Sei così sicuro che i fornitori che gestiscono i tuoi dati e le rendono possibili le tue attività siano così affidabili per rendere possibile la tua business continuity? E tu, azienda, sei a conoscenza anche del fatto che potresti essere tu soggetto a normative più ampie che vanno oltre il GDPR?
Qualsiasi imprenditore, oggi, grazie alle innovazioni tecnologiche e alle nuove metodologie di resa più efficace ed efficiente per lo sviluppo della propria attività aziendale, è obbligato a doversi rivolgere a fornitori esterni, soprattutto in ambito ICT.
I nostri fornitori che operano in ambito informatico e che quindi producono o forniscono servizi informatici per le nostre aziende sono soggetti che devono operare nei limiti delle normative nazionali ed internazionali per gestire potenziali rischi in termini di cybersecurity e protezione dei dati.
Particolare attenzione dobbiamo rivolgere a due normative di rilevanza internazionale: il regolamento DORA e la Direttiva NIS2 (Direttiva UE 2022/2555-da recepire in ambito nazionale entro il 17 ottobre 2024).
Il Regolamento DORA cerca di fare un po’ di ordine fra le normative “settoriali” emesse dalle varie autorità di vigilanza che presiedono il mondo finanziario e assicurativo, tanto che si applica alla quasi totalità dei soggetti che operano all’interno del mercato finanziario: non solo le banche, ma le imprese di investimento e le imprese di assicurazione, oltre agli operatori del mercato finanziario e ai loro fornitori.
Quindi la nostra azienda potrebbe non solo avere effetti circa l’applicazione di questa normativa nel caso in cui operasse nel mercato finanziario e assicurativo, ma anche se fossimo noi a fornire prodotti/servizi, in particolare ICT, per questi tipi di operatori.
La Direttiva NIS2 risponde all’esigenza di aggiornare e rafforzare il quadro normativo previsto dalla Direttiva NIS 1. La Direttiva NIS1 si applicava già agli operatori di servizi essenziali (OSE): soggetti pubblici o privati che rivestono un ruolo importante per la società e l’economia e forniscono servizi essenziali (comunemente identificate come “infrastrutture critiche”) e i fornitori di servizi digitali (FSD): Società che forniscono servizi di e-commerce, cloud computing o motori di ricerca (a meno che non siano PMI). Obiettivo della Direttiva NIS 2 è quello di eliminare le divergenze tra ordinamenti, rafforzando gli obblighi di cybersecurity, ampliando il numero di settori e soggetti coinvolti e aumentando la cooperazione tra gli Stati per raggiungere maggiore uniformità di applicazione. Spetterà comunque agli Stati definire, entro il 17 aprile 2025, un elenco dei soggetti essenziali e importanti che saranno chiamati a fornire le necessarie informazioni.
Alla luce di quanto detto, le normative GDPR, NIS2 e DORA hanno diversi punti comuni, fra qui:
- Governance e organizzazione interna: è necessario definire un modello organizzativo chiaro definendo i ruoli e le responsabilità dei soggetti interni all’organizzazione, definire policy e procedure per la corretta applicazione delle misure di sicurezza;
- Approccio basato sul rischio: tutte e tre le normative hanno il cosiddetto approccio “risk-based”. Tutte le attività da svolgere in ambito di protezione dei dati sono quindi da progettare e pianificare in seguito ai risultati ottenuti da una specifica analisi del rischio.
- Gestione degli incidenti: che si tratti di un incidente che riguarda dati personali (GDPR) o meno, si rende comunque necessario identificarlo, analizzare le cause che hanno portato alla violazione e valutare se le misure di sicurezza applicate fossero sufficienti ad evitarlo o a mitigare gli impatti;
- Fornitori e soggetti esterni: quando ci si affida ad un fornitore è necessario valutare che esso applichi misure di sicurezza adeguate alla protezione dei dati e delle informazioni così da avere una supply chain robusta.
Ciò comporta pertanto l’esigenza di tenere conto anche delle misure di gestione del rischio implementate dai propri fornitori e, a livello di governance, prevedendo verifiche costanti e puntuali su ciascuna terza parte coinvolta. Ma fai attenzione che potresti essere anche tu, non solo come fornitore, ma proprio come soggetto che svolge una determinata attività, ad esser soggetto a normative molto più stringenti e vincolanti.
Redatto da Avv. Clementina Baroni e Dott.ssa Luciana Conese
Contattaci per un preventivo gratuito.
Commenti recenti