Presto entreranno in vigore le normative NIS2 e DORA, volte a regolamentare al sicurezza informatica aziendale e che accompagneranno il già esistente GDPR. Il GDPR ha già aperto la strada a una semplificata adozione di queste due normative, fornendo alcuni insegnamenti utili alle aziende. Come? Ce ne parla Manlio De Benedetto, Senior Director Sales Engineering EMEA di Cohesity.
Che effetto ha avuto il GDPR?
A pochi mesi dall’entrata in vigore di DORA e NIS 2, è ora di tirare le somme sugli effetti del GDPR, che quest’anno compie sei anni. Nei primi mesi del 2024 sono state già emesse multe per 4,5 miliardi di euro, mezzo miliardo in più rispetto allo stesso periodo del 2023, segnando un aumento dell’11%. L’Italia si posiziona al quarto posto tra i Paesi più sanzionati, con multe che ammontano a 145 milioni di euro dal 25 maggio 2018 a oggi.
DORA, dedicato specificatamente al settore finanziario, e NIS 2, che aggiorna le norme in materia di sicurezza informatica adottate nel 2016, ricalcano le orme del GDPR, prevedendo multe significative non solo per ottimizzare il trattamento dei dati, ma anche per spingere le organizzazioni a strutturarsi meglio per resistere agli attacchi informatici. Il DORA entrerà in vigore il 17 gennaio 2025, mentre la NIS 2 dovrà essere recepita dagli Stati membri al più tardi il 17 ottobre 2024.
Le sanzioni nel caso non si dovessero rispettare queste direttive saranno molto significative. Nel dettaglio, se le aziende non rispetteranno gli obblighi stabiliti dal DORA, rischieranno multe fino a 10 milioni di euro o pari al 5% del fatturato globale dell’anno precedente. Le ammende previste dalla NIS 2 sono ancora più severe e interesseranno da vicino anche il management: le persone giuridiche potranno infatti essere sanzionate da 100 mila euro fino a 20 milioni di euro.
Beneficiare del lavoro preparatorio sul GDPR
Il GDPR ha posto le basi per una più facile adozione delle nuove normative, spingendo le aziende a migliorare la gestione dei dati personali. La previsione di ulteriori tutele, come il diritto all’oblio e l’obbligo di segnalare la perdita di dati, ha richiesto anche di implementare processi e flussi di lavoro che possono essere utilizzati in modo simile per NIS 2 e DORA.
Per migliorare ancora di più la propria postura di sicurezza e aderire alle nuove normative, le aziende possono fare affidamento a piattaforme di sicurezza e gestione dei dati guidate dall’intelligenza artificiale. Vediamo alcuni dei vantaggi che queste soluzioni possono fornire alle organizzazioni.
Cosa contengono i nostri dati?
Di fondamentale importanza è che le aziende sappiano esattamente quali dati possiedono e che valore hanno per rispondere a determinati requisiti di governance e conformità. Conoscere a fondo i propri dati permette inoltre di capire più rapidamente quali sono stati colpiti in caso di intrusione da parte dei criminali informatici, accelerando la stesura dei report previsti da NIS 2 e DORA e rendendo i risultati molto più precisi.
Tenere traccia delle montagne di informazioni gestite dalle aziende non è un compito facile. Qui vengono in aiuto soluzioni di intelligenza artificiale come Cohesity Gaia, in grado di classificare e indicizzare i dati in maniera automatica, facendo affidamento a dati di backup.
Teniamo i flussi di dati sotto controllo
Con i dati già classificati in maniera corretta, la piattaforma di gestione dei dati sottostante può gestire direttamente i dati senza che il proprietario dei dati debba intervenire, riducendo il rischio di errore umano. Inoltre, le piattaforme di gestione attuali proteggono i dati cifrandoli e e richiedendo agli utenti di autorizzarsi tramite autenticazione a più fattori.
Le policy di controllo sopra citate sono sono un elemento fondamentale della NIS 2, che impone una verifica granulare degli accessi basata sui ruoli applicando il principio di sicurezza del minimo privilegio.
Una risposta più rapida agli incidenti
In caso di incidente informatico, l’azienda deve essere in grado di reagire tempestivamente per ripristinare l’operatività e assicurare l’incolumità di dati e sistemi. Soluzioni cloud permettono ai team dell’infrastruttura e della sicurezza di creare una clean room isolata, contenente un set di strumenti e dati di sistema e di produzione per dare avvio a un’operazione di emergenza sicura. Dalla clean room è poi possibile ripristinare le attività in modo graduale e in stretto coordinamento con i team dell’infrastruttura, con sistemi sicuri e affidabili. Non da ultimo, questi processi sono essenziali anche per generare i report previsti dalle normative NIS 2, DORA e GDPR.
Per maggiori informazioni sulle soluzioni di sicurezza offerte da Cohesity, vi invitiamo a consultare la pagina web dedicata.