2018 L’anno della “Trilogia” UE Privacy e Sicurezza – GDPR 679/2016 Privacy – NIS Network Information Security – EIDAS Electronic Identification Signature

gdpr-nis-eidas

I prossimi tre anni (2016-2018) saranno ricordati come gli anni della “trilogia UE” che hanno segnato il percorso dei successivi decenni sul tema della Sicurezza Informatica. Il futuro di questa tematica in Europa è essenzialmente tutto nelle norme di un ampio pacchetto di riforma della UE approvato ed in fase di integrazione con le normative nazionali, entrato in vigore nel 2016 ed in parte applicabile già da quest’anno:

1)il Regolamento n. 679/2016, Regolamento Generale sulla Protezione dei Dati (GDPR) Privacy, entrato in vigore il 24 maggio 2016, applicabile a regime tassativamente dal 24 maggio 2018, che sostituisce la Direttiva 95/46/CE ed integra e sostituisce anche il Codice della Privacy Dlgs. 196/2003.

GDPR 679/2016 General Data Protection Regulation

2)il Regolamento n. 910/2014, Regolamento Electronic Identification Authentication and Signature (Regolamento EIDAS), entrato in vigore il 17 settembre 2014, applicabile da luglio 2016, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno, che sostituisce il quadro normativo definito dalla Direttiva Europea 1999/93/EC sulle firme elettroniche e dalle relative leggi nazionali di recepimento.

eIDAS – Electronic Identification Authentication and Signature

3) la Direttiva n. 1148/2016, Direttiva Network and Information Security (Direttiva NIS), entrata in vigore l’8 agosto 2015, recante misure per un livello adeguato di sicurezza delle reti e dei sistemi informativi nell’Unione Europea.

Il Legislatore si è impegnato affinché i contenuti dei regolamenti e della direttiva siano efficaci, funzionino nella prassi odierna di aziende e professionisti, e siano il punto di riferimento anche per i prossimi anni.
Le disposizioni sono basate su espressi riferimenti tecnico-informatici e giuridici, affrontando e disciplinando le sfide imposte dalle nuove tecnologie ( Cloud – IoT) nella protezione dei dati personali (Privacy) e sicurezza dei sistemi e delle reti (NIS). Sono norme complesse, che richiedono la consulenza di esperti qualificati (Data Protection Officer – Privacy Officer – SGSI ISO:27001), non solo in questioni giuridiche ma delle complesse problematiche di compliance e di sicurezza ICT (information technology).

GDPR e Regolamento EIDAS, in quanto tali, non necessitano di recepimento da parte dei sistemi nazionali. Il Regolamento EIDAS è già applicabile integralmente, il GDPR lo sarà dal 25 maggio 2018, ma tutto il 2017 deve essere dedicato da Imprese, P.A. e Professionisti a pianificare, incaricare i consulenti ed aggiornare Policy ed infrastruttura ICT ai requisiti GDPR.

Diversamente, invece, la Direttiva NIS, e la Direttiva 680/2016, dovranno essere recepite con una legge nazionale, e ciò avverrà sempre entro i primi mesi del 2018.

Dal maggio 2018 in avanti avremo quindi un’ampia cornice normativa di riferimento sulla sicurezza informatica e sulla privacy, entro la quale si collocheranno tutte le leggi a completamento e recepimento delle stesse, nonchè le linee guida ed i provvedimenti del Garante Protezione dei Dati Personali.

Le simmetrie ed i parallelismi tra i vari testi sono evidenti e confermano l’orientamento univoco adottato dal Legislatore Europeo nell’affrontrare la tematica della sicurezza informatica. Per capirlo è sufficiente leggere gli articoli che in ognuno dei testi si occupano della definizione delle misure di sicurezza.

Tutti fanno riferimento all’obbligo di adozione di misure tecniche e organizzative “appropriate” (EIDAS e Direttiva NIS) e “adeguate” (GDPR e Direttiva 680) per “gestire i rischi legati alla sicurezza dei servizi fiduciari prestati” (EIDAS) e per “garantire un livello di sicurezza adeguato al rischio” (GDPR, Direttiva 680 e Direttiva NIS).

Ma di analogie dirette ve ne sono molte anche su altri fronti, per esempio in relazione alla notifica di una violazione Data Breach (prevista sia Regolamento EIDAS che dal RGPD). Entrambi fanno riferimento all’obbligo di notifica all’autorità competente, quindi ad un “organismo di vigilanza” (EIDAS) ed ad una “autorità di controllo” (GDPR) delle violazioni della sicurezza o le perdite di integrità che abbiano un impatto significativo sui servizi fiduciari prestati o sui dati personali ivi custoditi.

Notifica (comunicazione) che dev’essere effettuata anche alla “persona fisica o giuridica” (EIDAS) e agli “interessati” (GDPR), se per tali soggetti sussistono “effetti negativi” (EIDAS) e un “rischio per i loro diritti e le loro libertà” (GDPR). Sul termine entro il quale la notifica dev’essere effettuata alle autorità competenti l’EIDAS prevede 24 ore mentre il RGPD ne prevede 72, in entrambi i casi da quando si è venuti a conoscenza della violazione.

L’UE si è quindi concentrata su disposizioni davvero necessarie e di massima, delegando la consulenza ad esperti del settore, ed ha evitato dettagli che avrebbero potuto interferire con le tecnologie future. I testi esaltano la chiarezza e la comprensibilità in materia di sicurezza informatica e sono una rara dimostrazione di coerenza e uniformità legislativa e quindi una opportunità per i destinatari che devono applicare diverse norme, ma oggettivamente omogenee ed integrate tra loro, univoche, chiare al fine di attuare una protezione dei dati e dei sistemi efficace che conferisce potere al singolo e stimola Aziende, Professionisti ed autorità pubbliche alla responsabilizzazione ( accountability). In questo quadro, alla P.A. è richiesto poi uno sforzo ulteriore ( obbligo di nomina del Data Protection Officer DPO) perché questa, nel corso degli anni, si è dotata di una pluralità di sistemi informativi rigidi e isolati, non adeguatamente protetti, che elaborano e trattano dati parziali che non si integrano fra loro.

La Direttiva NIS esclude, purtroppo, una serie di importantissime previsioni, per esempio che possano essere dettati standard specifici di sicurezza informatica per prodotti hardware e software.
Pur comprendendo perfettamente le motivazioni politiche ed economiche di questa esclusione, va detto che in assenza di standard puntuali e mandatori in questo campo ( demandati alla competenza e capacità dei DPO del GDPR nell’imporli tra gli asset aziendali), non sarà ragionevolmente possibile mitigare l’attuale livello di cyber-minaccia in tempo utile (ovvero prima che i danni crescano ancora considerevolmente, minando potenzialmente il sistema). Va anche sottolineato che l’assenza di questi standard è un unicum del comparto ICT, dal momento che in altri settori ugualmente rischiosi (esempio quello automotive) non è possibile vendere un veicolo se non dotato di una lunga serie di dispositivi di sicurezza attiva e passiva, e se non ha sostenuto con successo una serie di test specifici.

IL Regolamento GDPR, per quanto siano presenti un numero importante di previsioni innovative, e vengano introdotti concetti e ruoli importantissimi, quali ad esempio quello della “Privacy by Design” e la figura del DPO Data Officer per i sistemi deputati al trattamento di dati personali, oltre a sanzioni sulla carta molto pesanti per i trasgressori ( fino al 4% del fatturato globale), non è ancora chiara l’effettiva portata pratica di questi oneri, ed al momento sembra improbabile che possano essere applicati in modo stringente ( seppur si parla di sanzioni minime edittali nei 28 stati membri UE) senza provocare costi altissimi per i diretti destinatari, considerando anche che questi soggetti tenderanno a trasferire il più possibile questi costi sugli utenti finali. L’aspetto economico in questo caso farà decisamente la differenza, e sarà necessario trovare un equilibrio ragionevole tra maggiori costi e mitigazione dei rischi, non facile da individuare specie rinunciando al supporto di figure aziendali (DPO)

Il Regolamento eIDAS, il più tecnico ed il più focalizzato dei tre, definisce sulla carta dei meccanismi certamente validi per rafforzare la sicurezza e la certezza delle transazioni elettroniche, che però per raggiungere l’efficacia auspicata dovranno essere implementati a regola d’arte e sostenuti da forti investimenti. Oltre alla complessità delle piattaforme tecnologiche oggetto del Regolamento, va considerato un aspetto fondamentale, spesso minimizzato, che si ricollega a quanto detto in merito alla Direttiva NIS, ovvero che gli attuali livelli medi di sicurezza dell’hardware e (soprattutto) del software sono sostanzialmente inadeguati per fungere da substrato e da fondamenta per realizzare processi di business e transazioni elettroniche che abbiano il livello di sicurezza e certezza desiderati dal legislatore.

E’ necessario un deciso e rapido aumento della cultura della sicurezza informatica da parte di tutti gli utenti e di tutti gli stakeholders della attuale civiltà digitale (la cyber-security non è più un problema per tecnici, ma un problema di tutti) e dall’altro è fondamentale un forte impulso verso la definizione di standard stringenti di sicurezza informatica per gli strumenti ICT sui quali la nostra civiltà digitale oggi è basata.

O.L.I.T. Informatica

 

Licenza Creative Commons
Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale 4.0 Internazionale.

Annunci