Indice dei contenuti
I tragici avvenimenti di questo inizio di anno 2022 stanno dimostrando una volta di più come i conflitti si svolgano oramai su più piani e di quanto sia rilevante la c.d. “guerra informatica”.
Si tratta di temi sempre più importanti, con un incrocio tra protezione dei dati personali e protezione dei sistemi informatici, tramite i quali sono gestite le infrastrutture critiche nazionali e comunitarie.
Nell’ultimo triennio, l’Italia ha voluto dare una decisa accelerazione alla creazione di un perimetro di sicurezza nazionale, da un lato con un progressivo aumento delle attività incluse nel perimetro, dall’altro con una sempre più precisa definizione delle misure tecniche e organizzative da adottare e delle responsabilità per la mancata adozione.
Una ulteriore accelerazione deriverà dall’attuazione del PNRR, che vede la sicurezza cibernetica come pilastro fondamentale per lo sviluppo e la resilienza del sistema-paese.
In questo articolo parleremo, quindi, dello stato dell’arte e di come queste regole possono interessare la tua azienda.
Estensione del Perimetro di Sicurezza Nazionale
Rientra nel Perimetro di Sicurezza Nazionale Cibernetica qualunque soggetto pubblico o privato che fornisca un “servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato”.
Tra tali servizi rientrano in particolare le attività:
- strumentali all’esercizio di funzioni essenziali dello Stato;
- per l’esercizio e il godimento dei diritti fondamentali;
- per la continuità degli approvvigionamenti e l’efficienza delle infrastrutture e della logistica;
- di ricerca e relative alle realtà produttive nel campo dell’alta tecnologia e in ogni altro settore di rilievo economico e sociale, anche ai fini della garanzia dell’autonomia strategica nazionale, della competitività e dello sviluppo del sistema economico nazionale.
Se la tua azienda rientra in settori quali spazio e aerospazio, energia, telecomunicazioni, trasporti, economia e finanza, servizi digitali, sanità, a seguito della comunicazione di avvenuto inserimento nel perimetro, entro sei mesi dovrai comunicare le informazioni relative a reti, sistemi informativi e servizi informatici impiegati per l’erogazione di tali funzioni e servizi.
Di conseguenza, sarai tenuto ad adempimenti di tipo tecnico e organizzativo, nonché ad obblighi di comunicazione.
Adempimenti e rapporto con Modello 231 e Data Protection
Nell’impostazione delle strategie della tua azienda, gli adempimenti in materia di Data Protection ed il Modello 231 hanno un ruolo di primo piano.
Quanto alla Data Protection, le misure da adottare per la protezione dei dati personali hanno un rilevante impatto sulla capacità di mantenere l’integrità delle infrastrutture informatiche: dobbiamo sempre ricordarci che proteggere il dato personale significa non solo garantire la riservatezza ma anche l’integrità e la disponibilità.
Non a caso l’ENISA (Agenzia Europea per la Cybersecurity) ha emanato delle Linee Guida per la valutazione del rischio che sono state oggetto di endorsment da parte di numerosi Garanti Privacy europei, tra i quali quello italiano.
Quanto al Modello 231, il collegamento giuridico è ancora più diretto in quanto la normativa che ha definito gli adempimenti relativi al perimetro di sicurezza nazionale ha introdotto un nuovo reato relativo alla mancata comunicazione di informazioni o all’ostacolo alla vigilanza delle autorità preposte, collegando a tale reato anche la responsabilità ex D.lgs. 231/2001.
Il Modello di organizzazione 231 si conferma così
- uno strumento in grado di proteggere la tua azienda dalle contestazioni – in questo caso documentando l’effettivo adempimento degli obblighi;
- un indispensabile sistema di controllo delle attività e delle strategie della tua azienda.
Noi Professionisti di Neostudio, forti delle nostre competenze ed esperienze sui Modelli 231 e sugli adempimenti GDPR in aziende rientranti nel perimetro di sicurezza nazionale (utilities, trasporti, energia, servizi informatici), possiamo supportarti nella pianificazione ed attuazione di quanto previsto dalle norme vigenti e, più in generale, per innalzare il livello di prevenzione dagli attacchi informatici.