Estratto da “Introduzione al perimetro cibernetico: sicurezza informatica e minacce“, il primo Quaderno di ReD Open.
Il GDPR, di cui negli ultimi due anni si è molto parlato, tutela esclusivamente i dati personali delle persone fisiche, ma in un’azienda non ci sono solo dati personali. Per garantire un elevato livello di tutela anche a società e imprese, soprattutto se considerate essenziali per i servizi offerti alla collettività, si deve fare riferimento alla Direttiva NIS.
In apparenza, Direttiva NIS e GDPR, potrebbero sembrare indipendenti tra loro, ma la correlazione in realtà è molto stretta. I dati personali dei cittadini residenti negli Stati Membri, infatti, sono spesso conservati in banche dati custodite presso OSE e FSD, e di conseguenza, un livello di sicurezza elevato dei sistemi di questi soggetti, è propedeutico anche alle finalità del GDPR.
La Direttiva NIS è stata recepita nell’ordinamento italiano con il Decreto Legislativo 18 maggio 2018, n° 65.
Le autorità nazionali competenti, hanno elaborato, a partire dal luglio 2019, le linee guida per la gestione dei rischi, la prevenzione e la mitigazione degli incidenti, basate sul Framework nazionale per la cybersecurity, che impattano sui sistemi che garantiscono erogazione e continuità dei servizi essenziali.
Il perimetro nazionale di sicurezza cibernetica (o perimetro cibernetico) estende l’applicazione della Direttiva NIS a più destinatari rispetto ai 465 previsti nell’elenco degli OSE, il cui elenco è stato pubblicato nel novembre del 2019 in Gazzetta Ufficiale con il Decreto Legge n°105/2019 convertito, e rubricato come “disposizioni urgenti in materia di Perimetro di Sicurezza Nazionale Cibernetica”.
Il perimetro comprende soggetti pubblici e privati, che non siano già sottoposti ai parametri NIS, aventi sede sul territorio nazionale, da cui dipende l’esercizio di una funzione essenziale allo Stato, e dal cui malfunzionamento o interruzione, possa derivare un pregiudizio per la sicurezza nazionale.
Tramite DPCM, entro quattro mesi dalla conversione in legge del decreto, si sarebbero dovuti individuare i soggetti inclusi nel perimetro, ma ancora, anche a causa dei rallentamenti dovuti all’emergenza COVID-19, non esiste un elenco.
Analogamente a quanto prevedono le linee guida NIS, in capo ai soggetti inclusi nel perimetro sorgerà l’obbligo di uniformare e potenziare i propri livelli di sicurezza.
La sicurezza non è un prodotto, non è uno stato acquisito una volta per tutte; la sicurezza è un processo nel quale gli esseri umani hanno e non possono che avere una posizione centrale.
Per continuare la lettura del primo volume de “I Quaderni di ReD Open”, scaricalo subito. Basta un click e non serve registrarsi!
Photo by Pete Linforth on Pixabay