GDPR, NIS, Cybersecurity Act e perimetro di sicurezza nazionale cibernetico: principali norme in materia di sicurezza informatica e protezione dati

GDPR, direttiva NIS, Cybersecurity ACT e Perimetro di Sicurezza Nazionale Cibernetico: il quadro normativo nazionale ed internazionale in materia di protezione dati e sicurezza informatica, orientato alla definizione di ruoli e responsabilità.

Negli ultimi anni, il quadro normativo in materia di protezione dati e sicurezza informatica, tanto a livello nazionale, quanto a livello europeo, è stato oggetto di un processo di profonda revisione e rinvigorimento, improntato soprattutto alla costruzione di un impianto culturale attorno al quale soggetti pubblici e privati sono chiamati ad adeguare il loro approccio alla tutela di beni e asset.

Prima norma in materia oggetto di interesse è senz’altro il Regolamento UE 2016/679 (“GDPR”), che ha rivoluzionato l’approccio alla tutela delle persone fisiche con riguardo al trattamento dei dati personali.
La portata innovativa del GDPR, rispetto alla normativa precedente è stata quella di aver introdotto un approccio di tipo risk based in materia di protezione dei dati personali, sulla base del quale il Titolare del trattamento (ovvero il soggetto che determina modalità e finalità del trattamento) non può limitarsi a rispettare una serie di prescrizioni normative, ma è chiamato a dare evidenza, con una serie di strumenti, dell’impatto che i trattamenti effettuati hanno – o potrebbero avere – sui diritti e le libertà degli interessati, in modo da potersi dire “accountable”.

In considerazione, poi, dell’accresciuta esposizione di beni e asset strategici a minacce di tipo cibernetico, si è successivamente imposto nell’agenda normativa nazionale ed internazionale l’obiettivo di sviluppare, in tempi brevi, idonei e sempre più stringenti meccanismi di tutela.

È proprio a partire da questa necessità che ha visto la luce la Direttiva 2016/1148 del 6 luglio 2016 (“Direttiva NIS”). La Direttiva, recepita nell’ordinamento italiano con il decreto legislativo n. 65 del 18 maggio 2018, definisce il complesso processo di adozione e armonizzazione, in tutti gli stati membri, delle misure di sicurezza idonee a garantire un elevato livello di sicurezza di reti e sistemi informativi, con l’indicazione delle misure di preparazione, risposta e recupero dei servizi a seguito di incidenti informatici.
I settori che rientrano nell’ambito di applicazione della Direttiva sono diversi, ma quelli inclusi nel perimetro di sicurezza nazionale cibernetico sono ulteriori e più estesi.

Come naturale conseguenza, infatti, a fronte della crescente esigenza di chiarificazione e completamento delle disposizioni europee in materia, nella seconda metà del 2019 è stato adottato il decreto legge n. 150/2019, volto a definire il cosiddetto “perimetro di sicurezza nazionale cibernetico”, vale a dire il complesso di amministrazioni pubbliche, enti e operatori – pubblici e privati – con funzioni essenziali per lo Stato e dipendenti da reti, sistemi informativi e sistemi informatici.

Per concludere il quadro, nello stesso anno, a livello europeo, è invece stato adottato il già citato Cybersecurity Act, destinato a cambiare completamente la disciplina in materia di cybersecurity, soprattutto per l’introduzione di una cornice normativo-regolamentare europea per la certificazione della sicurezza informatica di prodotti, servizi e processi ICT.

Condividi

Condividi

Andrea Marchi

Interessato alla
Masterclass?

Iscriviti

Potrebbe interessarti anche