Conformità GDPR in attesa delle normative DORA e NIS 2
Dal 25 maggio 2018, data in cui è stato introdotto il GDPR, le sanzioni per la violazione delle normative sulla protezione dei dati sono diventate una realtà tangibile per le imprese. L’Enforcement Tracker del GDPR evidenzia un incremento delle sanzioni, con multe che nei primi mesi del 2024 hanno raggiunto i 4,5 miliardi di euro, un aumento dell’11% rispetto allo stesso periodo del 2023. Lo studio di DLA Piper prevede un ulteriore aumento del 14% per l’anno in corso. L’Italia si trova al quarto posto tra i Paesi più sanzionati, con un totale di 145 milioni di euro dal 2018. Questo dimostra che le aziende che trattano in modo improprio i dati personali dei cittadini dell’UE vengono segnalate e punite severamente.
Analogamente al GDPR, l’UE ha introdotto il Digital Operational Resilience Act (DORA) e la direttiva Network and Information Security 2 (NIS 2), con l’obiettivo di migliorare la resilienza informatica delle organizzazioni. Il DORA, che entrerà in vigore il 17 gennaio 2025, e la NIS 2, che dovrà essere recepita dagli Stati membri entro il 17 ottobre 2024, prevedono sanzioni significative per le violazioni. Le aziende che non rispetteranno gli obblighi del DORA rischieranno multe fino a 10 milioni di euro o il 5% del fatturato globale dell’anno precedente. Le ammende previste dalla NIS 2 sono ancora più severe, con sanzioni da 100 mila a 20 milioni di euro, e interesseranno anche il management.
Il GDPR ha già imposto alle aziende una gestione più rigorosa dei dati personali, richiedendo l’implementazione di processi e flussi di lavoro che possono essere utilizzati anche per NIS 2 e DORA in caso di attacco informatico. L’utilizzo di piattaforme di sicurezza e gestione dei dati guidate dall’intelligenza artificiale (AI) può aiutare le imprese a implementare questi processi in modo scalabile ed efficiente. Ad esempio, soluzioni di AI come Cohesity Gaia possono classificare automaticamente i dati aziendali, rendendo più semplice e veloce la risposta agli attacchi informatici e la stesura dei report previsti dalle normative.
Le piattaforme di gestione dei dati possono applicare automaticamente le regole di accesso, criptando i dati e richiedendo autenticazioni a più fattori. Questo è fondamentale per la NIS 2, che impone una verifica granulare degli accessi basata sui ruoli e il principio di sicurezza del minimo privilegio. Cohesity supporta anche il concetto di quorum, consentendo alle organizzazioni di implementare il principio di separazione dei compiti per una maggiore sicurezza.
In caso di attacco, è cruciale che le aziende possano rispondere rapidamente. Soluzioni come Cohesity Data Cloud Platform permettono di creare una “clean room” isolata, contenente un set di strumenti e dati di sistema e di produzione, per avviare un’operazione di emergenza sicura. Questo consente di ripristinare gradualmente le attività e generare i report previsti dalle normative NIS 2, DORA e GDPR, garantendo così la massima resilienza informatica operativa.
La direttiva NIS 2 e il regolamento DORA sono fondamentali per rafforzare la resilienza informatica delle organizzazioni in Europa, soprattutto in un contesto in cui gli attacchi informatici, spesso condotti con strumenti come il ransomware as a service, sono sempre più frequenti e sofisticati. Per far fronte a queste minacce, le aziende devono rivedere e ottimizzare tutti i processi e i flussi di lavoro che gestiscono i dati. Cohesity, come piattaforma centrale e sicura per la gestione dei dati, può essere di grande aiuto nel garantire la resilienza informatica operativa delle organizzazioni.
In conclusione, con l’introduzione del GDPR e delle nuove normative come il DORA e la NIS 2, l’UE dimostra un chiaro impegno a garantire la protezione dei dati personali e la resilienza informatica. Le aziende devono adattarsi a questo nuovo panorama normativo, adottando tecnologie avanzate e processi rigorosi per la gestione e la protezione dei dati, al fine di evitare sanzioni severe e garantire la continuità operativa anche in caso di attacco informatico.