Data storageSecurity managementSicurezza

Anche i Cda delle aziende dovranno pensare alla cybersecurity

Giornalista professionista dal 2000. Da 15 anni, Stefano si occupa di giornalismo Ict maturando competenze anche nel consumer electronics. Stefano ha iniziato la sua esperienza giornalistica nel 1996 presso la redazione economica di ItaliaOggi.

Analisi del Regolamento Ue sul trattamento dei dati personali in vigore dal 25 maggio 2018. Alcuni aspetti che devono far riflettere le aziende

Se da un lato, si è sempre pensato che la cybersecurity fosse appannaggio dei dipartimenti It delle aziende, oggi o quanto meno nel breve/medio periodo, non sarà più così.  Alla luce del nuovo regolamento europeo sulla protezione dei dati personali, il 2016/679 approvato in via definitiva il 14 aprile 2016 e pubblicato il 4 maggio 2016 sulla Gazzetta Ufficiale dell’Unione Europea, anche i Consigli di amministrazione (Cda) delle società o i rappresentati legali delle stesse dovranno avere un occhio di riguardo nei confronti della sicurezza informatica.  Stefano Minini è Risk & Advisory Services Partner di BDO Italia, esperto su queste tematiche, ha spiegato alcuni passaggi chiave del regolamento.

In primis definisce  “un tentativo chiaro e lodevole, quello del legislatore comunitario, di razionalizzare una normativa tuttora vigente in ogni stato membro e in un momento storico in cui la sicurezza informatica aveva bisogno di essere regolamentata a livello generale dato che le normative nazionali scontano un certo tipo di territorialità mentre grandi gruppi internazionali necessitano di affrontare a livello di business diversi stati europei senza il rischio di infrangere la normativa nazionale”, spiega.

Stefano Minini, BDO, privacy
Stefano Minini

“Le normative finora vigenti sono orientate al processo di adeguatezza normativa, il nuovo regolamento si basa su concetto diverso: ogni azienda deve valutare il settore di appartenenza, le minacce al proprio livello di rischio e dotarsi di misure tecniche adeguate. Per esempio, il settore manifatturiero, produttore di beni, è meno sensibile e diverso rispetto al settore finanziario che vive sull’utilizzo evoluto delle informazioni”, spiega Minini. Il regolamento è già stato pubblicato in Gazzetta Ufficiale Europea ma da qui al 25 maggio 2018 le aziende non solo si aspettano delucidazioni ulteriori ma anche chiarimenti su come applicare correttamente il regolamento. “Si pensi solo alla metodologia con cui andare a quantificare l’aspetto sanzionatorio. Si ricordi, infatti, che le sanzioni possono arrivare fino al 4% del fatturato annuo di un’azienda!”. Un altro aspetto importante riguarda gli investimenti in sicurezza informatica decisi dai Cda o dai rappresentati legali delle società che non sarebbero più solo appannaggio dei responsabili informatici ma indurrebbero a realizzare dei report più precisi e accurati. “Si pensi alla perdita di parti significativi di dati non solo a causa di attacchi cibernetici ma anche a causa di errori umani dettati dalla superficialità nel trattamento del dato”, spiega Minini.

Un aspetto molto importante contenuto nel nuovo regolamento Ue è il registro del trattamento. Il tema è fare valutazione di tutti i dati a disposizione delle aziende, sia di natura fisica, sia di natura informatizzata e censirne anche il trattamento. Quindi, il legislatore dovrà definire quali sono i dati da gestire e a quali trattamenti sono soggetti, quali le funzioni aziendali che gestiscono i dati e gli asset con cui i dati sono gestiti. privacy“La novità sta nel fatto che le aziende, oltre al registro del trattamento e all’identificazione con cui i dati vengono gestiti, dovranno essere in grado di inserire i rischi a cui questi dati potrebbero essere potenzialmente esposti. Qualsiasi attività gestionale relativa ai dati può essere orientata correttamente solo se l’azienda ha una fotografia chiara dei dati che sono gestiti nell’ambito dell’attività d’impresa dalla quale si percepisce chiaramente i rischi a cui i dati sono sensibili. Come dice il Regolamento Ue all’articolo 32 bisogna adottare misure tecnologiche e organizzative adeguate ai livelli di rischio: la profondità delle misure da adottare è funzione dei profili di rischio propri di ogni comparto produttivo. Nei settori “data intensive” gli investimenti sono già partiti mentre in settori più tradizionali dovranno essere oggetto di policy da parte dei Cda nei prossimi mesi. In contesti a basso rischio, a parità di conseguenze in caso di perdita dei dati, le misure tecniche e organizzative da adottare per la protezione dei dati saranno di più semplice implementazione rispetto a contesti molto più sensibili. Si pensi a un’azienda che opera in ambito distributivo sia attraverso canali tradizionali, sia online: potenzialmente adotterà strumenti di relazione con i clienti basati sull’evoluzione dei canali online e social networking complessi”, conferma Minini.

Ciò che sembra certo è che le aziende non possano aspettare fino al 25 maggio 2018 per adeguarsi, ma devono partire ora, almeno con la valutazione dei rischi.

Partecipa alla nostra inchiesta: La tua azienda adotta soluzioni cloud?

Whitepaper: Vuoi restare aggiornato su questi temi? Scarica il nostro whitepaper: Come difendersi…dagli antivirus