Framework Nazionale per la Cybesecurity e Data Protection, cosa cambia con l’introduzione del GDPR
09/04/2019
La consapevolezza del rischio informatico e la necessità di adeguare le misure di sicurezza cyber stanno aumentando.
Si stima che nel 2020 i danni in termini economici derivanti dal cybercrime possano raggiungere i tremila miliardi di dollari e che possano coinvolgere il 74% del volume d’affari mondiali. Il principale problema è certamente rappresentato dai data breach che, oltre al danno economico derivante dalla possibile perdita dei dati, danno reputazionale e, con l’introduzione del GDPR, può determinare l’applicazione di pesanti sanzioni pecuniarie.
Anche il Governo Italiano sta adottando misure per proteggere le infrastrutture critiche e lo spazio cibernetico italiano, a tal proposito si è pronunciato il vicedirettore del DIS (Dipartimento per le informazioni sulla sicurezza), Roberto Baldoni, che ha annunciato una prima bozza della nuova strategia nazionale per la sicurezza informatica per settembre e prevede alcuni step:
1) isolare un perimetro nazionale di sicurezza cibernetica;
2) attivare la direttiva europea NIS sulla Cybersecurity e verificare che le aziende interessate la applichino;
3) certificare le tecnologie informatiche che rispettano gli standard nazionali ed europei.
Ispirati dal NIST (National Institute of Standards and Technology) nel 2015 il CIS Sapienza (Research Center of Cyber Intelligence and Information Security Sapienza Università di Roma) e il CINI Cybersecurity National Lab (Consorzio Interuniversitario Nazionale per l’Informatica) hanno presentato nel 2015, il Framework Nazionale per la Cybersecurity. Uno strumento operativo fornito alle organizzazioni pubbliche e private per pianificare i processi per la sicurezza informatica.
Oggi, alla luce di queste novità, viene introdotta una nuova versione di questo strumento: il Framework Nazionale per la Cybesecurity e la Data Protection che inserisce novità volte ad assimilare i dettami del GDPR.
Cosa prevede il nuovo Framework Nazionale per la Cybersecurity e la Data Protection?
Nella nuova versione è stato aggiornato il framework core, cioè tutte le attività incluse nel processo di gestione della cybersecurity, integrando tutti gli elementi relativi alla data protection che prima non erano presenti.
Inoltre, è stato sviluppato un prototipo di contestualizzazione per aiutare chi utilizza questo strumento ad applicare il framework nella propria organizzazione rispettando i dettami legati al GDPR. In particolare, per un esame incrociato, alla sezione “Informative References” è stato stilato un parallelo tra gli articoli del Regolamento UE n. 2016/679 e le subcategory nel Framework stesso.
In tal senso, molte aziende di rilevanza strategica per l’interesse nazionale, sia pubbliche che private, considerate come operatori dei servizi essenziali per il Paese, dovranno innalzare i propri livelli di sicurezza perché il blocco delle loro attività potrebbe inficiare la sicurezza di cittadini e aziende. Così, il livello di sicurezza della azienda sarà inserito tra i criteri determinanti per partecipare alle gare di appalto pubbliche.
Hai degli asset di valore della tua azienda? Noi possiamo aiutarti a proteggerli.