L’importanza del DDL Cybersicurezza
Dopo l’introduzione del GDPR, che ha rivoluzionato la gestione dei dati personali in Europa, l’Italia avanza con il DDL Cybersicurezza.L’importanza di leggi che regolamentano l’approccio della Pubblica Amministrazione verso le procedure di prevenzione, monitoraggio e risoluzione di situazioni che concernono la sicurezza informatica, trova il suo massimo apice nello sviluppo di pratiche che avranno un risvolto profondo sulla nostra cultura e quindi sulle nostre abitudini.
La sensibilizzazione alle minacce informatiche è ancora limitata, nonostante l’aumento esponenziale delle minacce stesse e gli effetti da esse provocate.
Dal 2016, con l’introduzione del GDPR, si è iniziato a riconoscere l’importanza di norme che tutelano i dati personali. Ora, con il DDL Cybersicurezza, l’attenzione si sposta sull’efficienza dei sistemi di sicurezza.
GDPR e Cybersecurity
Riassumendo, Il GDPR ha stabilito nuovi standard per la protezione dei dati personali nell’UE, introducendo misure come:
- Ambito d’applicazione: Il GDPR si applica a tutte le organizzazioni che trattano dati personali di individui residenti nell’UE.
- Consenso Esplicito: Il consenso per il trattamento dei dati dev’essere chiaro, specifico, informato e revocabile.
- Diritti degli interessati: per esempio Diritto di Accesso ai dati, rettifica, cancellazione, limitazione del trattamento, portabilità del dati e opposizione.
- Protezione predefinita fin dalla progettazione: Le organizzazioni devono implementare misure tecniche adeguate per garantire che i principi siano integrati alla progettazione di processi e sistemi
- Notifica delle violazioni: Devono essere notificate entro 72 ore dal momento in cui ne vengono a conoscenza
- Valutazione d’impatto sulla protezione dei dati (DPIA): Deve essere condotta per valutare i rischi e implementare misure per mitigarli
- Sanzioni: Fino a 20 milioni di Euro o il 4% del fatturato annuo globale
Chiaramente le soluzioni di sicurezza informatica hanno dovuto adeguare le misure tecniche e organizzative per garantire un sistema di sicurezza consono al GDPR, capace di assicurare riservatezza, integrità, disponibilità e la resilienza dei sistemi e dei servizi di trattamento. Il GDPR però non presenta nello specifico norme concentrate sui sistemi di sicurezza informatica stessi ma bensì su cosa dev’essere protetto, in che ottica e perché.
Il nuovo DDL Cybersecurezza in Italia
Approvato il 19 giugno 2024, il DDL Cybersicurezza introduce norme volte a regolarizzare e rafforzare le pratiche di sicurezza informatica nel paese, partendo dalla Pubblica Amministrazione.
A differenza del GDPR, che si focalizza sulla protezione dei dati, il DDL Cybersicurezza si concentra sull’efficienza dei sistemi di sicurezza. I punti chiave principali includono:
- Significativi aumenti di pena per reati quali: l’accesso abusivo a sistemi informatici (Un pubblico ufficiale verrebbe sanzionato con la reclusione da 2 a 10 anni) | Danneggiamento di informazioni, dati e programmi informatici (Reclusione da 2 a 6 anni)
- Incoraggiamento nella scelta di soluzioni di sicurezza Italiane e Europee e della NATO
- Incoraggiamento alla collaborazione Internazionale
- Educazione e formazione, sensibilizzazione pubblica
- Obbligo di notifica entro 24 ore per tutti i soggetti pubblici e privati presenti nel Perimetro di Sicurezza Nazionale Cibernetica (PSNC), nonché PA centrali, Regioni, Città metropolitane, comuni con più di 100.000 abitanti, società trasporto pubblico e aziende sanitarie locali
- Le PA devono attuare interventi rapidi in caso di vulnerabilità segnalate dall’ACN
- Uso della crittografia come strumento di difesa con l’istituzione, presso l’ACN, creazione centro nazionale di crittografia
- Nomina referente sicurezza nell’ufficio e nel responsabile per la transizione digitale
Confrontiamo il GDPR e il DDL Cybersicurezza
Le differenze tra il disegno di legge Cybersicurezza e il Regolamento Generale sulla Protezione dei Dati è fondamentalmente diviso in 3 macroaree:
- Focus principale
- Ambito Geografico
- Tipo di dati
Il DDL Italiano si concentra prettamente sulla protezione delle infrastrutture critiche e sulla risposta a minacce cibernetiche, è limitato all’Italia e si concentra su dati e sistemi critici per la sicurezza nazionale.
Il GDPR invece è incentrato sulla protezione dei dati personali e diritti degli individui sui loro dati ed è applicabile in tutta l’UE e alle organizzazioni che trattano dati di cittadini UE (indipendentemente dalla loro ubicazione). Ovviamente, i dati trattati sono di tipo personale degli individui.
Sia il DDL che il GDPR sono strumenti normativi che mirano a migliorare la sicurezza e la protezione nel contesto digitale, ma mentre il GDPR ha come obiettivi la protezione dei dati, i diritti degli individui e gli obblighi per i titolari, il DDL è volto a portare un miglioramento alle infrastrutture atte anche alla protezione dei dati stessi, attraverso l’implementazione di misure come l’istituzione di agenzie nazionali, motivando le collaborazioni tra pubblico e privato, rafforzando la capacità di risposta agli incidenti e puntando inoltre su formazione, sensibilizzazione e investimenti in Ricerca & Sviluppo.
In questo momento, quindi, c’è bisogno di soluzioni che abbiano caratteristiche complementari agli obiettivi delle normative.
Le caratteristiche per la massima conformità
Le caratteristiche chiave per raggiungere conformità massima con il GDPR e il DDL Cybersicurezza sono divise in aree:
- Protezione dei dati personali
- Utilizzo della crittografia per proteggere dati sia in transito che a riposo
- Accesso basato su ruoli (PAM), per garantire la giusta autorizzazione al giusto utente
- Gestione delle identità e degli accessi (IAM) per gestire e monitorare chi ha accesso a dati e sistemi
- Monitoraggio e rilevamento delle minacce
- Monitoraggio continuo per individuare attività sospette
- Tracciabilità massima per rilevare precisamente le minacce
- Risposta agli incidenti
- Piani di risposta agli incidenti per rispondere rapidamente e in modo efficace
- Strumenti di gestione degli incidenti per coordinare la risposta
- Formazione e sensibilizzazione
- Programmi di formazione continua del personale, al fine di aumentare la consapevolezza sulle pratiche di sicurezza.
- Simulazioni e test regolari per preparare il personale e rispondere adeguatamente
Le soluzioni di sicurezza informatica devono quindi essere già pronte per essere conformi con le normative e devono anche facilitare i compiti che esulano dalla loro struttura, come per esempio la nomina del responsabile della protezione dei dati o la notifica delle violazioni dei dati entro 24 ore dalla scoperta.
In tutti questi casi, Oplon Secure Access (OSA) è compliant e ti aiuterà a diventare conforme sia al DDL Cybersicurezza che al GDPR.
Diventare compliant: Oplon Secure Access
Grazie all’approccio ZTNA comprendente features di MFA, PAM e crittografia, per proteggere dati sia in transito che a riposo, OSA gioca un ruolo vitale nella protezione delle informazioni e degli accessi alle infrastrutture. Un ulteriore vantaggio nella soluzione è dato dall’abilità di monitoraggio continuo e dalla tracciabilità delle attività nell’ambiente grazie anche alla possibilità di registrare le azioni svolte.
Il metodo di configurazione delle features è stato strutturato attraverso i concetti ‘efficienza’ e ‘facilità’, il che rende estremamente semplice l’assorbimento delle informazioni e per estensione, facilita la parte di formazione ed educazione del personale tecnico. Un’altra particolarità fondamentale è quella della data ownership: visto che l’installazione della soluzione è esclusivamente fatta nei sistemi dell’azienda utilizzatrice, senza utilizzo di qualsiasi applicativo di proprietà di terzi, la notifica di una possibile esfiltrazione può essere fatta benissimo entro le 24 ore dall’avvenuta conoscenza del fatto, e quindi ben sotto le 72 ore previste dal GDPR.
Oplon Networks è una soluzione ‘Made In Italy’ che collabora in progetti Europei volti alla standardizzazione dei sistemi di sicurezza nelle nazioni del continente, il che va a beneficiare qualsiasi organizzazione che scelga questa soluzione, viste le direttive presenti nelle nuove normative.
Infine, Oplon Secure Access fa un passo oltre materializzando un concetto che rende approcci olistici come ZTNA un vero e proprio prodotto d’utilizzo: ‘In-browser converging resources’. Convergiamo le risorse da raggiungere attraverso metodologie leader nel mercato della sicurezza informatica in un unico punto, per rendere l’accesso e l’utilizzo estremamente protetti, sicuri e facili.
Oplon Secure Access: ‘Accedi in sicurezza dal browser a qualsiasi servizio, ovunque tu sia’