Il Regolamento Europeo 2016/679 disciplina i diritti del soggetto interessato, il quale può richiederne l’esercizio al titolare del trattamento. Quest’ultimo ha l’obbligo di provvedere entro un mese dalla richiesta dell’interessato, o comunque non oltre due mesi in casi di particolare necessità con apposito avvertimento. Se il titolare non risponde alla richiesta o fornisce una risposta non adeguata, l’interessato potrà rivolgersi al Garante della Privacy o all’autorità giudiziaria al fine di tutelare i suoi diritti.
L’Articolo 23 del GDPR elenca una serie di deroghe riguardo l’obbligo del titolare ad esercitare i diritti dell’interessato. Inoltre, delega agli Stati membri la possibilità di individuare ulteriori restrizioni: in Italia sono disciplinati nell’Articolo 8 del Codice per la protezione dei dati personali 196/2003, modificato dal D.Lgs 101/2018.
MA QUALI SONO QUESTI DIRITTI?
DIRITTO DI INFORMAZIONE. In base al principio di correttezza e trasparenza, il titolare è obbligato, ai sensi dell’art. 12 del GDPR, di comunicare in maniera corretta e completa le informazioni previste dagli articoli 13 e 14 del GDPR, a cui l’interessato ha diritto. La comunicazione deve avvenire tramite un’apposita informativa e deve riguardare, necessariamente, i seguenti punti: i dati del titolare e del DPO (se presente), le categorie di dati personali trattati, le finalità predeterminate e la base giuridica con cui si giustifica il trattamento, la durata del trattamento o i criteri per determinarla, la modalità di trattamento, i destinatari o le categorie di destinatari dei dati, eventuale esistenza di un processo decisionale automatizzato, eventuale trasferimento ad un paese non appartenente all’Unione Europea e, infine, i diritti dell’interessato e la modalità di esercizio.
DIRITTO DI ACCESSO (ART. 15). Il Regolamento Europeo 2016/679 disciplina il diritto di accesso ai dati trattati da parte dell’interessato. Quest’ultimo ha il diritto di ottenere, da parte del titolare del trattamento, la conferma che vi sia o meno un trattamento dei dati personali che lo riguardano, di ottenere l’accesso ai dati personali e altre informazioni sul trattamento previste dal diritto di informazione. Qualora il diritto all’accesso possa ledere i diritti o le libertà altrui, creando un pregiudizio effettivo e concreto, oppure l’esecuzione del diritto presuppone un onere sproporzionato per il titolare, la copia dei dati può essere rifiutata.
DIRITTO DI RETTIFICA (ART. 16). Nel caso in cui vengono trattati dati inesatti, l’interessato può richiedere il la rettifica dei propri dati personali, ai sensi dell’art. 16 del GDPR. Inoltre, tenuto conto delle finalità del trattamento, l’interessato ha il diritto di ottenere l’integrazione dei dati personali incompleti (con anche dichiarazione integrativa).
DIRITTO ALLA CANCELLAZIONE (“DIRITTO ALL’OBLIO”, ART. 17). L’interessato ha il diritto di ottenere la cancellazione dei dati personali, da parte del titolare, nel caso in cui sussiste uno dei seguenti motivi: i dati non risultano più necessari rispetto alle finalità per il quale sono stati trattati; l’interessato esercita il diritto di revoca del consenso (art. 7, co. 3 del GDPR); l’interessato si oppone al trattamento (ex art. 21 del GDPR); i dati personali sono trattati in modo illecito; i dati devono essere cancellati per adempiere ad un obbligo giuridico previsto dal diritto dell’Unione o dello Stato membro; i dati personali sono stati raccolti relativamente all’offerta di servizi. Tenendo conto dei costi di attuazione e della tecnologia disponibile, il titolare ha l’obbligo di cancellare i dati personali, senza ingiustificato ritardo.
Se il trattamento è necessario per l’esercizio del diritto di libertà di espressione o informazione, per l’adempimento di un obbligo giuridico previsto dal diritto Europeo o dallo Stato membro cui è soggetto il titolare, per motivi di interesse pubblico, a fini di archiviazione nel pubblico interesse / ricerca scientifica / storica / statistici o, infine, per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria, il diritto alla cancellazione non si applica.
DIRITTO DI LIMITAZIONE DI TRATTAMENTO (ART. 18). Ai sensi dell’Articolo 18 del GDPR, l’interessato ha il diritto di ottenere la limitazione dei dati personali trattati per: contestazione dell’esattezza dei dati personali, accertare o esercitare o difendere un diritto in sede giudiziaria, se il trattamento è illecito e l’interessato si oppone alla cancellazione, se l’interessato si è opposto al trattamento ai sensi dell’art. 21 del GDPR.
La limitazione avviene soltanto con previo consenso dell’interessato o al fine di accertare, esercitare o difendere un diritto in sede giudiziaria o per tutelare i diritti di un soggetto terzo o per motivi di interesse pubblico. Qualora la limitazione dei dati personali venga revocata, il titolare ha l’obbligo di informare l’interessato.
DIRITTO DI PORTABILITÀ DEI DATI (ART. 20). Il titolare, qualora l’interessato lo richieda, ha l’obbligo di fornire i dati personali ricevuti da quest’ultimo e di non impedire la trasmissione di tali dati ad un altro titolare del trattamento. Ciò può avvenire nell’eventualità che il trattamento si basi sul consenso e venga effettuato con mezzi automatizzati. I dati dovranno essere inviati in un formato strutturato, di uso comune e leggibile da un dispositivo automatico.
L’esercizio del diritto non deve in alcun modo ledere i diritti e le libertà altrui.
DIRITTO DI OPPOSIZIONE (ART. 21). Il soggetto interessato ha il diritto di opporsi al trattamento, in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali legati a ragioni di interesse pubblico o l’esercizio di pubblici poteri. Inoltre, l’interessato può opporsi al trattamento per il proseguimento di legittimi interessi del titolare o di terzi, oltre al trattamento per fini commerciali (es.: marketing diretto o profilazione). A seguito dell’esercizio di tale diritto, il titolare si deve astenere nel trattare ulteriormente i dati personali, a meno che non dimostri l’esistenza di motivi legittimi cogenti che prevalgono sui diritti o per l’accertamento o difesa o esercizio di un diritto in sede giudiziaria.
DIRITTO DI NON ESSERE SOTTOPOSTO A PROCESSI DECISIONALI AUTOMATIZZATI (ART. 22). L’interessato, ai sensi dell’art. 22 del GDPR, ha il diritto di non essere sottoposto ad una decisione basata unicamente su un trattamento automatizzato, compresa la profilazione. Il diritto può essere esercitato a meno che la decisone non risulti: necessaria per la conclusione o esecuzione di un contratto, sia autorizzata dal diritto dell’Unione o dallo Stato membro a cui è soggetto il titolare, si basi sul consenso specifico dell’interessato. In ogni caso, se i dati trattati sono dati particolari ex art. 9 e 10 del GDPR, l’interessato ha sempre e comunque il diritto di non essere sottoposto unicamente a tale decisione.
Se hai dubbi sull’argomento, o in generale sulla materia Privacy, contattaci al più presto. Il Team di B&P Solution potrà affiancarti alla scoperta della normativa vigente, aiutandoti ad essere compliance ad essa. Intervieni prima che sia troppo tardi!
Dott.ssa Giada Pongiluppi
A partire dal 17 gennaio 2025 è pienamente operativo il Regolamento DORA – Digital Operational Resilience Act.
Nell’era digitale le tecnologie dell’informazione e della comunicazione (TIC) sostengono sistemi complessi impiegati nelle attività quotidiane. Il crescente grado di digitalizzazione e interconnessione amplifica, come noto, i rischi informatici, rendendo l’intera società, compreso il sistema finanziario, più vulnerabile alle minacce informatiche e alle perturbazioni delle TIC.
Le tecnologie dell’informazione e della comunicazione hanno conquistato un ruolo essenziale nella fornitura di servizi finanziari, al punto da acquisire oggi un’importanza critica nell’esecuzione delle consuete funzioni quotidiane di tutte le entità finanziarie. Basti pensare ai metodi di pagamento, che stanno progressivamente migrando dal contante e dal cartaceo verso soluzioni digitali, nonché alla negoziazione elettronica e algoritmica, alle operazioni di prestito e finanziamento, così come alla finanza tra pari (peer–to–peer finance).
Similarmente, anche il settore assicurativo è stato coinvolto dall’uso delle TIC, con l’emergere di intermediari assicurativi che offrono i loro servizi online e che operano con InsurTech fino alla sottoscrizione di assicurazioni digitali.
Il regolamento mira a consolidare e aggiornare i requisiti in materia di rischi informatici e, conseguentemente rischi operativi, che sono state finora trattati separatamente in vari atti giuridici dell’Unione. Tali atti riguardavano le principali categorie di rischio finanziario (ad esempio rischio di credito, rischio di mercato, rischio di controparte e rischio di liquidità, rischio di condotta sul mercato), ma nel momento in cui sono stati adottati non trattavano in maniera globale tutte le componenti della resilienza operativa.
Il regolamento, tenta di colmare, pertanto, le lacune e porre rimedio alle incoerenze nei precedenti atti legislativi, anche per quanto riguarda la terminologia utilizzata. Il DORA fa esplicito riferimento ai rischi informatici tramite norme specifiche in materia di capacità di gestione dei rischi informatici, segnalazione degli incidenti, test di resilienza operativa e monitoraggio dei rischi informatici derivanti da terzi.
Al fine di mantenere il pieno controllo sui rischi informatici, le entità finanziarie sono chiamate a dotarsi di capacità generali per consentire una gestione dei rischi informatici forte ed efficace, nonché di politiche e meccanismi specifici per il trattamento di tutti gli incidenti connessi alle TIC e per la segnalazione degli incidenti più gravi connessi alle TIC. Analogamente, all’adozione di politiche per i test su processi, controlli e sistemi di TIC nonché per la gestione dei rischi informatici derivanti da terzi.
Chi sono i soggetti coinvolti
Nel DORA sono coinvolte le banche e gli istituti finanziari, le compagnie assicurative, i fondi di investimento, i fornitori di servizi di pagamento e i fornitori di servizi ICT che operano nel settore finanziario.
I punti salienti del Regolamento DORA
Governance e Gestione del rischio ICT
Le entità finanziarie devono adottare un approccio proattivo alla gestione del rischio legato alle tecnologie ICT. Il quadro per la gestione dei rischi informatici comprende almeno strategie, politiche, procedure, protocolli e strumenti in materia di TIC necessari per proteggere debitamente e adeguatamente tutti i patrimoni informativi e risorse TIC. Questo include:
– Strategie di gestione del rischio ICT: devono essere integrate nella governance aziendale e supportate dal consiglio di amministrazione, che è responsabile della supervisione complessiva.
– Identificazione e mitigazione dei rischi: le organizzazioni devono valutare i rischi potenziali derivanti dall’uso di tecnologie e infrastrutture ICT e adottare misure per mitigarli.
– Monitoraggio continuo: i sistemi ICT devono essere monitorati costantemente per identificare vulnerabilità e segnali di possibili incidenti.
Gestione, classificazione e segnalazione degli incidenti informatici
Le entità finanziarie devono adottare e attuare un processo di gestione degli incidenti connessi alle TIC al fine di individuare, gestire e notificare tali incidenti, che includa:
- a) procedure per identificare, tracciare, registrare, categorizzare e classificare gli incidenti connessi alle TIC in base alla loro priorità e gravità e in base alla criticità dei servizi colpiti;
- b) l’identificazione di ruoli e le responsabilità da attivare per i diversi scenari e tipi di incidenti connessi alle TIC;
- d) piani per la comunicazione al personale, ai portatori di interessi esterni, nonché alle autorità competenti e stabilirne i mezzi di comunicazione;
- e) la segnalazione almeno degli incidenti gravi connessi alle TIC agli alti dirigenti interessati;
- f) procedure di risposta agli incidenti connessi alle TIC per attenuarne l’impatto e garantire tempestivamente l’operatività e la sicurezza dei servizi.
A partire dal 17/01/2025 – data di applicazione del regolamento UE 2022/2554 (DORA) – le entità finanziarie di cui all’articolo 2 dello stesso regolamento sono tenute a segnalare alla Banca d’Italia tutti i gravi incidenti ICT e, su base volontaria, le minacce informatiche significative. In aggiunta, per le banche, gli istituti di pagamento, i prestatori di servizi di informazione sui conti e gli istituti di moneta elettronica gli obblighi segnaletici si estendono anche agli incidenti operativi o relativi alla sicurezza dei pagamenti che li riguardano.
Le segnalazioni dovranno essere effettuate tramite la piattaforma INFOSTAT della Banca d’Italia.
Test di resilienza operativa digitale
Allo scopo di valutare la preparazione alla gestione degli incidenti connessi alle TIC, di identificare punti deboli, carenze e lacune della resilienza operativa digitale e di attuare tempestivamente misure correttive, le entità finanziarie diverse dalle microimprese stabiliscono, mantengono e riesaminano un programma di test di resilienza operativa digitale solido ed esaustivo quale parte integrante del quadro per la gestione dei rischi informatici.
Il programma di test di resilienza operativa digitale comprende una serie di valutazioni, test, metodologie, pratiche e strumenti tra cui si annoverano, ad esempio, test di compatibilità, test di prestazione, test end-to-end e test di penetrazione.
Con cadenza almeno annuale, siano eseguiti test adeguati su tutti i sistemi e le applicazioni di TIC a supporto di funzioni essenziali o importanti.
Tra i principali profili disciplinati dal Regolamento DORA si trova l’onere per le entità finanziarie, diverse dalle entità di cui all’articolo 16, paragrafo 1, primo comma, e dalle microimprese, di effettuare test avanzati sotto forma di test di penetrazione basati su minacce (Threat-Led Penetration Test – TLPT) con cadenza almeno triennale.
Analogamente a quanto già avviene con la Direttiva NIS2, infatti, le imprese saranno direttamente responsabili anche dei loro fornitori: ciò significa che dovranno assicurarsi che le realtà che fanno parte della supply chain adottino anch’esse degli standard adeguati per la sicurezza informatica.
La dipendenza da fornitori esterni, come cloud provider o software-as-a-service (SaaS), è un punto critico, pertanto, le entità finanziarie dovranno valutare i rischi associati ai fornitori e garantire che rispettino standard adeguati di sicurezza ICT, prevedere, nei contratti con i fornitori, clausole contrattuali specifiche su sicurezza, accesso ai dati e obblighi di cooperazione in caso di incidenti e condurre audit regolari per assicurare che i fornitori rispettino i requisiti.
Infine, il regolamento prevede l’istituzione di un quadro di sorveglianza affidato alle autorità europee di vigilanza. Questo quadro intende designare i provider di servizi ICT critici e assicurare che questi rispettino norme e procedure appropriate per garantire la sicurezza dei servizi ICT forniti alle entità finanziarie.
Più in dettaglio, il quadro affida alle autorità europee di vigilanza (AEV) i compiti di designare, sulla base di criteri chiari, i fornitori di servizi ICT ritenuti critici per le entità finanziarie e di nominare, in qualità di autorità di sorveglianza capofila per ciascun fornitore terzo critico di servizi ICT, l’AEV responsabile dell’entità finanziaria interessata.
La Banca d’Italia ha pubblicato una comunicazione al mercato in materia di sicurezza ICT, richiamando l’attenzione degli intermediari direttamente vigilati sui profili della resilienza operativa digitale e del rischio ICT.
Gli intermediari vengono invitati a valutare il proprio posizionamento rispetto al Digital Operational Resilience Act (DORA) e a effettuare un’autovalutazione del proprio ICT risk management framework da trasmettere alla Banca d’Italia entro il 30 aprile 2025.
Avv. Valentina De Simone
Nel contesto aziendale odierno, caratterizzato da un continuo mutamento normativo e da crescenti minacce informatiche, è fondamentale che le imprese adottino un sistema integrato di conformità normativa che rispetti tutte le legislazioni vigenti. La protezione dei dati, la sicurezza delle informazioni, la gestione dei rischi operativi e la prevenzione dei reati sono temi sempre più rilevanti per le aziende. Per affrontare queste sfide, è necessario un approccio creativo che tenga conto di normative chiave come la privacy (GDPR), la Direttiva NIS2, la cybersecurity, il decreto 231, la 27001 e altre regolamentazioni similari.
Un Sistema Integrato per la Conformità Normativa
La creazione di un sistema integrato implica l’adozione di politiche, procedure e misure tecniche coordinate che assicurino la protezione dei dati, la sicurezza delle informazioni e la continuità operativa. Un sistema ben strutturato non solo aiuta a rispettare gli obblighi legali, ma migliora anche l’efficienza operativa, riducendo il rischio di incidenti e garantendo la resilienza dell’impresa.
-Privacy (GDPR): È fondamentale implementare politiche di protezione dei dati che rispettino le normative europee in materia di privacy, assicurando che i dati personali vengano trattati in modo sicuro e trasparente.
– NIS2 e Cybersecurity: La Direttiva NIS2 impone alle aziende che gestiscono servizi essenziali di adottare misure di sicurezza adeguate per proteggere le infrastrutture critiche da attacchi informatici. La cybersecurity deve essere integrata in ogni processo aziendale per prevenire vulnerabilità.
– ISO 27001: Questa norma internazionale fornisce un framework per la gestione della sicurezza delle informazioni, garantendo che i dati aziendali siano protetti da minacce interne ed esterne.
– ISO 22301: Riguarda la gestione della continuità operativa, assicurando che l’azienda possa riprendersi rapidamente da eventi disastrosi, proteggendo così la sua resilienza e stabilità.
– Modello 231:Implementare un sistema di controllo interno che preveda la responsabilità gestionale delle imprese, prevenendo il rischio di reati aziendali e garantendo la trasparenza e l’etica nelle operazioni.
Formazione e Responsabilità degli Organi Apicali
Un sistema di conformità efficace richiede anche una forte componente di formazione. La formazione continua del personale e degli organi apicali è essenziale per garantire che tutti i livelli aziendali comprendano i rischi legati alla sicurezza informatica, alla protezione dei dati, alle conseguenti non conformità e sappiano come applicare le politiche e le procedure stabilite.
– Formazione per tutti i livelli: La formazione deve essere rivolta a tutti i dipendenti, dai livelli operativi agli organi apicali, per sensibilizzarli sui temi della sicurezza, della protezione dei dati e della gestione dei rischi. I corsi devono trattare le best practices di sicurezza, le normative in evoluzione e le procedure aziendali.
– Responsabilità degli Organi Apicali:
Gli organi apicali, come il Consiglio di Amministrazione, l’amministratore unico, i dirigenti, sono direttamente responsabili per la creazione e il mantenimento di un ambiente conforme alle normative. È cruciale che siano adeguatamente formati e consapevoli delle loro responsabilità legali e aziendali in materia di cybersecurity, privacy e gestione dei rischi. La loro leadership e supervisione sono fondamentali per l’implementazione efficace del sistema integrato di conformità.
È quindi fondamentale creare un sistema integrato che tenga conto delle normative attuali. Questa è una necessità strategica improcrastinabile per ogni azienda. Non si tratta solo di conformarsi a leggi e regolamenti, ma di proteggere l’anima stessa dell’impresa: i dati, le risorse e la continuità operativa. La formazione continua e la consapevolezza delle responsabilità degli organi apicali sono gli elementi chiave che assicurano il successo di questo processo. Con un approccio coordinato e integrato, le aziende possono navigare in modo sicuro nel complesso panorama normativo, riducendo i rischi e rafforzando la loro resilienza a lungo termine.
Avv. Clementina Baroni
Negli ultimi anni, il concetto di *ESG* (Environmental, Social, and Governance) ha popolato il panorama aziendale globale. Le aziende sono chiamate non solo a perseguire obiettivi di profitto, ma anche a rispondere alle aspettative dei propri stakeholder in termini di sostenibilità ambientale e responsabilità sociale. Allo stesso tempo con l’evoluzione digitale e l’aumento delle minacce cyber, la sicurezza informatica è diventata una priorità imprescindibile, soprattutto alla luce di normative come la *NIS2* (Direttiva UE 2022/2555), che impone obblighi specifici alle aziende in materia di sicurezza delle reti e dei sistemi informativi.
In questo contesto, l’integrazione dei principi ESG con gli obblighi imposti dalla NIS2 non è solo una questione di conformità normativa, ma anche di responsabilità aziendale a lungo termine.
Ecco i punti fondamentali:
- Sicurezza Informatica e governance
La governance è uno dei pilastri principali del modello ESG e riguarda le pratiche aziendali relative alla gestione, al controllo e alla trasparenza. La Direttiva NIS2 ha un impatto diretto su questo aspetto, in quanto impone alle aziende di adottare misure di sicurezza adeguate per proteggere le proprie infrastrutture critiche e i sistemi informativi.
Non solo! La NIS2 impone alle aziende di adottare non solo misure tecniche ma soprattutto misure organizzative e operative.
Questo significa che non basta solo fare il backup (misura tecnica) ma che occorre necessariamente creare la procedura e le responsabilità che stanno dietro a questa misura. E così per ogni misura che deve essere adottata e/o implementata.
- Responsabilità dei vertici aziendali
Una delle principali implicazioni della NIS2 in relazione alla governance aziendale è l’assegnazione di responsabilità chiare a livello dirigenziale e amministrativo. La NIS2 richiede che i dirigenti siano coinvolti attivamente nella gestione dei rischi informatici, il che significa che la cybersecurity non può più essere considerata una funzione puramente tecnica, ma una questione di governance a livello aziendale.
Questo è in linea con i principi ESG, che richiedono necessariamente la necessità di una leadership responsabile e trasparente. Le aziende che adottano pratiche ESG devono garantire che i loro consigli di amministrazione siano informati riguardo ai rischi informatici e che la sicurezza digitale sia integrata nelle strategie aziendali. In altre parole, la gestione della sicurezza informatica deve essere un elemento centrale nella governance aziendale, in quanto la protezione dei dati e dei sistemi è essenziale per mantenere la fiducia degli stakeholder, inclusi clienti, investitori e autorità di regolamentazione.
È sempre più evidente come non si possano più tollerare vertici aziendali non consapevoli e non formati che individuino capri espiatori a cui scaricare in toto tutte le responsabilità ma occorre, anche in un’ottica ESG, una reale e fattiva partecipazione della leadership aziendale in tutti i processi aziendali.
Avv. Clementina Baroni
E’ stato pubblicato il Regolamento UE 2024/2847, c.d. Cyber Resilience Act (CRA): un tassello fondamentale per completare l’architettura normativa europea sulla cybersicurezza, volto a garantire un quadro normativo armonizzato e la certezza del diritto per gli utilizzatori, le organizzazioni e le imprese, comprese le microimprese e le piccole e medie imprese.
Prima dell’avvento del CRA, infatti, sebbene il diritto dell’Unione vigente si applicasse a determinati prodotti con elementi digitali, non esisteva un quadro normativo orizzontale che stabilisse requisiti di cybersicurezza completi per tutti i prodotti con elementi digitali. I vari atti adottati e le diverse iniziative intraprese fino ad allora a livello nazionale e dell’Unione affrontavano solo parzialmente i problemi e i rischi individuati in materia di cybersicurezza, creando un mosaico legislativo all’interno del mercato interno, aumentando l’incertezza del diritto sia per i fabbricanti sia per gli utilizzatori di tali prodotti e imponendo alle imprese e alle organizzazioni un onere aggiuntivo inutile per conformarsi a una serie di requisiti e obblighi per tipi di prodotti simili. La sua integrazione con le altre normative europee, come il Cybersecurity Act, la Direttiva NIS2, il General Product Safety Regulation (GPSR), il Regolamento Macchine e l’AI Act, rafforza, dunque, la sicurezza informatica delle infrastrutture oltre ad aumentare la coerenza ed efficienza nella protezione dei consumatori.
Il “CRA” stabilisce le condizioni limite per lo sviluppo di prodotti con elementi digitali sicuri, garantendo che i prodotti hardware e software siano immessi sul mercato con un minor numero di vulnerabilità e che i fabbricanti prendano la sicurezza in seria considerazione durante l’intero ciclo di vita di un prodotto. Si propone, inoltre, di creare le condizioni che consentano agli utilizzatori di tenere conto della cybersicurezza nella scelta e nell’utilizzo dei prodotti con elementi digitali, ad esempio migliorando la trasparenza per quanto riguarda il periodo di assistenza dei prodotti con elementi digitali messi a disposizione sul mercato.
Fissa anche obblighi per gli operatori economici in relazione a tali prodotti, i requisiti essenziali di cybersicurezza per i processi di gestione delle vulnerabilità e le norme sulla vigilanza del mercato (Capo V), compreso il monitoraggio, e sull’applicazione delle norme e dei requisiti fissati nel Regolamento.
Come anticipato. il CRA si applica “ai prodotti con elementi digitali messi a disposizione sul mercato la cui finalità prevista o il cui utilizzo ragionevolmente prevedibile include una connessione dati logica o fisica diretta o indiretta a un dispositivo o a una rete”.
Il prodotto con elementi digitali, secondo la definizione fornita, è qualsiasi prodotto software o hardware e le relative soluzioni di elaborazione dati da remoto, compresi i componenti software o hardware immesso sul mercato separatamente.
Sussistono, tuttavia, alcune eccezioni: il CRA, infatti, non si applica ai prodotti con elementi digitali già “coperti” dal Regolamento sui dispositivi medici, dal Regolamento sui dispositivi medico-diagnostici in vitro e dal Regolamento relativo ai requisiti di omologazione dei veicoli a motore e dei loro rimorchi.
Non si applica nemmeno ai prodotti con elementi digitali certificati in conformità al
Regolamento riguardante le norme in tema di aviazione civile, né all’equipaggiamento che rientra nell’ambito di applicazione della Direttiva sull’equipaggiamento marittimo.
Elemento caratterizzante della nuova normativa è la suddivisione dei prodotti con elementi digitali in tre macrocategorie a seconda del rischio di cybersecurity presentato: con elementi digitali, con elementi digitali importanti e con elementi digitali critici. A seconda della criticità degli elementi digitali sono imposti requisiti differenti per l’immissione sul mercato europeo e procedure di valutazione di conformità diverse. Ad esempio, i prodotti a basso rischio possono essere valutati mediante controlli interni, mentre quelli ad alto rischio richiedono l’intervento di organismi terzi per ottenere dichiarazioni formali di conformità. Quanto ai prodotti con elementi digitali critici, invece, diventano cruciali l’intervento della Commissione e il dettato del cd. Cybersecurity Act. Infatti, la Commissione dovrà adottare disposizioni atte a determinare quali prodotti con elementi digitali aventi la funzionalità principale di una categoria di prodotti di cui all!Allegato IV del CRA (es. dispositivi hardware con cassette di sicurezza) – per poter dimostrare la conformità ai requisiti essenziali di cui all!Allegato I (tutti o solo in parte) – debbano necessariamente ottenere un certificato europeo di cybersecurity un livello di affidabilità almeno «sostanziale» nell’ambito di un sistema europeo di certificazione della cybersicurezza di cui proprio al Cybersecurity Act, ove presente.
Di particolare interesse risulta essere il dettato dell’articolo 12 del CRA il quale si interseca con il Regolamento europeo sull’intelligenza artificiale (“AI Act”). In tale Regolamento trovano spazio importante i sistemi di IA ad alto rischio, ai quali sono dedicate varie disposizioni contenenti numerosi requisiti e obblighi. Il legislatore europeo, nella stesura del predetto articolo 12, si è giustamente preoccupato di disciplinare l’interrelazione tra queste due normative con riferimento proprio ai sistemi di IA ad alto rischio.
Elemento centrale dell’EU CRA è l’adozione di un meccanismo di certificazione che avrà come conseguenza quella di permettere ai produttori di apporre il marchio CE ai prodotti hardware e software che saranno ritenuti conformi ai requisiti del regolamento, e che potrà avvenire o attraverso una autocertificazione, nel caso di prodotti a basso rischio, o con una certificazione da enti terzi, per i prodotti considerati ad alto rischio, che richiedono una verifica più rigorosa. Il marchio CE quindi, già oggi utilizzato per dimostrare il rispetto di norme sullo spettro elettromagnetico e sulle radiofrequenze, servirà anche a dichiarare che un certo prodotto rispetta i requisiti minimi di sicurezza.
I soggetti destinatari degli obblighi del CRA possono essere tanto i fabbricanti dei prodotti con elementi digitali, quanto gli importatori e i distributori.
In generale, i fabbricanti devono integrare la sicurezza sin dalle prime fasi di progettazione e sviluppo dei prodotti digitali, seguendo un approccio noto come “security by design”. In aggiunta, i dispositivi devono essere forniti con configurazioni di sicurezza predefinite che minimizzino i rischi, riducendo la possibilità di accessi non autorizzati o di sfruttamento delle vulnerabilità, e i software dovranno prevedere aggiornamenti regolari.
I produttori devono, dunque, condurre valutazioni del rischio relativo alla cybersicurezza dei prodotti, identificare e applicare i controlli di sicurezza tecnici e di processo (incluse le attività di manutenzione, assistenza e gestione vulnerabilità).
Tra questi troviamo, ad esempio, la messa a disposizione sul mercato senza vulnerabilità sfruttabili note o, ancora, la necessità che i prodotti in questione siano “progettati, sviluppati e prodotti per limitare le superfici di attacco, comprese le interfacce esterne”. Sicuramente di estremo interesse è l’inserimento tra i requisiti essenziali del principio di “minimizzazione dei dati”, noto in ambito protezione dei dati personali, estendendolo anche ai dati non personali.
Similarmente ad altre normative, il Cyber resilience act richiede ai fabbricanti di notificare al CSIRT (“Computer Security Incident Response Team”) gli incidenti determinati dallo sfruttamento di vulnerabilità dei prodotti.
Importatori e distributori devono verificare che i prodotti rispettino le normative vigenti prima di immetterli sul mercato europeo. Inoltre, in caso di modifiche sostanziali ai prodotti, come aggiornamenti del software, è necessaria una nuova valutazione per assicurare la conformità.
Il Regolamento (UE) 2024/2847 è entrato in vigore il 10 dicembre 2024 – venti giorni dopo la sua pubblicazione nella Gazzetta Ufficiale dell’Unione Europea avvenuta il 20 novembre 2024 – e diventerà pienamente applicabile a partire dall’11 dicembre 2027. Tuttavia, alcune disposizioni troveranno applicazione anticipata.
Gli obblighi relativi alla notifica di vulnerabilità e incidenti di sicurezza per i prodotti con elementi digitali, stabiliti all’articolo 14, saranno infatti in vigore dall’11 settembre 2026, mentre le norme del capo IV (articoli 35-51), che disciplinano la notifica degli organismi di valutazione della conformità, la sorveglianza del mercato e le misure di conformità, entreranno in vigore già dall’11 giugno 2026.
Avv. Valentina De Simone
Nei giorni scorsi InfoCert ha pubblicato il seguente comunicato stampa:
“In data 27 dicembre u.s., in occasione delle continue attività di monitoraggio dei nostri sistemi informatici, è stata rilevata la pubblicazione non autorizzata di dati personali relativi a clienti censiti nei sistemi di un fornitore terzo.
Tale pubblicazione è frutto di un’attività illecita in danno di tale fornitore, che non ha però compromesso l’integrità dei sistemi di InfoCert. Nel confermare che sono in corso tutti gli opportuni accertamenti sul tema, anche al fine di eseguire le necessarie denunce e notifiche alle Autorità competenti, siamo fin da ora in grado di informare che nessuna credenziale di accesso ai servizi InfoCert e/o password di accesso agli stessi è stata compromessa in tale attacco. Sarà nostra cura fornire ulteriori approfondimenti non appena possibile. Cordiali saluti InfoCert S.p.A”.
L’oggetto di tale data breach riguarda la pubblicazione non autorizzata di dati personali relativi a clienti censiti nei sistemi di un fornitore terzo. Ed ecco che appare evidente come si debba, ancora, porre l’attenzione sulla catena di approvvigionamento o c.d. supply chain.
Questo sia alla luce del GDPR che da tempo richiede che il titolare, che voglia individuare soggetti terzi siano essi fornitori, appaltatori o comunque facenti parte della catena di fornitura, debba …ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate che alla luce della nuova direttiva nis2 e relativo decreto di attuazione nr. 138/2024.
Ormai non ci devono più essere dubbi né indecisioni di sorta .
Nell’ affidamento di un incarico, o nella selezione di un fornitore lo stesso va adeguatamente qualificato, vanno verificati i requisiti di sicurezza informatica che devono essere costantemente monitorati e aggiornati.
In particolare occorre:
⁃ Valutare attentamente, come sopra ribadito, la sicurezza informatica di terze parti prima di affidare un incarico o di individuare un fornitore;
⁃ Rivedere tutti i contratti e includervi clausole specifiche sulla sicurezza informatica anche alla luce di quanto previsto e contemplato nella Nis2;
⁃ Prevedere una parte specifica sulla formazione degli incaricati designati dai fornitori prevedendo la verifica della stessa da parte del titolare;
⁃ Limitare l’accesso dei fornitori ai dati e ai sistemi aziendali solo a ciò che è strettamente necessario. Se possibile evitarlo proprio;
⁃ Nell’elaborazione della procedura di incident responce prevedere una specifica parte sulla gestione degli incidenti che coinvolgono i fornitori o comunque le terze parti;
⁃ Valutare le procedure di business continuity dei fornitori ponendo attenzione alle stesse già nella fase di qualificazione dei fornitori medesimi;
⁃ Effettuare, periodicamente, audit di verifica sulle terze parti monitorando costantemente le misure di sicurezza dei fornitori.
Conclusioni
Questo ennesimo data breach mette in luce le falle che già da tempo vediamo nella catena di fornitura e nella supply chain. Questo dovrebbe farci riflettere sul perché la nis2 pone così tanta attenzione alla catena di approvvigionamento e alle misure di sicurezza da esigere che vengano rispettate anche dagli stessi fornitori.
Lascio uno spunto di riflessione: la nostra azienda può essere compliance a tutte le normative, implementarle e aggiornare di continuo ma, se nella selezione dei fornitori, non effettua un’adeguata verifica sulle misure di sicurezza degli stessi allora le minacce informatiche possono derivare direttamente da loro.
Il consiglio, quindi, è quello di investire nel sistema di qualifica dei fornitori lasciandosi alle spalle cattive prassi e promuovendo, invece, una cultura di sicurezza che spazi a tutti i soggetti che vengono a contatto con la nostra azienda.
Commenti recenti