

Maurizio Bonazzi, Consulente ICT appassionato di relazioni professionali finalizzate al sostegno ed alla crescita delle imprese, con questo bell’articolo pubblicato su LinkedIn, ci aiuta a comprendere in modo chiaro ed esaustivo i quadri normativi in essere.
La paura del Vuoto
Ebbene si ci siamo arrivati, almeno fino al bordo del trampolino… e a guardare giù l’acqua è lontana, molto lontana e non possiamo fingere che il timore che sta montando fino a legare quel nodo alla gola, non rischi di bloccarci pietrificandoci, o peggio ancora facendoci rinunciare, ritornando a terra dalla scaletta.
Dopo anni e anni di “non è questione di se, ma di quando” di “ma a chi vuoi che importino i miei dati” di “perché mai dovrebbe capitare proprio a me” di “chi fa i virus sono gli stessi che ti vendono la cura, io non ci casco” c’è voluta una tempesta di Norme per rimettere il punto fermo sulla questione della SICUREZZA INFORMATICA, o meglio sulla Data Protection nella sua accezione più completa.
Infatti,
dal 1° dicembre 2024 al 28 febbraio 2025 i soggetti pubblici e privati a cui si applica la NIS2 devono manifestarsi all’Autorità nazionale competente NIS registrandosi sulla piattaforma digitale disponibile da ACN.
il 17 gennaio 2025 entrerà in vigore il Regolamento UE DORA
Che insieme a ISO27001 e TISAX (quest’ultima per il settore automotive) vanno a descrivere il dedalo di regole che determinano le condizioni minime da applicare alle organizzazioni professionali per aumentare i propri livelli di sicurezza a completo vantaggio della Data Protection.
Ed eccoci dunque arrivati, per qualcuno totalmente inconsapevole per altri un po’ meno, al nostro fatidico bordo del trampolino… e adesso?
Adesso si Salta!
Non ci sono più scuse per rimandare ciò che fino ad oggi è stato procrastinato, i concetti fondamentali sono stati sanciti dal legislatore ed hanno chiarito a “chiari termini” che da adesso la responsabilità non è più delegabile, e questo è il concetto cardine che finalmente deve guidare le azioni delle aziende, la vera Data Driven Pilosophy!
Ogni Amministratore di Società è oggi responsabile e ha l’obbligo di formarsi in merito ai temi della Protezione dei Dati, inoltre ha l’obbligo di dimostrare di aver preso delle decisioni sulla base di Valutazioni (che sono delle vere e proprie Gap Analisys).
Un altro concetto chiave sancito dal legislatore è il concetto di Filiera. Le misure introdotte con le norme si applicano a tutta la filiera delle forniture delle Aziende che hanno Obbligo di adempimento, qualora le proprie forniture possano comportare minaccia di un incidente significativo. Anche in questo caso vale la regola della Valutazione preliminare.
Dunque, l’aspetto più innovativo che è stato introdotto non è solo tecnico, anzi… è di processo. Occorre diventare bravi a mettere nero su bianco le proprie valutazioni d’impatto, l’analisi dei rischi, e le procedure d’intervento.
In fondo, nulla di diverso da ciò a cui ci siamo abituati da anni nella gestione “genuina” dei dati personali grazie al GDPR.
Ma Cosa sono tutte queste Norme?
DORA (Digital Operational Resilience Act)
DORA è un regolamento dell’UE che mira a garantire la resilienza operativa digitale delle entità finanziarie. Questo include banche, compagnie assicurative e fornitori di servizi ICT di terze parti. L’obiettivo è assicurare che queste entità possano resistere, rispondere e recuperare dagli attacchi informatici, mantenendo la continuità operativa
NIS 2 (Network and Information Systems Directive)
NIS 2 è una direttiva dell’UE che si applica a una vasta gamma di settori essenziali e importanti, come energia, trasporti, salute e infrastrutture digitali. L’obiettivo principale è migliorare la sicurezza informatica nell’UE, armonizzando gli standard di sicurezza e rafforzando la gestione dei rischi, la segnalazione degli incidenti e la condivisione delle informazioni
TISAX (Trusted Information Security Assessment Exchange)
TISAX è uno standard di sicurezza delle informazioni specifico per l’industria automobilistica, sviluppato dall’Associazione Tedesca dell’Industria Automobilistica (VDA). TISAX facilita il riconoscimento reciproco delle valutazioni di sicurezza delle informazioni tra le aziende, riducendo la necessità di audit multipli e migliorando la fiducia nella gestione della sicurezza delle informazioni.
ISO 27001
ISO 27001 è uno standard internazionale per la gestione della sicurezza delle informazioni (ISMS). Fornisce un quadro di riferimento per stabilire, implementare, mantenere e migliorare continuamente un sistema di gestione della sicurezza delle informazioni. ISO 27001 è ampiamente utilizzato per garantire la protezione delle informazioni sensibili e la conformità con varie normative, tra cui DORA e NIS 2
Regolamento UE 2023/2841
Stabilisce misure per garantire un livello comune elevato di cybersecurity nelle istituzioni, negli organi, negli uffici e nelle agenzie dell’Unione Europea. Questo regolamento è fondamentale per rafforzare la sicurezza informatica a livello europeo, riducendo il rischio di attacchi che potrebbero compromettere la funzionalità delle istituzioni dell’UE e la protezione dei dati sensibili
Proviamo a fare un po’ di chiarezza concentrandoci sulle differenze
In effetti, DORA, NIS2, TISAX e ISO 27001 possono sembrare simili a prima vista, in quanto tutte si occupano di sicurezza informatica. Tuttavia, presentano differenze significative in termini di ambito di applicazione, obiettivi e requisiti specifici. Cerchiamo di chiarire meglio queste differenze:
Ambito di applicazione:
- DORA (Digital Operational Resilience Act): Si concentra esclusivamente sul settore finanziario, regolando la resilienza operativa digitale di banche, assicurazioni e altri enti finanziari.
- NIS2 (Network and Information Systems Directive 2): Ha un ambito più ampio, coprendo una vasta gamma di settori essenziali come energia, trasporti, sanità, acqua e servizi digitali di base.
- TISAX (Trusted Information Security Assessment eXchange): È specifico per il settore automobilistico, focalizzandosi sulla sicurezza delle informazioni scambiate tra i vari attori della catena di fornitura.
- ISO 27001: È uno standard internazionale volontario applicabile a qualsiasi tipo di organizzazione che desidera implementare un sistema di gestione della sicurezza delle informazioni (SGSI).
Obiettivi:
- DORA: Garantire la continuità operativa delle entità finanziarie di fronte a incidenti informatici.
- NIS2: Rafforzare la sicurezza informatica nei settori essenziali per proteggere le infrastrutture critiche.
- TISAX: Assicurare la protezione delle informazioni sensibili nel settore automobilistico.
- ISO 27001: Fornire un framework per la gestione sistematica della sicurezza delle informazioni.
Requisiti:
- DORA: Impone requisiti specifici per la gestione del rischio informatico, la continuità operativa e la segnalazione degli incidenti.
- NIS2: Introduce obblighi generali in materia di sicurezza informatica, come la valutazione dei rischi, l’implementazione di misure tecniche e organizzative e la gestione degli incidenti.
- TISAX: Definisce un set di requisiti specifici per il settore automobilistico, basati su ISO 27001.
- ISO 27001: Fornisce un elenco di controlli di sicurezza che possono essere adattati alle esigenze specifiche di ciascuna organizzazione.
In sintesi:
- DORA e NIS2 sono normative europee che impongono specifici obblighi di sicurezza informatica a determinate categorie di organizzazioni.
- TISAX è uno schema di valutazione specifico per il settore automobilistico che si basa su ISO 27001.
- ISO 27001 è uno standard internazionale volontario che fornisce un framework generale per la gestione della sicurezza delle informazioni.
Quando scegliere una norma rispetto all’altra?
La scelta della norma dipende dal settore di appartenenza dell’organizzazione e dai requisiti specifici del business. Ad esempio:
- DORA: Obbligatoria per le entità finanziarie.
- NIS2: Obbligatoria per le organizzazioni che operano in settori essenziali indicati dalla normativa.
- TISAX: Richiesta da molti produttori automobilistici ai loro fornitori.
- ISO 27001: Adatta a qualsiasi organizzazione che desidera migliorare la propria sicurezza informatica.
In molti casi, le organizzazioni possono decidere di implementare più norme contemporaneamente. Ad esempio, un’azienda del settore automobilistico potrebbe decidere di ottenere sia la certificazione TISAX che la certificazione ISO 27001 per dimostrare un elevato livello di impegno per la sicurezza informatica.
Sfide e Soluzioni
Frammentazione Normativa: La presenza di molteplici normative può creare confusione. È importante avere un approccio strutturato per comprendere e implementare i requisiti specifici di ciascuna normativa
Risorse e Competenze: La gestione della conformità richiede risorse e competenze specifiche. Investire in formazione e, se necessario, affidarsi a consulenti esterni può essere una soluzione efficace
Tecnologia e Innovazione: Utilizzare strumenti tecnologici avanzati per la gestione della sicurezza informatica può aiutare a soddisfare i requisiti normativi e migliorare la resilienza operativa
Pronto a Saltare?
Se hai apprezzato il mio articolo e hai bisogno di ulteriori dettagli o di assistenza specifica, sono qui per aiutarti!
Insieme possiamo salire sul Trampolino con una maggiore consapevolezza per essere pronti al Tuffo.