Digital Risk Analysis: framework normativi e legali europei

Digital Risk Analysis

LEZIONE 2 Prof. Matteo PlacidoFramework normativi e legali per la gestione del Rischio Digitale

• Nel panorama odierno, caratterizzato da una crescente interconnessione digitale, la gestione del rischio digitale emerge come un'esigenza imprescindibile per qualsiasi organizzazione che aspiri alla resilienza e al succeso. Il corso offre una panoramica esaustiva dei principali framework normativi a livello globale ed europeo. Tra questi, particolare attenzione sarà a partire dal Regolamento Generale sulla Protezione dei Dati (GDPR - Regolamento UE 2016/679), alla Direttiva NIS (Direttiva UE 2016/1148) e alla sua imminente evoluzione, la Direttiva NIS2.
• Esploreremo altresì il Digital Services Act (DSA) e il Digital Markets Act (DMA), volti a regolamentare le piattaforme online e a promuovere la concorrenza nel mercato digitale.
• L'obiettivo primario è quello di sviluppare una comprensione approfondita dei principi legali e delle best practice, consentendo ai partecipanti di affrontare con competenza le sfide poste dal rischio digitale. Un focus specifico sarà riservato alla protezione dei dati personali, alla sicurezza delle informazioni e alla resilienza cibernetica, elementi chiave per la salvaguardia degli asset digitali.
• Analizzeremo l'impatto delle normative sulle strategie aziendali e sulla cultura della gestione dei rischi, promuovendo un approccio proattivo e consapevole. Introdurremo il concetto di "digital trust" e la sua rilevanza per la reputazione e la fiducia dei clienti, evidenziando come la conformità normativa possa tradursi in un vantaggio competitivo. Sarà inoltre esaminato il ruolo cruciale dell'analisi del rischio nel contesto normativo.ll Panorama dei rischi digitali

Panorama dei Rischi Digitali

Il rischio digitale si configura come qualsiasi minaccia potenziale all'integrità, alla riservatezza e alla disponibilità dei dati e dei sistemi informatici di un'organizzazione. Si tratta di un concetto ampio e articolato, che abbraccia diverse componenti chiave:

1. Rischio informatico (cybersecurity): Minacce derivanti da attacchi informatici, malware, phishing, ransomware e altre forme di cybercrime.
2. Rischio di conformità normativa: Violazioni delle leggi e dei regolamenti in materia di protezione dei dati, privacy, sicurezza informatica e altri ambiti correlati. Rientrano in questa categoria le violazioni del GDPR, della Direttiva NIS e di altre normative specifiche del settore.
3. Rischio operativo: Interruzioni dei servizi IT, errori umani, guasti hardware o software, disastri naturali e altri eventi che possono compromettere la continuità operativa.
4. Rischio reputazionale: Danni all'immagine e alla reputazione dell'organizzazione a seguito di incidenti di sicurezza, violazioni dei dati o altre problematiche legate al rischio digitale.
5. Rischio strategico: Decisioni aziendali errate o inadeguate che possono aumentare l'esposizione al rischio digitale, come ad esempio l'adozione di tecnologie non sicure o la mancata implementazione di adeguate misure di sicurezza.

Importanza Strategica della Gestione del Rischio Digitale

Un Investimento nel Futuro

Per comprendere appieno la portata del rischio digitale, è utile considerare esempi concreti come gli attacchi DDoS (Distributed Denial of Service), le violazioni di dati sensibili (data breach), le interruzioni di servizio, le sanzioni normative e i danni alla reputazione. L'impatto finanziario e operativo di questi rischi può essere considerevole, soprattutto per le piccole e medie imprese. È quindi essenziale adottare una visione olistica del rischio digitale, considerando tutti gli aspetti rilevanti e integrando la gestione del rischio nei processi aziendali.

La gestione del rischio digitale rappresenta un investimento strategico nel futuro dell'organizzazione, consentendo di:

• Proteggere gli asset aziendali critici: Dati, sistemi informatici, proprietà intellettuale e reputazione del marchio.
• Garantire la conformità normativa: GDPR, Direttiva NIS, leggi sulla privacy (come il California Consumer Privacy Act - CCPA), standard di settore (come il Payment Card Industry Data Security Standard - PCI DSS) e altre normative pertinenti.
• Migliorare la resilienza operativa: Assicurare la continuità del business in caso di incidenti o attacchi informatici, attraverso la predisposizione di piani di Business Continuity (BC) e Disaster Recovery (DR).
• Creare un vantaggio competitivo: Dimostrare ai clienti e ai partner che l'organizzazione è affidabile, sicura e attenta alla protezione dei dati.
• Ridurre i costi associati a incidenti di sicurezza: Multe, risarcimenti, interruzioni operative e danni alla reputazione.
• Migliorare la fiducia degli stakeholder: Investitori, dipendenti, fornitori e autorità di regolamentazione.
• Supportare l'innovazione e la trasformazione digitale:

Prof. Matteo Placido

GDPR: Quadro Normativo Europeo per la Protezione dei Dati Personali

Nell'Era Digitale

Il Regolamento Generale sulla Protezione dei Dati (GDPR), ovvero il Regolamento (UE) 2016/679, rappresenta una pietra miliare nella protezione dei dati personali in Europa e nel mondo. Il suo obiettivo principale è garantire che i dati personali siano trattati in modo lecito, corretto e trasparente, proteggendo i diritti e le libertà fondamentali delle persone fisiche.

Il GDPR si fonda su principi cardine, tra cui:

GDPR: Quadro Normativo Europeo per la Protezione dei Dati Personali

Nell'Era Digitale

• Liceità, correttezza e trasparenza: I dati devono essere trattati in modo lecito, corretto e trasparente nei confronti dell'interessato.
• Limitazione delle finalità: I dati devono essere raccolti per finalità determinate, esplicite e legittime, e non devono essere ulteriormente trattati in modo incompatibile con tali finalità.
• Minimizzazione dei dati: I dati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.
• Esattezza: I dati devono essere esatti e, se necessario, aggiornati.
• Limitazione della conservazione: I dati devono essere conservati per un arco di tempo non superiore a quello necessario per le finalità per le quali sono trattati.
• Integrità e riservatezza: I dati devono essere trattati in maniera da garantire un'adeguata sicurezza, compresa la protezione dalla distruzione, dalla perdita, dall'alterazione, dalla divulgazione o dall'accesso non autorizzati.

Il GDPR impone una serie di obblighi ai titolari del trattamento e ai responsabili del trattamento, tra cui la nomina di un Responsabile della Protezione dei Dati (DPO - Data Protection Officer), la tenuta di un registro delle attività di trattamento (articolo 30 del GDPR), la conduzione di valutazioni d'impatto sulla protezione dei dati (DPIA - Data Protection Impact Assessment, articolo 35 del GDPR) e l'adozione di misure tecniche e organizzative adeguate per garantire la sicurezza dei dati (articolo 32 del GDPR). Gli interessati godono di una serie di diritti, tra cui il diritto di accesso (articolo 15 del GDPR), il diritto di rettifica (articolo 16 del GDPR), il diritto alla cancellazione (articolo 17 del GDPR), ecc

GDPR: Quadro Normativo Europeo per la Protezione dei Dati Personali

Nell'Era Digitale

= WIRED SCIENZA ECONOMIA CULTURA GADGET SECURITY DIRITTI IDEE VIDEO PODCAST WIRED CONSIGLIA ABBONAMENTI EVENTI NEWSLE Perché Meta deve pagare una multa da 1,2 miliardi per violazioni del La sentenza chiude una causa di dieci anni sul trasferimento illegale dei dati degli utenti europei negli Stati uniti da parte di Facebook. Ne dei servizi all'orizzonte

• Nel maggio 2023, Meta, la società madre di Facebook, è stata multata per aver trasferito dati personali di utenti dell'UE verso gli Stati Uniti, violando le normative sui trasferimenti internazionali di dati del GDPR.

O O O

• L'analisi del rischio riveste un ruolo centrale nel GDPR, in quanto rappresenta il fondamento per l'adozione di misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio. A differenza della precedente Direttiva 95/46/CE, che conteneva principi prescrittivi, il GDPR richiede al titolare del trattamento di analizzare il rischio a cui i dati sono sottoposti e di identificare le misure di gestione e sicurezza idonee a eliminarlo o mitigarlo.
• I| GDPR non utilizza esplicitamente il termine "analisi dei rischi", ma gli articoli 24, 25, 32 e 35 impongono di valutare i rischi per i diritti e le libertà delle persone fisiche, considerando la probabilità e la gravità degli stessi. È importante sottolineare che l'analisi del rischio nel GDPR non deve essere confusa con la valutazione d'impatto sulla protezione dei dati (DPIA) richiesta dall'articolo 35 del Regolamento, sebbene le due attività siano strettamente correlate.
• L'analisi del rischio in ambito GDPR presenta alcune particolarità:
• Non si tratta di una valutazione del rischio relativo all'organizzazione, ma relativo ai diritti delle persone fisiche.
• L'analisi dei rischi non riguarda solo gli interessati (i soggetti di cui si trattano i dati), ma tutte le persone fisiche, che oltre agli interessati comprendono un numero non ben definibile di soggetti.
• Non riguarda i soli aspetti di sicurezza informatica, ma anche altri aspetti, come ad esempio la trasparenza e la correttezza del trattamento.

O

Direttiva NIS: Rafforzare la Resilienza Cibernetica nell'Unione Europea

La Direttiva (UE) 2016/1148, nota come Direttiva NIS (Network and Information Security), rappresenta un pilastro fondamentale della strategia europea per la cybersecurity. Essa mira a stabilire un livello comune di sicurezza delle reti e dei sistemi informativi nell'Unione Europea, riconoscendo il ruolo sempre più cruciale che questi svolgono nella società e nell'economia digitale.

La Direttiva NIS impone agli Stati membri di adottare un modello di governance in materia di cybersecurity, designando autorità competenti, definendo strategie nazionali e istituendo punti di contatto unici. Essa si rivolge principalmente a due categorie di soggetti:

• Operatori di Servizi Essenziali (OSE): Entità che forniscono servizi essenziali per il mantenimento delle attività economiche e sociali, come energia, trasporti, sanità, finanza e infrastrutture digitali. L'elenco degli OSE è definito a livello nazionale da ciascuno Stato membro.
• Fornitori di Servizi Digitali (FSD): Entità che forniscono servizi online come cloud computing, motori di ricerca e piattaforme di e-commerce.

110101110100010101010101000000110000100010010100100011101101011101 010101110010000100101000101110001010000010101111010100010101011100 011001010101000010101010100000000101010100001101010101010110010101 000111101011100011001110001100100111100110000101010100010101111010 + 010111010101010100000101000001000101010000111100010101010101110201 101001111000101001110001111101010100011101010110101111011010011110 111111110100010101010101000000110000100010010110101010101111111101