il quadro

Sicurezza informatica in Europa e in Italia: tutte le norme di riferimento

Il 2018 è l’anno della sicurezza informatica: da maggio le norme dell’Unione europea sono operative in tutti gli stati membri. Una cornice di riferimento sulla cybersecurity costituita da due regolamenti e due direttive, entro cui si collocano tutte le leggi e le applicazioni nazionali

26 Giu 2018

Il 2018 è un anno importante per la sicurezza informatica. Anzi, è l’anno della sicurezza informatica. Perché da maggio 2018 le norme dell’Unione europea sono operative in tutti gli stati membri. Una cornice di riferimento sulla cybersecurity costituita da due regolamenti e due direttive, entro le quali si collocano tutte le leggi e le applicazioni nazionali.

La direttiva Nis: il primo passo della strategia europea per la sicurezza informatica

Possiamo considerare la direttiva Nis come il primo passo della strategia europea per la cybersecurity. Approvata dal Parlamento Ue il 6 Luglio 2016, la direttiva ha l’obiettivo di rafforzare la sicurezza e la resilienza informatica all’interno del Vecchio Continente. Un’esigenza che parte da una considerazione: le reti, i sistemi e i servizi informativi svolgono oggi un ruolo d’importanza vitale nella società. Senza di loro il mercato interno non potrebbe funzionare, per questo è essenziale che siano affidabili e sicuri per le attività economiche e sociali.

WHITEPAPER
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
CIO
Sicurezza

A questo proposito, Nis si applica a due categorie: gli operatori di servizi essenziali, cioè quelli che sono necessari al mantenimento di attività sociali e/o economiche fondamentali (come le imprese di trasporti, d’energia, la sanità); e gli operatori di servizi digitali come motori di ricerca, cloud computing e piattaforme per l’e-commerce.

Entrambi dovranno adottare misure tecniche e organizzative adeguate alla gestione dei rischi e alla prevenzione degli incidenti informatici, tenendo conto di alcuni elementi specificati nella norma a cui, probabilmente, seguiranno linee guida o altri provvedimenti. In caso di inadempienza scatteranno sanzioni durissime che vanno da un minimo di 12mila fino a 150mila euro.

A questo proposito è prevista, a livello nazionale, la designazione di un gruppo di intervento per la sicurezza informatica in caso di incidente e di un’autorità nazionale competente in materia di sicurezza delle reti e dei sistemi informativi. Inoltre, Nis fissa l’istituzione di un gruppo di cooperazione composto da rappresentanti degli Stati membri, dalla Commissione e dall’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA). Un team che avrà l’obiettivo di promuovere la collaborazione tra i paesi dell’Unione in relazione alla sicurezza delle reti e dei sistemi informativi e facilitare lo scambio di informazioni.

GDPR, la sicurezza informatica dei dati personali

Il Gdpr, cioè General data protection regulation, è il nuovo regolamento europeo sulla privacy e i dati personali che è diventato operativo in Italia a partire dal 25 maggio 2018. Un testo che si compone di 99 articoli e andrà a interessare tutte le aziende che gestiscono qualsiasi tipo di dato personale. Non va confuso con la direttiva nis, in quanto ha diverso oggetto e diverso ambito di applicazione. Tuttavia, le due normative possono sovrapporsi quando un incidente nella sicurezza informatica implica anche una violazione di dati personali.

Tra le prescrizioni, sono da menzionare: una richiesta di consenso in forma chiara, “comprensibile e facilmente accessibile”; l’istituzione di un registro delle attività dove si elencano le finalità dell’elaborazione dei dati, i destinatari, l’eventuale scadenza per la loro cancellazione; e la notifica delle violazioni entro 72 ore dall’avvenuta conoscenza. Inoltre, è richiesta la designazione di un “responsabile protezione dati” che avrà il ruolo di vigilare sull’applicazione effettiva del Gdpr in azienda: può essere scelto tra i dipendenti o nominato esternamente.

La direttiva 680, la sicurezza informatica dei dati trattati dalle autorità

Speculare al Gdpr è la direttiva 680 del 2016. Molte delle norme contenute sono simili a quelle presenti nel testo del nuovo regolamento europeo sulla privacy e i dati personali, se non addirittura uguali. Ma hanno un ambito di applicazione specifico e riguardano i trattamenti effettuati dalle autorità competenti a fini di: prevenzione, indagine, accertamento e perseguimento di reati; esecuzione di sanzioni penali; salvaguardia e prevenzione di minacce alla sicurezza pubblica.

In particolare, il testo prescrive che i dati siano conservati per il tempo necessario al conseguimento delle finalità per le quali sono trattati, sottoposti a esame periodico per verificarne la persistente necessità di conservazione e cancellati o anonimizzati una volta decorso tale termine e introduce una nuova disciplina riguardo alla differenziazione tra categorie di dati (fondati su fatti ovvero su valutazioni) e di interessati, in ragione della loro specifica posizione processuale.

Inoltre, riguardo ai diritti dell’interessato (ricezione di informazioni, accesso, rettifica, cancellazione, limitazione del trattamento), il testo prevede che rispetto ai dati personali contenuti in una decisione giudiziaria, in atti o documenti oggetto di trattamento nel corso di accertamenti o indagini, nel casellario giudiziale o in un fascicolo oggetto di trattamento nel corso di un procedimento penale o in fase di esecuzione penale, l’esercizio di tali diritti è regolato dalle disposizioni normative che disciplinano tali atti e procedimenti.

In ambito giudiziario, la tutela degli interessati è quindi assicurata, per le parti, dalle garanzie che riconoscono i diritti di difesa all’interno del procedimento penale, anche con riguardo ai dati personali necessariamente oggetto di trattamento, assicurando quindi la possibilità di limitare l’esercizio dei diritti dell’interessato, conformemente alle esigenze di prevenzione, di indagine e processuali.

Per garantire i diritti in ambito giudiziario anche con riferimento ai terzi, si è previsto uno speciale procedimento attraverso il quale qualsiasi interessato, durante il procedimento penale o dopo la sua definizione, può chiedere la rettifica, la cancellazione o la limitazione dei dati personali che lo riguardano.

In materia di sicurezza del trattamento, si prevede come obbligatoria anche per l’autorità giudiziaria la nomina del responsabile della protezione dati, in ragione dell’ausilio che tale figura può fornire nella gestione di trattamenti complessi e spesso inerenti dati sensibili, quali appunto quelli svolti in sede giurisdizionale.

Per quanto riguarda i trasferimenti di dati personali verso Paesi terzi o organizzazioni internazionali, si stabilisce che esso sia consentito solo nei confronti delle autorità competenti e per le finalità di pubblica sicurezza oggetto della direttiva e in presenza di specifiche condizioni, tra cui l’adozione, da parte della Commissione dell’Unione europea, di una decisione di adeguatezza o, in mancanza, vi siano garanzie adeguate.

Il decreto individua nel Garante nazionale l’autorità deputata a vigilare sul rispetto delle norme attuative della direttiva in funzione della tutela dei diritti e delle libertà fondamentali delle persone fisiche, coinvolte dalle attività di trattamento di dati personali, escludendo il potere di controllo del Garante in ordine al trattamento svolto dall’autorità giudiziaria nell’esercizio delle funzioni giurisdizionali, comprese quelle del pubblico ministero. Infine, per quanto riguarda la violazione delle nuove norme, il testo prevede sanzioni amministrative (che nei casi più gravi possono estendersi da 50mila a 150mila euro) per le violazioni inerenti alle modalità del trattamento e introduce sanzioni penali per il trattamento operato con finalità illegittime.

eIdas, la sicurezza informatica applicata alla firma e alla transazioni elettroniche

L’eIDAS, acronimo di electronic IDentification, Authentication and trust Services, è il regolamento europeo che disciplina la firma elettronica, i trasferimenti di denaro e altri tipi di transazioni elettroniche nel mercato unico europeo. Ha permesso di creare standard unici per la firma elettronica, certificati digitali, marche temporali, e altre forme di autenticazione elettronica, consentendo di sostituire documenti cartacei con equivalenti digitali che hanno lo stesso valore legale e riconoscimento ufficiale in tutti i paesi dell’Unione europea.

I paesi membri dell’Unione europea sono tenuti a riconoscere le firme elettroniche che rispettano gli standard fissati dall’eIDAS. In particolare, distingue tre tipologie di firme elettronica: firma elettronica definita come “un insieme di dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati elet­tronici e utilizzati dal firmatario per firmare”; la firma elettronica avanzata, che deve soddisfare determinati requisiti; e la firma elettronica qualificata che, invece, si basa su un certificato qualificato ed è realizzata mediante un dispositivo sicuro per la creazione della firma.

La via italiana alla sicurezza informatica e il decreto Gentiloni

I due regolamenti e le due direttive costituiscono la cornice di riferimento entro le quali si collocano tutte le leggi e le applicazioni italiane. Un passo in autonomia sul fronte della sicurezza informatica interna è stato fatto dal governo Gentiloni nel febbraio del 2017. Ha approvato un programma nazionale per la cybersecurity in più fasi e un nuovo decreto, sostituendo il provvedimento dell’ex presidente del Consiglio Mario Monti che ha regolato l’architettura nazionale per la sicurezza cibernetica dal gennaio 2013 al 2017.

Il provvedimento ha rafforzato il ruolo del Cisr che ha il compito di emanare direttive con l’obiettivo di innalzare il livello della sicurezza informatica del Paese, avvalendosi del supporto del coordinamento interministeriale della parte tecnica del Cisr (Comitato interministeriale per la sicurezza della Repubblica) e del Dis (Dipartimento delle informazioni per la sicurezza).

Tra le novità, il Nucleo sicurezza cibernetica (Nsc) viene ricondotto all’interno del Dis ed assicurerà la risposta coordinata agli eventi cibernetici significativi per la sicurezza nazionale in raccordo con tutte le strutture dei ministeri competenti in materia.

Inoltre, è prevista una forte interazione con l’Agenzia per l’Italia Digitale (AgID) del Dipartimento della Funzione Pubblica, con il ministero dello Sviluppo Economico, con il ministero dell’Interno, con il ministero della Difesa e, infine, con il ministero dell’Economia e Finanze.

Il compito di definire linee di azione che devono assicurare i necessari livelli di sicurezza dei sistemi e delle reti di interesse strategico, sia pubblici che privati, è affidato al direttore generale del Dis che assume così un ruolo centrale nella sicurezza informatica italiana.

A lui spetta verificare e risolvere le eventuali vulnerabilità. Per la realizzazione di queste iniziative è previsto il coinvolgimento del mondo accademico e della ricerca, con la possibilità di avvalersi di risorse di eccellenza, e una collaborazione con le imprese di settore.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr