Come sappiamo il 16 gennaio 2023 è entrata in vigore la direttiva NIS2 e il 17 ottobre 2024 è il termine per il recepimento della NIS2 da parte degli Stati membri. Le disposizioni di quest’ultima troveranno piena applicazione a decorrere dal 18 ottobre 2024.
La direttiva NIS2 ha, come sappiamo, lo scopo di garantire un livello elevato di cybersicurezza all’interno dell’Unione europea.
La cybersicurezza è un obiettivo primario e fondamentale che ogni azienda si deve dare, gestendo la propria organizzazione interna e facendo sì che la stessa sia coordinata non solo con la normativa in tema di sicurezza informatica ma con tutte le altre normative che possono coinvolgere l’azienda.
E quali normative possono coinvolgere l’azienda?
Le normative che si prenderanno in considerazione in questo articolo sono solamente le principali e sono quelle che coinvolgono il trattamento dei dati, la sicurezza degli stessi, la sicurezza delle informazioni e i comportamenti illeciti che potrebbero derivare da un’errata applicazione di dette normative.
La prima normativa che dev’essere presa in considerazione in questo approccio integrato è senza dubbio il GDPR, cioè il regolamento europeo in tema di trattamento dei dati.
Altra normativa di fondamentale importanza è la ISO 27001:2022 in tema di sicurezza delle informazioni.
Non sarà concepibile implementare la documentazione e le policy NIS2 senza tenere conto di queste normative e senza tenere conto dei principi fondamentali in esse contenuti e degli strumenti di lavoro che le stesse offrono.
Questo perché in azienda tutti trattiamo dati (anche se molti ancora sembra che non se ne rendano conto!). Molti sono dati personali (pensiamo al nome, al cognome, alla mail, ai dati di contatto, ai dati che lasciamo quando accediamo ad un sito web ecc.). Spesso trattiamo dati particolari, quindi dati particolarmente sensibili (ad esempio alcuni dati dei dipendenti, ma non solo). Altre volte abbiamo a che fare con informazioni che magari non contengono dati ma che hanno comunque un’importanza fondamentale per la vita dell’azienda (si pensi a progetti particolari, brevetti, contratti – che peraltro possono contenere dati – o altre informazioni anche informatiche che fanno parte del patrimonio informativo aziendale).
Tutti questi dati e informazioni possono essere trattati sia in modalità cartacea che in modalità informatica e devono essere trattati in modo sicuro, trasparente e corretto.
E questo è il primo appiglio di collegamento.
Nella redazione della mia documentazione, delle mie procedure GDPR e 27001 (qualora abbia adottato in azienda questo sistema di gestione), andrò a coordinare il tema del trattamento di tutti questi dati e di queste informazioni con le policy NIS2 che mi consentiranno di implementare, monitorare, verificare e aggiornare costantemente le misure di sicurezza tecniche, operative ed organizzative adottate dall’azienda.
Queste procedure andranno, altresì, coordinate con altre normative fondamentali, quali per esempio il d.lgs. 231/01 in tema di responsabilità amministrativa. Detta normativa contempla vari reati presupposto e tra questi si annovera l’accesso abusivo ai sistemi informatici.
Orbene, recentemente la Cassazione con sentenza nr. 40295 del 2022 ha riconosciuto il reato di accesso abusivo ad un sistema informatico per un dirigente che si era fatto dare le password da un suo collaboratore sottoposto per accedere ai dati e questo senza un’autorizzazione da parte del datore di lavoro.
Detta prassi errata è abbastanza consolidata nelle aziende dove i vertici apicali (e a scalare anche i ruoli subordinati) credono di poter accedere dove vogliono e ai dati che vogliono, anche utilizzando credenziali altrui senza autorizzazione.
Detto comportamento, abbiamo detto, è completamente errato in quanto le credenziali di accesso sono chiavi personali e se il titolare le attribuisce ad un soggetto o a più soggetti è perché solo quei soggetti, e non altri, vi possono accedere.
Si aggiunga che gli accessi, il più delle volte, sono tracciati tramite dei file di log e il file di log, in tal caso, risulterebbe associato al soggetto dotato della relativa chiave di accesso. In tal modo, quindi, emergerebbe falsamente che l’accesso fosse stato operato dalla dipendente quando in realtà veniva effettuato dal dirigente.
Sembrano concetti scontati e banali, quando in realtà ripetutamente ci si scontra con queste situazioni.
E in un caso come questo come si sarebbe potuti intervenire ex ante per rispettare la NIS2, il GDPR e la ISO 27001?
Per esempio prevedendo una procedura organizzativa accurata e dettagliata sugli accessi e sui diritti di accesso, sull’attribuzione corretta delle credenziali di accesso (c.d. password), nonché una procedura legata ai ruoli aziendali. Si poteva, altresì, implementare un regolamento sui sistemi informatici per dare istruzioni operative ai soggetti coinvolti. Infine, stabilire misure di sicurezza tecniche efficaci atte a dimostrare l’applicazione corretta della procedura (ad esempio monitoraggio dei log di accesso, attribuzione di credenziali sicure e protette ecc.).
E si potrebbe continuare coordinando le procedure che abbiamo elencato con le normative vigenti in tema di diritto del lavoro (procedure disciplinari, redazione di mansionari ecc.) in modo da garantire la conformità anche a questa normativa.
Infine, ma non di minore importanza, formare tutti i soggetti sul rispetto delle procedure redatte e sulle normative in essere.
Conclusione
Se si vuole attuare un sistema aziendale efficace ed efficiente, non è più possibile prescindere, nella redazione di tutte le procedure e policy, da un’analisi comparata ed accurata di tutte le normative applicabili.
Il tutto dev’essere accompagnato da una formazione e sensibilizzazione costante per tutte le figure aziendali, partendo dai vertici apicali e a seguire a tutte le posizioni subordinate.
Avv. Clementina Baroni
Commenti recenti