LSI e NIS2: la sicurezza informatica non è un’opzione, bensì una necessità strategica.
Nell’anno in corso le aziende all’interno della Svizzera e dell’Unione Europea (UE) devono attenersi a regole per la sicurezza informatica più severe e di più ampia portata. All’inizio dell’anno è entrata in vigore la nuova Legge sulla Sicurezza delle Informazioni (LSI), che riassume i fondamenti giuridici per la sicurezza informatica in una singola legge. Anche la direttiva della UE in ambito NIS2 pone requisiti di sicurezza più elevati alle aziende europee – chi non li rispetta deve aspettarsi multe fino a 10 milioni di euro.
#Cloud Governance #Security Awareness #Security Risk Assessment #Security Strategy ArchitectureGià in autunno dello scorso anno sono entrate in vigore in Svizzera la Legge sulla Riservatezza dei Dati (LRD) revisionata e i suoi regolamenti attuativi nella nuova Normativa sulla Protezione dei Dati (NPD) [i]. La Legge sulla Riservatezza dei Dati svizzera revisionata introduce disposizioni supplementari e requisiti di compliance per le aziende, come ad esempio la tenuta di un registro delle attività inerenti alla elaborazione dati e l’esecuzione di valutazioni di impatto sulla protezione dei dati per l’elaborazione di dati di rischio. Tutto ciò attenendosi strettamente al Regolamento Generale Europeo sulla Protezione dei Dati (RGEPD)[ii].
Le nuove disposizioni inaspriscono i requisiti riguardanti il monitoraggio sulla sicurezza informatica e la rendicontazione per le aziende svizzere ed europee. In Svizzera il Centro Nazionale per la Sicurezza Informatica (CNSI) è stato trasformato nell’Ufficio Federale per la Sicurezza Informatica (UFSI). L’UFSI è il centro di competenza della federazione per la sicurezza informatica e il primo punto di riferimento per economia, amministrazione, centri di formazione e popolazione per quanto concerne l’informatica[iii]. Risponde dell’attuazione coordinata della Strategia Informatica Nazionale (SIN) e si concentra in modo particolare sulla protezione delle infrastrutture critiche.
Ridurre al minimo i rischi e garantire la continuità
La LSI consolida il quadro giuridico nel settore della salvaguardia delle informazioni[iv]. Questa richiede che le autorità svizzere, le organizzazioni governative e federali, i tribunali della confederazione, la banca nazionale e altri enti nonché terzi che lavorano insieme a questi (dunque in particolari circostanze anche aziende private), riducano al minimo i rischi potenziali, valutino costantemente la resilienza del sistema e garantiscano la continuità aziendale. Tutti sono obbligati ad adottare misure di sicurezza proattive e di ampio raggio e a valutare nonché a prendere misure adeguate a proteggere dati e beni digitali dagli incidenti informatici. La LSI rende obbligatoria anche l’istituzione di un Sistema di Management sulla Sicurezza Informativa (SMSI). Deve garantire valutazioni sui rischi, la classificazione dati e il rispetto degli standard di sicurezza. Inoltre viene introdotto l’obbligo di denuncia di attacchi informatici contro infrastrutture critiche[v]. Questo dovrà entrare in vigore all’inizio del prossimo anno[vi].
Inasprimento dei requisiti per i settori critici del sistema all’interno della UE
Nella UE in seguito alla direttiva NIS2 risultano ora nuovi obblighi in materia di sicurezza informatica per molte aziende nei settori critici del sistema[vii]. Le aziende attive in 18 settori con più di 50 dipendenti e con un volume di affari pari a 10 milioni di euro devono adesso introdurre una gestione speciale per la sicurezza informatica. La direttiva in questione amplia l’ambito di applicazione e gli obblighi e introduce severi obblighi di denuncia per incidenti e misure supplementari per la gestione rischi informatici. Il non rispetto della direttiva NIS2 può portare a considerevoli sanzioni pecuniarie emesse dagli enti nazionali, e queste possono ammontare fino a 10 milioni di euro o al 2 percento del volume di affari annuale a livello mondiale per settori essenziali e fino a 7 milioni di euro o al 1,4 percento del volume di affari per settori chiave.
Quali sono gli effetti più importanti e la necessità di agire per le aziende interessate?
Nell’ambito della loro gestione incidenti nel settore IT, devono adottare misure per prevenzione, riconoscimento, identificazione, contenimento, limitazione danni e reazione. Altrettanto importanti sono la garanzia della continuità aziendale, gestione crisi, sicurezza della filiera e sicurezza delle reti e dei sistemi informativi attraverso analisi dei punti deboli e test di penetrazione. Inoltre si devono implementare solide pratiche di sicurezza corrispondenti a requisiti giuridici. La LSI impone l’immediata denuncia di incidenti informatici.
È necessario agire in modo proattivo
Il nuovo ambiente di sicurezza informatica richiede di agire in modo proattivo. Le aziende devono dare priorità al monitoraggio, al riconoscimento e alla rendicontazione. Gli elenchi di controllo per il rispetto delle disposizioni e la guida degli esperti sono risorse di valore inestimabile.
La sicurezza informatica non è un’opzione, bensì una necessità strategica. Solo misure tecniche e organizzative equilibrate proteggono la vostra azienda in modo efficace e olistico e assicurano compliance con le norme più recenti. È necessario introdurre nuove dimensioni di sicurezza ad integrazione della prevenzione classica (protezione di rete e perimetrale)[viii]. Con questo si intende da una parte la capacità di scoprire un’aggressione il prima possibile. Dall’altra la possibilità di adottare contromisure il più rapidamente possibile. UMB è il giusto interlocutore a cui rivolgersi quando si tratta di sicurezza informatica proattiva e compliance con i requisiti giuridici che si modificano. Non esitate a contattarci per ricevere informazioni dettagliate.
[i] Legge sulla privacy dal 1 settembre 2023
[ii] Regolamento generale europeo sulla protezione dei dati
[iii] Ufficio federale per la sicurezza informatica
[iv] Il consiglio federale fa entrare in vigore la legge sulla sicurezza delle informazioni
[v] Enti e organizzazioni che richiedono una notifica obbligatoria
[vi] Obbligo di denuncia per attacchi informatici riguardanti infrastrutture critiche – agenda
[vii] Direttiva sulle misure per un alto livello di sicurezza informatica comune in tutta la UE (NIS2)
[viii] UMB Cyber Security: la nuova dimensione della sicurezza