La sicurezza dei dati e la conformità alle normative sono temi cruciali per tutte le aziende, indipendentemente dalle loro dimensioni e dal settore in cui operano. Tuttavia, spesso si sentono frasi come “abbiamo sempre fatto così” o “la NIS2 sarà un flop come il GDPR”, che sottovalutano l’importanza di adottare misure di sicurezza adeguate e di adeguarsi alle normative vigenti. In questo articolo, esamineremo i rischi che le aziende corrono quando decidono di non investire sulla sicurezza dei dati e di non trattare correttamente le informazioni.
Spesso durante le call o durante gli audit, parlando di trattamento dati e di sicurezza degli stessi, si sente spesso la famosa frase “eh ma avvocato noi da sempre facciamo così” e ancora “la NIS2 sarà un flop così come lo è stato il GDPR“… e potrei continuare all’infinito.
E il problema si complica quando a dirlo sono addirittura i consulenti che invece di supportare i propri clienti nell’implementazione si “abbassano” a frasi di questo tipo pur di prendere o non perdere il cliente. Ma siamo tutti così sicuri di queste frasi o ce le diciamo perché ormai è un luogo comune?
Siamo davvero così sicuri di poter tenere delle misure di sicurezza orrende (sì, esatto, orrende, perché è questo di cui si parla in molte aziende anche strutturate!!) e continuare a lavorare?
Facciamo un esempio così capiamo meglio.
Sappiamo già (e comunque lo approfondiremo in un altro articolo) che a brevissimo entrerà in vigore la direttiva NIS2 (esattamente il 17 ottobre 2024) e nel perimetro di questa normativa entreranno, da statistiche nazionali, almeno 50.000 aziende. Intendo nel perimetro di applicazione della NIS2 senza considerare chi vi potrà rientrare nell’ambito della supply chain (ergo catena di fornitura, cioè io sono tenuto ad applicare la NIS2 e quindi richiedo i requisiti di questa norma a tutti i fornitori che intenderanno lavorare con me).
Fatta questa premessa, potremmo già ipotizzare il numero di aziende che rientreranno nel perimetro o per applicazione diretta e quante ci potrebbero rientrare per applicazione indiretta (ovvero sulla base della catena di fornitura).
È evidente, quindi, anche per chi poco mastica di questa materia, il rischio a cui ci esponiamo nel caso in cui continuiamo ad adottare misure inadeguate. Vediamo insieme questi rischi.
RISCHI PER LE AZIENDE CHE DECIDONO DI NON INVESTIRE SULL’ADOZIONE DI MISURE DI SICUREZZA ADEGUATE O NON TRATTANO CORRETTAMENTE I DATI:
1) Il primo rischio è quello maggiormente impattante e con maggiori conseguenze (legali, informatiche e di business): il rischio di subire un ATTACCO INFORMATICO. Premesso che, in ambito informatico, non si può né si riesce ad abbattere il rischio al 100%, è evidente che più le misure della mia azienda sono inadeguate, non aggiornate e non continuamente revisionate, più il rischio di attacco informatico aumenta. A ciò si aggiunga che se non faccio mai formazione e non sensibilizzo mai i miei dipendenti o collaboratori (che sono il mio firewall umano), più la percentuale aumenta.
Ricordiamoci che negli ultimi mesi gli attacchi informatici sono aumentati in misura notevole e aumenteranno sempre più, quindi va tenuta alta la guardia;
2) Il secondo rischio è quello legato alla catena di fornitura (lo abbiamo accennato prima). Se io voglio lavorare con un cliente che applica la NIS2 (oltre il GDPR e altre normative) e questo, con un questionario o altro sistema di valutazione del fornitore, mi richiede l’applicazione di determinate misure di sicurezza e io non le ho, il risultato è evidente: o mi adeguo o NON LAVORO con realtà simili!
3) Rischio sanzioni per non ottemperanza di norme di legge. Questo rischio è legato il più delle volte a un comportamento errato del titolare del trattamento, ovvero vi sono norme che vanno applicate ma io titolare, volutamente o per superficialità o per trascuratezza o perché non voglio pagare un consulente (e aggiungete voi altri motivi), decido di non adeguarmi alla normativa vigente (sia GDPR, NIS2 ecc). O dato che voglio pagare poco, faccio qualche adempimento qua e là sperando che basti.ATTENZIONE PERCHÉ UN ADEMPIMENTO PARZIALE NON EQUIVALE A CONFORMITÀ E PONE A RISCHIO SANZIONI!
Anzi, a parere di chi scrive, una conformità parziale (deleghe fatte male, adempimenti lacunosi, nomine o designazioni ad autorizzati non sottoscritte o sottoscritte senza che la forma corrisponda alla sostanza, e potrei continuare per ore) mette potenzialmente più a rischio di una non conformità totale, anche da un punto di vista psicologico, e mi spiego meglio.
Nella non conformità totale il titolare SA di non applicare la norma (o le norme) e quindi in caso di ispezione e conseguente sanzione la responsabilità è completamente del titolare senza se e senza ma.
Nella conformità parziale, invece, nei casi indicati sopra, il titolare CREDE di essere a posto, di essere compliant, e quindi non aggiorna le misure, non forma il suo personale, non differenzia la formazione tenuto conto dei dati trattati e chi più ne ha più ne metta. Ergo continua a pensare di essere a posto quando in realtà non lo è! E questo è davvero pericolosissimo!
La domanda, quindi, sorge spontanea!
Sei effettivamente ed efficacemente conforme? Sottoponi a audit continui la tua realtà? Aggiorni costantemente le tue misure di sicurezza? Coinvolgi concretamente il tuo IT, fai audit con lui e ascolti fattivamente quello che ti consiglia?
Se la risposta è NO o hai dubbi sulla stessa, CONTATTACI!
In conclusione, è fondamentale che le aziende prendano sul serio la sicurezza dei dati e la conformità alle normative. Sottovalutare questi aspetti può portare a gravi conseguenze, come attacchi informatici, perdita di opportunità di business e sanzioni. È essenziale affidarsi a professionisti competenti che possano guidare l’azienda nel percorso di adeguamento e di continuo miglioramento delle misure di sicurezza.
Non aspettare che sia troppo tardi! Agisci ora per proteggere la tua azienda e i tuoi dati. Contatta il nostro team di esperti in sicurezza informatica e conformità normativa. Saremo lieti di offrirti una consulenza personalizzata per valutare lo stato attuale della tua azienda e sviluppare un piano d’azione su misura per garantire la tua conformità e mitigare i rischi. Prenota subito una chiamata gratuita con i nostri specialisti e fai il primo passo verso una maggiore sicurezza e tranquillità per il tuo business. Non rimandare, la sicurezza dei tuoi dati e la reputazione della tua azienda sono troppo importanti per essere lasciate al caso. Contattaci oggi stesso.
Avv. Clementina Baroni
Cybersecurity Manager Dpo e Lead Auditor 27001
Commenti recenti