ISO 27001
GDPR e ISO 27001 sono due standard di conformità importanti che hanno molti elementi in comune.
Entrambi mirano ad irrobustire la sicurezza dei dati
ed a diminuire il rischio di violazione degli stessi.
Entrambi necessitano e spingono fortemente verso la creazione di un sistema organizzato
per assicurare la riservatezza, l’integrità e la disponibilità dei dati sensibili.
GDPR e ISO 27001 sono due standard di conformità importanti che hanno molti elementi in comune.
La ISO 27001 è uno standard internazionale di sicurezza delle informazioni
che fornisce i requisiti per l’implementazione, il mantenimento e il miglioramento
di un sistema di gestione della sicurezza delle informazioni (ISMS).
Un ISMS è una struttura di politiche e procedure che include i controlli legali,
tecnici e fisici coinvolti nei processi di gestione dei rischi IT di un’azienda.
I fattori che influenzano l’implementazione dell’ISMS includono gli obiettivi dell’organizzazione,
i requisiti di sicurezza, le dimensioni e la struttura.
Seguire le migliori prassi di ISO 27001 aiuta le aziende a contrastare i rischi per la sicurezza,
a proteggere i dati sensibili ed a identificare l’ambito e i limiti dei propri programmi sulla sicurezza.
GDPR
Il mercato della cybersecurity è influenzato dalla rapida evoluzione tecnologica, dettata, solo per fare alcuni esempi,
dalla diffusione del cloud computing, l’espansione dell’IoT, l’intelligenza artificiale e l’informatica quantistica.
Tali innovazioni richiedono un rapido adattamento delle strategie e misure di sicurezza.
Le minacce informatiche sono cresciute in sofisticazione e volume.
LINEE PRINCIPALI CYBERSECURITY
A livello europeo e a cascata negli stati membri, la normativa Direttiva Network and Information Security – NIS (direttiva UE 2016/1148) è stata
recentemente aggiornata e profondamente rivista (NIS 2, direttiva UE 2022/2055), con lo scopo di
rafforzare le misure cybersecurity soprattutto in quei settori critici che potrebbero seriamente compromettere intere nazioni come ad esempio energia, trasporti e servizi finanziari, ma anche servizi digitali e sanità.
rafforzare le misure cybersecurity soprattutto in quei settori critici che potrebbero seriamente compromettere intere nazioni come ad esempio energia, trasporti e servizi finanziari, ma anche servizi digitali e sanità.
La Direttiva NIS 2 si integra con normative e linee guida europee sulla protezione dei dati e la privacy, tra cui il GDPR (Regolamento UE 2016/679), il
Regolamento DORA (Digital Operational Resilience Act, Regolamento UE 2022/2554 relativo alla resilienza operativa digitale per il settore finanziario, la Direttiva CER (Critical Entity Resilience), il Cyber Resilience Act e a livello nazionale, il Perimetro di Sicurezza Nazionale Cibernetica
Regolamento DORA (Digital Operational Resilience Act, Regolamento UE 2022/2554 relativo alla resilienza operativa digitale per il settore finanziario, la Direttiva CER (Critical Entity Resilience), il Cyber Resilience Act e a livello nazionale, il Perimetro di Sicurezza Nazionale Cibernetica
.
DPO
Il responsabile della protezione dei dati riporta direttamente alla dirigenza, e svolge i seguenti compiti:
- Informare e consigliare l’organizzazione ed i suoi dipendenti circa gli obblighi di protezione dei dati ai sensi del GDPR;
- Monitorare la conformità dell’organizzazione al Regolamento ed alle policy e procedure interne in materia di protezione dei dati. Questo compito include anche il monitoraggio dell’assegnazione delle responsabilità e della formazione del personale coinvolto nelle operazioni di trattamento dei dati;
- Fornire consulenza sulla necessità o meno di eseguire valutazioni d’impatto sulla protezione dei dati (DPIA), come eseguirle e quali risultati aspettarsi;
- Fungere da punto di contatto per l’autorità di controllo per tutte le questioni inerenti alla protezione dei dati, come la segnalazione di violazioni dei dati;
- Fungere da punto di contatto per gli interessati in materia di privacy dei dati, per esempio per le richieste di accesso dei dati personali.
LINEE GUIDA E SUPPORTO PER:
- mappatura dei processi e dei flussi di trattamento dei dati
- predisposizione delle misure di sicurezza
- informative
- individuazione delle basi giuridiche:
- consenso
- esecuzione obblighi contrattuali e precontrattuali
- obbligo legale
- salvaguardia interessi vitali
- interesse pubblico
- legittimo interesse
- contratti con i responsabili del trattamento
- designazione dei soggetti autorizzati
- registro dei trattamenti
- valutazione di impatto (DPIA)
- piano di reazione al data breach
- formazione del personale
.
