figura esterna nel resto del campione. Nel 51% dei casi tale figura riporta direttamente al board e nel 52% dispone di un budget dedicato (+9% sul 2019).
L’impegno di Deloitte e le sue undici raccomandazioni. Sul fronte sicurezza Deloitte è in prima linea, in particolare ha risposto alla Consultazione Pubblica lanciata dall’Unione Europea per la revisione della direttiva sulla sicurezza delle reti e dei sistemi informativi (direttiva Nis). Una direttiva Nis che rappresenta il primo atto legislativo dell’UE nel campo della cyber security. Sebbene l’implementazione della stessa sia molto recente, ha già contribuito a rafforzare la resilienza dell’Unione, migliorando la gestione delle risorse disponibili per far fronte alle minacce cyber, il livello di preparazione in risposta agli attacchi, la cooperazione tra paesi e tra diversi settori economici, lo scambio di informazioni sugli attacchi, e la consapevolezza riguardo alla gestione del rischio.
In questo contesto di revisione della direttiva, Deloitte ha formulato undici raccomandazioni per sostenere la Commissione Europea. Innanzi tutto, invita ad adottare un approccio fondato sulla gestione del rischio per far fronte alle vulnerabilità informatiche, oltre che concentrarsi sulla gestione degli adempimenti di compliance , ma anche a sensibilizzare i consigli di amministrazione all’importanza della gestione del rischio cyber a livello aziendale. Presentando le sue raccomandazioni, esorta a promuovere maggiore armonizzazione relativamente alle tre aree principali della direttiva: identificazione degli operatori di servizi essenziali, dei requisiti di sicurezza, e condivisione di informazioni tra attori privati e pubblici, ma sprona anche a sviluppare una procedura comune e armonizzata per la segnalazione degli incidenti informatici, semplificando i requisiti normativi in ogni settore. Altro passo è quello di ridefinire l’ambito settoriale. In particolare, secondo Deloitte è importante raccogliere ulteriori informazioni sull’impatto della Direttiva nei settori già inclusi e classificarne la criticità attraverso un approccio fondato sul rischio. Inoltre, bisogna estendere i settori essenziali identificati dalla direttiva Nis solo nel caso in cui gli operatori di servizi essenziali appartenenti a tale settore siano presenti in tutti gli Stati membri
Nelle sue raccomandazione Deloitte consiglia inoltre di includere i Servizi di Sicurezza Gestiti (MSS) tra i fornitori di servizi digitali identificati dalla direttiva Nis, ma anche chiarire le responsabilità e i ruoli identificati all’interno del quadro di governance dei governi nazionali sulla sicurezza informatica per evitare conflitti di attribuzione tra le diverse istituzioni. Un ulteriore passo è quello di assegnare ai Cert (Computer Emergency Response Team) le competenze necessarie per guidare gli altri attori interessati nella risposta agli incidenti cyber e sviluppare attività di threat intelligence. E infine aumentare la cooperazione a livello europeo. Come? Assegnando più competenze e risorse a Enisa per facilitare la condivisione delle best practice necessarie ad affrontare le minacce cyber. in ultimo, garantire che il gruppo di cooperazione sulla Nis, attivo a livello europeo, promuova la condivisione delle informazioni tra operatori di servizi essenziali, fornitori di servizi digitali, e le autorità nazionali, agendo come punto di contatto strategico in ambito cyber.
Articolo di: Tommaso Stranieri, Partner – Deloitte Risk Advisory Corporate, Public & Private Market Leader & Francesca Santoro, Manager – Deloitte Risk Advisory
