News
11/03/2019 Cybersecurity: una nuova sfida per giuristi
La crescente attenzione del Legislatore sulla protezione delle reti informatiche
L'illecita introduzione nei sistemi di sicurezza aziendali rappresenta una nuova emergenza che interessa particolarmente le imprese italiane; è quanto emerge dall'ultima edizione dell'Osservatorio "information security & privacy" della School of management del Politecnico di Milano. Le aziende italiane faticano a rispondere all'aumento delle intrusioni a causa della vulnerabilità delle proprie reti che risultano spesso obsolete e sprovviste di adeguati sistemi di sicurezza. La minaccia riguarda non solo i sistemi IT, in relazione ai quali si configura, tra l'altro, il rischio di sottrazione o comunque violazione di informazioni riservate, ma anche le reti IOT in relazione alle quali si pone un tema di sicurezza di grande rilevanza in quanto le intrusioni in tali sistemi possono comportare rilevanti conseguenze anche in termini di continuità delle attività e sicurezza sul lavoro.
Del tutto correttamente quindi il legislatore ha incominciato a prestare sempre maggiore attenzione al tema, introducendo obblighi di adozione di misure di sicurezza talvolta "minime", specificamente individuate, talvolta lasciando all'imprenditore ampia discrezionalità nell'individuazione di misure "adeguate": è quest'ultima impostazione quella scelta dal GDPR che impone ai titolari del trattamento l'adozione di misure di sicurezza "adeguate per garantire un livello di sicurezza adeguato al rischio" (art. 32 GDPR) laddove l'attenzione è ovviamente rivolta non tanto alla sicurezza della rete in sè quanto alla protezione dei dati personali che su quella rete vengono archiviati.
Diversa impostazione troviamo nella circolare del 18 aprile 2017 recante "misure minime di sicurezza ICT per le pubbliche amministrazioni" dove vengono specificamente individuate le misure minime per la sicurezza ICT che debbono essere adottate dalle Pubbliche Amministrazioni al fine di contrastare le minacce più comuni e frequenti cui sono soggetti i loro sistemi informativi.
Con impostazione similare a quella contenuta nel GDPR il Decreto Legislativo n. 65 del 18 maggio 2018 - attuazione della direttiva (UE) n. 1148/2016 - recante "misure per un livello comune elevato di sicurezza delle reti e dei sistemi informatici dell'Unione", impone ai fornitori di servizi essenziali l'obbligo di adottare "misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza della rete e dei sistemi informativi" (art. 12 d.lgs. n. 65/2018) delegando però l'adozione di Linee Guida al gruppo di cooperazione tra Stati membri e all'ENISA (Agenzia dell'Unione Europea per la Sicurezza delle Reti e dell'Informazione).
Emerge quindi con chiarezza la progressiva crescente attenzione del Legislatore sul tema della protezione delle reti - non solo delle Pubbliche Amministrazioni ma anche di soggetti privati - dai rischi di intrusione in quanto costituenti una sempre più rilevante minaccia in termini non solo probabilistici ma anche di gravità delle conseguenze; questa crescente attenzione si sta concretizzando nell'introduzione di oneri di attuazione di misure di sicurezza "minime" ovvero "adeguate".
inizia subito il tuo percorso di formazione online!
