Apprendere la lezione del GDPR per prepararsi alle normative DORA e NIS 2

Proteggere la fiducia digitale fa bene al business

Alla normativa GDPR seguiranno a breve a livello europeo la direttiva NIS 2 e il regolamento DORA. Entrambi hanno l’obiettivo di indirizzare il settore dei dati e i processi digitali delle aziende, al fine di rendere i dati stessi e le reti meno vulnerabili agli attacchi. Sei anni dopo l’introduzione del GDPR, è possibile trarre alcuni insegnamenti utili su come le aziende dovrebbero recepire le nuove norme, sanzioni incluse

A cura di Manlio De Benedetto, Senior Director Sales Engineering EMEA di Cohesity

Come dice il noto testo di Brecht, lo squalo ha i denti ma Mekki Messer ha un coltello anche se non lo fa vedere. Ebbene quando Il GDPR è stato introdotto il 24 maggio 2018, la grande domanda è stata proprio: ma il GDPR avrà i denti o le conseguenze per le imprese che violano i requisiti saranno minime? Le sanzioni annunciate saranno applicate e, se sì, con quale rigore?

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

A sei anni dall’adozione del regolamento, l’Enforcement Tracker fornisce un quadro chiaro di questa attuazione elencando tutti i procedimenti avviati e le multe inflitte. Nei primi mesi del 2024 sono state già emesse multe per 4,5 miliardi di euro, mezzo miliardo in più rispetto allo stesso periodo del 2023, quindi in aumento dell’11%. Lo studio legale globale DLA Piper prevede nel suo studio annuale sulle violazioni della protezione dei dati addirittura un incremento del 14% nell’anno in corso. L’Italia si posiziona al quarto posto tra i Paesi più sanzionati, con multe che ammontano a 145 milioni di euro dal 25 maggio 2018 a oggi. Tutti indicatori del fatto che se le aziende trattano i dati personali dei cittadini dell’UE in modo improprio, vengono segnalate e, nei casi più gravi, punite.

Come nel caso del GDPR, anche nella stesura del Digital Operational Resilience Act (DORA), dedicato specificatamente al settore finanziario, e della direttiva Network and Information Security 2 (NIS 2), che aggiorna le norme in materia di sicurezza informatica adottate nel 2016, l’UE ha previsto multe significative non solo per ottimizzare il trattamento dei dati, ma anche per spingere le organizzazioni a strutturarsi meglio per resistere agli attacchi informatici. In sintesi, con il DORA e la NIS 2 sono state introdotte regole volte a stimolare una maggiore resilienza informatica.

Leggi anche:  Stormshield realizza un PoC di crittografia resistente ai cyberattacchi quantistici

Il DORA entrerà in vigore il 17 gennaio 2025, mentre la NIS 2 dovrà essere recepita dagli Stati membri al più tardi il 17 ottobre 2024. Alcuni Paesi europei sono già a buon punto e approveranno a breve le normative locali.

Normative che come nel caso del GDPR, prevederanno sanzioni significative per le violazioni, a conferma del trend di inasprimento avviato con l’IT Security Act 2.0 del 2021. Nel dettaglio, se le aziende non rispetteranno gli obblighi stabiliti dal DORA, rischieranno multe fino a 10 milioni di euro o pari al 5% del fatturato globale dell’anno precedente. Le ammende previste dalla NIS 2 sono ancora più severe e interesseranno da vicino anche il management: le persone giuridiche potranno infatti essere sanzionate da 100 mila euro fino a 20 milioni di euro. Inoltre è prevedibile che le autorità perseguiranno le trasgressioni con lo stesso rigore che stanno dimostrando con il GDPR.

Beneficiare del lavoro preparatorio sul GDPR

Il GDPR ha già imposto alle aziende una migliore gestione dei dati personali, richiedendo loro di gestirli in modo più rigoroso e attento rispetto a qualsiasi altra informazione. La previsione di ulteriori tutele, come il diritto all’oblio e l’obbligo di segnalare la perdita di dati, ha richiesto anche di implementare processi e flussi di lavoro che possono essere utilizzati in modo simile per NIS 2 e DORA in caso di attacco. Il ricorso a una piattaforma di sicurezza e gestione dei dati guidata dall’intelligenza artificiale può aiutare enormemente le imprese a implementare questi processi in modo scalabile ed efficiente. Permette infatti di:

– Conoscere l’esatto contenuto dei dati In caso di attacco, gli hacker vogliono rubare, criptare o cancellare i dati. Le organizzazioni devono quindi sapere esattamente quali dati possiedono e che valore hanno per rispondere a determinati requisiti di governance e conformità. Inoltre, potranno capire più rapidamente quali dati sono stati colpiti nel caso in cui i criminali informatici siano riusciti a penetrare, accelerando la stesura dei report previsti da NIS 2 e DORA e rendendo i risultati molto più precisi. Si tratta però di un compito gigantesco per la maggior parte delle aziende, che accumulano ormai montagne di informazioni di cui sanno poco o nulla. In questo ambito, soluzioni di AI come Cohesity Gaia possono aiutare a risolvere uno dei problemi più complessi classificando automaticamente i dati delle aziende. Poiché Cohesity indicizza e classifica i dati dal proprio backup, quelli interessati da un attacco possono essere esaminati in dettaglio anche se i sistemi originali sono stati colpiti da un incidente informatico.

Leggi anche:  Settore Energia: attacchi cyber raddoppiati nei primi tre mesi del 2024 rispetto all’intero anno 2023

Controllare i flussi di dati Se i dati sono classificati con le caratteristiche corrette, la piattaforma di gestione dei dati sottostante può applicare automaticamente le regole senza che il proprietario dei dati debba intervenire, riducendo il rischio di errore umano. Le attuali piattaforme di gestione dei dati controllano l’accesso a determinati dati criptandoli automaticamente e richiedendo agli utenti di autorizzarsi tramite multi-factor authentication. Queste policy di controllo degli accessi sono un elemento fondamentale della NIS 2, che impone una verifica granulare degli accessi basata sui ruoli applicando il principio di sicurezza del minimo privilegio. Cohesity supporta il concetto di quorum consentendo alle organizzazioni di implementare il principio di sicurezza della separazione dei compiti.

Rispondere agli incidentiCome molti attacchi informatici hanno insegnato, un’azienda deve essere in grado di agire. Al contrario, in caso di ransomware o di attacco wiper, le luci dell’azienda si spengono e non funziona più nulla: niente telefono, niente e-mail, niente database, per non parlare del sito web. I team IT dei CIO e dei CISO non sono nemmeno in grado di rispondere a questi attacchi perché tutti gli strumenti di sicurezza sono offline, le prove nei log e nei sistemi sono criptate e non è possibile chiamare il proprio team perché il VoIP non funziona. Diversamente con soluzioni come Cohesity Data Cloud Platform, i team dell’infrastruttura e della sicurezza possono creare una clean room isolata contenente un set di strumenti e dati di sistema e di produzione per dare avvio a un’operazione di emergenza sicura che copra il sistema IT e avviare poi un processo di incident response. Inoltre la clean room permette di ripristinare le attività in modo graduale e in stretto coordinamento con i team dell’infrastruttura, con sistemi sicuri e affidabili. Non da ultimo, questi processi sono essenziali anche per generare i report previsti dalle normative NIS 2, DORA e GDPR.

Leggi anche:  Cyber Guru: prima piattaforma italiana accreditata da ACN per la sicurezza nella PA

La direttiva NIS 2 e il regolamento DORA sono importanti per l’Europa e l’economia perché rafforzano la resilienza informatica delle organizzazioni. L’AI e strumenti come il ransomware as a service non solo hanno aumentato la quantità di attacchi informatici, ma anche la loro qualità. Le infrastrutture digitali devono pertanto diventare più solide e reattive. Per farlo, le aziende devono rivedere e ottimizzare tutti i processi e i flussi di lavoro che gestiscono i dati. Cohesity può essere di grande aiuto come piattaforma centrale e sicura per la gestione dei dati in background e garantire così la massima resilienza informatica operativa possibile.