Adeguamento alle nuove normative GDPR e NIS

Entro il 25 maggio 2018 entreranno in vigore due nuove normative europee inerenti la sicurezza e la protezione dei dati che incideranno profondamente sul modo in cui le aziende implementano le policy di sicurezza. La direttiva sulla sicurezza delle reti e delle informazioni (NIS – Network and Information Security) e il regolamento generale sulla protezione dei dati (GDPR – General Data Protection Regulation.

Alcune proposte contenute nel GDPR riflettono la direttiva NIS, in termini di messa in sicurezza dei sistemi e dei dati, e di sanzioni per la mancata applicazione. Ma il GDPR contiene molti più dettagli riguardo al controllo sul modo in cui i dati personali vengono trattati. Gli articoli del GDPR che coinvolgeranno la maggior parte delle aziende si riassumono come segue:

Il GDPR: Tutte le aziende che operano all’interno dell’UE e trattano i dati personali di soggetti dell’UE, dovranno agire in modo tale da assicurarsi di essere conformi alla normativa, pena severe sanzioni.

I dati personali: Per minimizzare l’esposizione al rischio, le aziende dovrebbero garantire che soltanto i dati necessari a uno scopo specifico vengano raccolti e processati. I dati non dovrebbero essere archiviati per un arco di tempo più lungo del necessario e dovrebbero essere distrutti, o comunque cancellati in sicurezza, quando non sono più necessari, in linea con una politica di conservazione dei dati adeguata.

Sicurezza e notifica delle violazioni: Le norme attuali sulla protezione dei dati stabiliscono che le aziende sono tenute ad applicare misure di sicurezza tecniche e procedure di business “adeguate”, ma non le definiscono in modo specifico. Queste dovrebbero includere misure riconosciute, come ad esempio l’utilizzo di firewall, l’esame dei log, la gestione delle chiavi crittografiche, il controllo e la gestione degli asset, la gestione degli accessi, la definizione di procedure di log-on sicure, la definizione del perimetro di sicurezza, politiche di backup e test di ripristino, controllo delle reti, segregazione delle reti, etc. Questo significa che le aziende che trattano una grande quantità di dati personali dovranno implementare nuovi processi per la sicurezza dei dati, le indagini contro le violazioni e la risposta.

Privacy by Design: Le aziende dovranno implementare e applicare processi tecnici e organizzativi per garantire che vengano utilizzati soltanto i dati personali strettamente necessari per ogni specifica attività di business. Le aziende dovrebbero prevenire questa possibilità criptando i dati personali in modo tale da proteggerli una volta che vengono archiviati e limitandone al massimo la divulgazione quando vengono utilizzati.

Fornitori di dati e catena di fornitura: La nuova legislazione comporterà una gestione responsabile dell’intera catena di fornitura – dal fornitore al cliente – per tutelare i dati. Le aziende non potranno trasferire le responsabilità legali inerenti alla sicurezza dei dati. Questo significa che le aziende che processano dati personali dovranno applicare misure di sicurezza dei dati, e controllare che i propri partner facciano lo stesso.

Funzionari per la protezione dei dati e governance: Le aziende dovranno nominare un funzionario per la protezione dei dati al fine assicurare il rispetto della protezione dei dati a livello interno e le procedure. In ogni caso, queste dovrebbero prepararsi per un livello più evoluto di protezione e gestione dei dati, e per attività di reporting, che dovranno essere svolte internamente. Data l’importanza di queste mansioni, la risorsa che supervisiona questa attività dovrà avere un ruolo senior ed essere preparata a dedicare molto tempo a queste attività, al fine di limitare la responsabilità dell’azienda.

Il Regolamento Privacy e il certificato ISO 27001.

Il legislatore comunitario incoraggia meccanismi di certificazione della protezione dei dati che abbiano la potenzialità di dimostrare la conformità al regolamento e costituiscano un fattore attenuante in caso di sanzioni. Questa indicazione ha spinto la Iso ad avviare lo sviluppo della «Iso/Iec 27552 – Enhancement to Iso/Iec 27001 for privacy management»: l’organizzazione punta ad evolvere lo Standard in materia di gestione della sicurezza delle informazioni nello strumento principe per garantire la conformità al Regolamento. Nel recente passato, alcuni Garanti nazionali hanno ammesso che un certificato ISO 27001 (Standard internazionale che definisce i requisiti per impostare e gestire un sistema di gestione della sicurezza delle informazioni) possa rappresentare un esempio di best practice: appare verosimile, quindi, che tale tipologia di certificazione sia confermata e inclusa tra quelle “benedette” dalle autorità di vigilanza. È vero che la norma ISO 27001 non copre direttamente alcuni requisiti previsti dal Regolamento Privacy (come: il diritto ad essere informati; il diritto di far eliminare i propri dati; la portabilità dei dati), ma allo stesso tempo identifica i dati personali come asset di sicurezza informativa e fornisce i mezzi per garantire questa protezione.

Le fasi dell’adeguamento al GDPR

Alla luce di tutto quanto detto sinora, è possibile suddividere un intero progetto di adeguamento al RGPD in 11 fasi:

  1. Gap Analisys: raccolta di tutte le informazioni sull’organizzazione aziendale, analisi e valutazione della documentazione in uso, identificazione delle Non conformità e definizione delle relative azioni correttive;
  2. Mappatura dei processi: Schematizzazione dei processi e delle regole che hanno impatto sul trattamento dei dati. Identificazione dei DB utilizzati e loro locazione. (Server, VPS, etc). Identificazione dei processi di trasferimento delle informazioni e dei protocolli adottati (FTPS, HTTPS, VPN etc)
  3. Definizione del Piano di Adeguamento della struttura organizzativa e dei sistemi informativi, sia a livello di macro-struttura sia a livello di micro-struttura (ruoli e responsabilità);
  4. Creazione del registro dei trattamenti: documento volto a tenere traccia dei trattamenti effettuati da parte del titolare e degli eventuali responsabili, e contenente, tra gli altri, le finalità del trattamento, una descrizione delle categorie di interessati e dei dati personali, i destinatari, gli eventuali trasferimenti verso terzi e una descrizione generale delle misure di sicurezza;
  5. Stesura/Modifica della documentazione affinché risulti completa ed aggiornata secondo le prescrizioni della nuova normativa;
  6. Individuazione dei ruoli e delle responsabilità dei soggetti che effettuano il trattamento;
  7. Definizione dei processi e procedure di gestione dei sistemi informativi, tecnologie e strumenti per la gestione della sicurezza informatica utilizzando come riferimento lo standard ISO 27001;
  8. Definizione delle politiche di sicurezza e valutazione dei rischi: valutazione e attuazione di tutte le misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al RGPD;
  9. Implementazione dei processi per l’esercizio dei diritti dell’interessato;
  10. Individuazione e nomina di un Data Protection Officer (DPO): figura la cui responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda, affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.
  11. Definizione delle procedure di monitoraggio e riesame periodico

CONDIVIDI QUESTO POST

Condividi su facebook
Condividi su twitter
Condividi su linkedin
Condividi su print
Condividi su email

LEGGI ANCHE

Torna su