ISO 27001:2022 – novità, come adeguarsi e punti di contatto con il GDPR

ISO 27001:2022

La ISO 27001:2022 rappresenta uno standard fondamentale per stabilire, implementare, mantenere e migliorare un sistema di gestione della sicurezza delle informazioni (ISMS). A partire dalla fine di ottobre 2022 sono state integrate delle variazioni dalle revisioni precedenti, introducendo anche nuovi controlli per affrontare le sfide emergenti nel panorama della cybersecurity.

Le novità introdotte dalla ISO 27001:2022

Una delle principali novità della ISO 27001:2022 è l’introduzione di un nuovo Annex A, che ha diminuito fino a 93 i controlli, suddivisi in quattro categorie:

  1. controlli organizzativi
  2. fisici
  3. relativi alle persone
  4. tecnologici.

Questi sono associati a diversi attributi, come il tipo di controllo, le proprietà della sicurezza delle informazioni, i concetti di cybersecurity, le capacità operative e il dominio della sicurezza. Inoltre, la norma presenta undici nuovi controlli che coprono argomenti cruciali come threat intelligence, sicurezza fisica, prevenzione delle fughe di dati e compliance con il GDPR.

La nuova ISO 27001:2022 promuove la resilienza attraverso il controllo ICT readiness for business continuity, che richiede alle organizzazioni di pianificare e testare la loro capacità di reagire a situazioni impreviste per garantire la continuità operativa. Questo controllo si basa sull’analisi d’impatto aziendale (BIA) e sull’identificazione degli obiettivi di tempo di recupero (RTO) e di punti di recupero (RPO) delle informazioni critiche per il business.

Come adeguarsi alla normativa

Per adeguarsi alla ISO 27001:2022, le organizzazioni devono valutare i loro sistemi esistenti, identificare le lacune rispetto ai nuovi requisiti e prendere le misure necessarie per migliorare la sicurezza delle informazioni. È consigliabile revisionare il piano di trattamento dei rischi, la dichiarazione di applicabilità, le politiche e le procedure aziendali e garantire che il personale sia adeguatamente formato sul sistema di gestione della sicurezza delle informazioni.

Quali sono i punti di contatto e le differenze con il GDPR?

Un altro aspetto importante è l’allineamento della ISO 27001:2022 con il GDPR. La norma introduce nuovi controlli come la cancellazione delle informazioni, il data masking e la prevenzione delle fughe di dati, che contribuiscono a garantire la conformità alle normative sulla privacy. ISO 27001 può quindi essere utilizzato come guida per aiutare le organizzazioni a raggiungere la conformità con il GDPR, poiché fornisce un quadro dettagliato per la gestione della sicurezza delle informazioni, aspetto fondamentale della protezione dei dati personali.

Entrambi inoltre richiedono una valutazione dei rischi e un approccio proattivo alla gestione dei dati e della sicurezza delle informazioni. Bisogna tuttavia sottolineare che ISO 27001:2022 è più ampio e non riguarda solo i dati personali, ma tutte le informazioni all’interno di un’organizzazione.

La ISO 27001:2022 rappresenta un importante strumento per affrontare le sfide della cybersecurity e garantire la protezione delle informazioni sensibili. L’allineamento con il GDPR e l’introduzione di nuovi controlli la rendono una risorsa preziosa per le organizzazioni che vogliono migliorare la loro sicurezza informatica ed essere conformi alla normativa.

Sai se la tua azienda è GDPR compliant? Contattaci per saperne di più.

Articolo realizzato in collaborazione con Orbyta Engineering

Cybersecurity: i trend del 2024

cybersecurity 2024

I maggiori trend del 2024 nello scenario della cybersecurity prevedono il crescente uso criminale dell’AI generativa e l’impatto dell’applicazione di normative come la NIS2: ecco cosa aspettarci.

Nel 2024, la cybersecurity assumerà un’importanza maggiore per diverse ragioni. Con il continuo avanzamento della tecnologia e l’ampia diffusione delle reti digitali, le minacce cyber diventano sempre più sofisticate e diffuse. Con sempre più dati e processi aziendali trasferiti online, la necessità di proteggere tali risorse diventa prioritaria per garantire la continuità operativa e la fiducia dei clienti.

Anche le normative sulla protezione dei dati personali e sulla sicurezza informatica saranno più rigorose. A livello europeo, l’introduzione della Direttiva NIS2 e altre leggi mirate alla cybersecurity impone alle aziende di adottare misure preventive e di conformarsi a standard più elevati, onde evitare rischi elevati e gravi sanzioni.

Per questi motivi, investire in cybersecurity diventa un elemento cruciale per la sostenibilità e la competitività.


Prospettive sul fronte della Cybersecurity nel 2024

Conoscere i trend emergenti è essenziale per mitigare e affrontare le sfide in arrivo nel panorama cyber in continua evoluzione.

Aumento del Cybercrime

Il 2024 sarà caratterizzato da un ulteriore aumento del cybercrime, alimentato dalla continua digitalizzazione in vari settori. Questo amplificherà gli ambiti e i metodi con cui i cybercriminali mireranno ad attaccare aziende e istituzioni pubbliche.

Tuttavia, i rischi associati alla digitalizzazione non devono scoraggiare l’adozione di tecnologie innovative, ma piuttosto spingere all’implementazione di misure efficaci per mitigare i pericoli, seguendo il principio di security by design. Si tratta di un approccio proattivo basato sull’integrazione della sicurezza dei sistemi informatici e dei prodotti digitali fin dalla fase di progettazione e sviluppo, anziché trattarla come un’aggiunta successiva o come una reazione ad una minaccia.

Questo implica una valutazione sistematica dei rischi, l’identificazione delle potenziali vulnerabilità e l’implementazione di contromisure adeguate.

L’adozione del principio della “security by design” aiuta a ridurre il rischio di violazioni della sicurezza e di compromissione dei dati, migliorando la resistenza complessiva dei sistemi alle minacce informatiche. Questo approccio è particolarmente importante in un contesto in cui gli attacchi cyber diventano sempre più sofisticati.

Applicazione della Direttiva NIS2

Per rafforzare le misure di cyber security è entrata in vigore il 17 gennaio 2023 e dovrà essere recepita dagli Stati membri UE entro il 18 ottobre 2024, la Direttiva NIS 2.

La nuova direttiva modifica la precedente NIS ed ha quale obiettivo quello di andare a creare una strategia comune e più forte tra gli Stati membri nell’ambito della cyber security. I vari stati dovranno impegnarsi nello sviluppo di piani nazionali per la sicurezza e di team specializzati nella materia.

Si tratta di una normativa che va ad aggiungersi ed integrarsi alle normative già presenti: GDPR, Regolamento DORA, Direttiva CER, Cyber Resilience Act, ed a livello nazionale al Perimetro di Sicurezza Nazionale Cibernetica.

In base alle nuove previsioni, verrà richiesto alle aziende di adottare delle misure di sicurezza più rigorose, nonché di adottare un sistema di segnalazioni più rapido. I fornitori di servizi digitali dovranno infatti notificare alle autorità gli incidenti entro 24 ore da quando ne sono venuti a conoscenza, contro le 72 ore attualmente previste dal GDPR.

Cosa comporta la violazione della normativa in termini di sanzioni?

La NIS 2 non prevede in modo specifico le sanzioni comminabili, ma fissa un massimo che corrisponde a 10 milioni di euro o il 2% del fatturato mondiale globale per i soggetti qualificati “essenziali” e 7 milioni o il 1,4% del fatturato mondiale globale per i soggetti “importanti”.

Non solo NIS 2

Il 30 novembre 2023 è stato raggiunto a livello europeo anche un accordo provvisorio sul Cyber Resilience Act relativamente alle nuove regole per proteggere i prodotti digitali nel territorio UE.

L’obiettivo del CRA è garantire che i dispositivi con funzionalità e componenti digitali siano sicuri nel loro utilizzo, resistenti alle minacce cyber e forniscano informazioni sufficienti sulle loro proprietà di sicurezza.

Ruolo dell’Intelligenza Artificiale (AI)

Il 2023 ha segnato l’inizio dell’interesse su larga scala per gli strumenti di AI generativa, trend destinato a consolidarsi nel 2024. L’utilizzo comune di tali strumenti diventerà la norma non solo nell’ambito lavorativo, ma anche nelle attività criminali. Questo implicherà una maggiore protezione da rischi e forme di attacco sia più specifici, che da quelli più tradizionali.

Sebbene le azioni automatizzate siano già impiegate per difendere i sistemi, soprattutto nei SOC, si prevede che gli attacchi basati sull’impersonificazione come i deep fake diventeranno più diffusi nel 2024.

L’AI ACT e la regolamentazione dell’intelligenza artificiale

Dallo sviluppo dell’intelligenza artificiale, non può che derivare la creazione della relativa normativa. L’idea fondamentale su cui si basa l’AI Act – approvato all’unanimità lo scorso 21 gennaio – è quello di regolamentare questa nuova tecnologia seguendo un approccio basato sul rischio.

Sostanzialmente, maggiori saranno i rischi legati al suo utilizzo, più le regole saranno rigorose e stringenti. Per esempio, per garantire una migliore protezione dei dati verrà previsto un obbligo a carico degli operatori di sistemi di AI ad alto rischio di effettuare una valutazione di impatto sui diritti fondamentali prima di utilizzare un sistema di AI.

Gli obiettivi specifici di detta normativa saranno:

  • assicurare che i sistemi di IA immessi sul mercato dell’Unione e utilizzati siano sicuri e rispettino la normativa vigente in materia di diritti fondamentali e i valori dell’Unione;
  • assicurare la certezza del diritto per facilitare gli investimenti e l’innovazione nell’intelligenza artificiale;
  • migliorare la governance e l’applicazione effettiva della normativa esistente in materia di diritti fondamentali e requisiti di sicurezza applicabili ai sistemi di IA;
  • facilitare lo sviluppo di un mercato unico per applicazioni di IA lecite, sicure e affidabili nonché prevenire la frammentazione del mercato.

Esternalizzazione dell’IT

Nel 2024 si assisterà a una maggiore esternalizzazione dell’IT e della gestione della sicurezza, data la crescente complessità tecnologica e la carenza di competenze interne. Questo comporterà un’adozione più diffusa dei servizi cloud, richiedendo una valutazione accurata e una gestione efficace per garantire la sicurezza dei dati e dei sistemi.

Nuove tecnologie di sicurezza

Il 2024 potrebbe segnare una svolta nell’abbandono dell’autenticazione basata solo su password a favore di metodi 2FA. Inoltre, il concetto di “zero trust” sarà sempre più discusso, sebbene molte aziende non abbiano ancora implementato adeguatamente le misure di sicurezza di base.

Il 2024 sarà un anno cruciale per la cybersecurity, con nuove sfide e opportunità che richiederanno una risposta innovativa e collaborativa da parte delle aziende. L’adozione di tecnologie avanzate e l’attenzione ai requisiti normativi saranno fondamentali per garantire una protezione efficace contro le crescenti minacce informatiche.

I tuoi dati aziendali sono davvero al sicuro? Contattaci per proteggere i tuoi sistemi.

Articolo realizzato in collaborazione con Orbyta Tax&Legal

Il DPO in Italia e in Europa, figura strategica nel GDPR

dpo gdpr

Con l’avvento del Regolamento Generale sulla Protezione dei Dati (GDPR) nel 2018, la figura del Data Protection Officer (DPO) ha assunto un ruolo di fondamentale importanza sia a livello nazionale che internazionale. Il regolamento ha introdotto una serie di nuove normative volte a garantire la privacy e la sicurezza dei dati personali dei cittadini europei, ponendo l’accento sulla responsabilità delle organizzazioni nel trattamento dei dati personali. In questo contesto, il DPO è emerso come una figura chiave per assicurare la conformità alle disposizioni del GDPR.

Ruolo del DPO nel GDPR

Noto anche come Responsabile della Protezione dei Dati (RPD), il DPO garantisce la tutela e la gestione appropriata delle informazioni personali. Il suo ruolo è quello di affiancare il titolare, gli addetti e i responsabili del trattamento, assicurando che la raccolta e la gestione dei dati avvengano in conformità con i principi e le direttive europee.

Professionista esperto nella protezione dei dati, si occupa di valutarne e organizzarne la gestione all’interno di imprese, enti o associazioni. La sua missione è quella di garantire che i dati siano trattati in modo legale e pertinente, rispettando le normative del paese in cui opera. Date le modalità prevalenti di acquisizione e gestione digitale dei dati, il Responsabile della Protezione dei Dati deve possedere competenze sia legali che informatiche.

Agisce infatti come consulente tecnico e legale con poteri esecutivi, contribuendo alla progettazione, verifica e mantenimento di un sistema organizzato di gestione dei dati personali. Collabora con i sistemi aziendali per implementare delle misure di sicurezza atte a proteggere i dati da rischi di distruzione, perdita, accesso non autorizzato o trattamento non consentito. La sua funzione non si limita solo alla consulenza, ma include anche il ruolo di mediatore tra l’organizzazione e le autorità competenti.

Le mansioni principali del DPO

In conformità con l’articolo 39 del GDPR, il DPO ha tre principali compiti: informare, sorvegliare e cooperare. Quando viene designato come “responsabile della protezione dei dati”, deve rapportarsi direttamente alla dirigenza e rispondere gerarchicamente ad essa. Il titolare e il responsabile del trattamento devono sostenere il DPO, fornendo tutte le risorse necessarie, come finanziamenti, personale e attrezzature.

L’organigramma aziendale può prevedere la presenza di uno o più responsabili della protezione dei dati, specialmente nelle grandi aziende e multinazionali. Questa struttura consente di affrontare le complessità legate alla gestione dei dati personali in contesti estesi.

L’articolo 39 del GDPR dettaglia ulteriormente i compiti del DPO. Tra questi l’informazione e il consiglio al titolare del trattamento, la sorveglianza dell’osservanza delle leggi europee sulla protezione dei dati e l’agire da punto di contatto con l’autorità di controllo per questioni legate al trattamento dei dati personali. Inoltre, deve seguire corsi di aggiornamento specializzati e operare in modo indipendente, evitando conflitti di interessi e mantenendo segretezza e riservatezza nell’adempimento dei suoi compiti.

Il contesto italiano e l’adozione del GDPR

In Italia, l’adozione del GDPR ha avuto un impatto significativo sulle pratiche aziendali e sul modo in cui le organizzazioni gestiscono i dati personali. Il DPO ha svolto un ruolo fondamentale nell’assistere le imprese italiane nell’adeguarsi alle nuove normative e nell’implementare politiche e procedure per garantire la conformità. Data la complessità delle disposizioni del GDPR e le potenziali sanzioni pecuniarie per la non conformità, molte aziende italiane hanno scelto di investire in risorse qualificate per ricoprire il ruolo di DPO. Le organizzazioni che non si conformano ai requisiti previsti dagli articoli da 37 a 39 del GDPR possono infatti ricevere multe fino a 10 milioni di euro o al 2% del fatturato di gruppo.

DPO interno o esterno?

La scelta tra un DPO interno ed esterno è un tema che merita attenzione, soprattutto considerando quanto emerso negli ultimi anni a livello operativo. Nominare un DPO interno offre il vantaggio di una migliore comprensione del contesto aziendale, che può favorire una gestione più efficace dei compiti. A lungo termine, mantenere un DPO interno non comporta inoltre i costi continui associati alla consulenza esterna.

In caso di violazioni dei dati o altre emergenze, un DPO interno interviene tempestivamente e coordina le risposte necessarie all’interno dell’organizzazione senza dover dipendere da risorse esterne.

D’altro canto, affidare i compiti strategici del DPO a un consulente esterno garantisce solitamente maggiore indipendenza. Tuttavia, è richiesta una conoscenza approfondita dell’organizzazione, raggiungibile attraverso un costante coordinamento con le figure chiave dell’azienda.

Va anche considerata l’espansione del ruolo del DPO in relazione alle nuove sfide legate all’utilizzo, alla protezione e alla valorizzazione dei dati, specialmente in considerazione dell’impatto e della diffusione dell’Intelligenza Artificiale in tutti i settori. L’Unione Europea ha avviato un ambizioso programma di innovazione legislativa nel campo tecnologico. Si propone infatti di affermare la propria leadership mondiale nella regolamentazione del digitale e dell’IA, seguendo il successo del GDPR.

Sai se la tua azienda è GDPR compliant? Contattaci per saperne di più.

Articolo realizzato in collaborazione con Orbyta People