NIS2 e GDPR Compliance
NIS2 Compliance
NIS2 Compliance
Compliance è una parola inglese il cui significato in italiano è rispetto, cioè adeguatezza, conformità.
E’ andata in vigore da poco la Direttiva NIS2, che impone ad enti e aziende il rispetto di norme ben precise sulla cybersecurity.
Per stabilire quali aziende devono rispettare gli obblighi previsti, la direttiva NIS 2 indica tre criteri: settore di appartenenza, dimensione dell’azienda e ruolo che le imprese hanno nel loro settore.
I settori a cui si applica la NIS 2 si dividono in settori ad alta criticità e settori critici:
- settori ad alta criticità: energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, settore sanitario, acqua potabile, acque reflue, infrastrutture digitali, gestori di servici Tlc b2b, pubblica amministrazione e settore spazio;
- altri settori critici: servizi postali e di corriere; gestione dei rifiuti; fabbricazione, produzione e distribuzione di sostanze chimiche; produzione, trasformazione e distribuzione di alimenti; fabbricazione (in sei sotto settori: dispositivi medici e medico-diagnostici in vitro; computer e prodotti di elettronica e ottica; apparecchiature elettriche; macchinari e apparecchiature n.c.a.; autoveicoli, rimorchi e semirimorchi; altri mezzi di trasporto); fornitori di servizi digitale; ricerca.
All’interno di questi settori, la direttiva NIS 2 si applica a soggetti pubblici o privati di medie o grandi dimensioni. Indipendentemente dalla loro dimensione, la NIS 2 si applica anche ai soggetti ritenuti critici per i settori citati, ai fornitori di servizi di registrazione di dominio e alle PA centrali e regionali.
Cosa fare per adeguarsi
Per informarti puoi leggere il nostro articolo su questo argomento.
NOI DI TESEO.iT, con la nostra esperienza nel campo della cybersecurity e della consulenza in materia di sicurezza, possiamo aiutarvi a raggiungere gli obiettivi preposti, mediante
- consulenza per la compliance della NIS2, utilizzando software di Asset Management, Vulnerability Assessment, SIEM
- piani di adeguamento per raggiungere la postura desiderata della cybersecurity;
- scrittura della documentazione richiesta per la compliance;
- fornitura e configurazione di apparecchiature delle marche leader di mercato in campo di security, business continuity
La vera sfida è farsi trovare pronto. Contattaci. Saremo lieti di darti tutto il supporto possibile, anche per una sola chiacchierata.
GDPR Compliance
Quando parliamo di GDPR Compliance indendiamo il rispetto della normativa sulla Privacy di quel complesso di flussi, informazioni, trattamenti dei dati, software e sistemi che avviene in azienda.
Ed oggi, con l’entrata in vigore nel 2018 del nuovo regolamento Privacy (GDPR 679/EU) della Comunità Europea, tutto ciò che si fa in azienda, se tratta di dati personali, va fatto in compliance.
Ma cosa stabilisce la nuova normativa, fortemente voluta a livello Europeo propio per armonizzare i differenti pronunciamenti nei singoli Paesi? Quali sono gli obblighi, in pratica, a cui attenersi per essere in regola?
Al contrario della vecchia normativa italiana sulla Privacy (D.Lgs 196/2003 di degna memoria) che prescriveva nell’Allegato B, il “set minimo di misure di sicurezza" da attuare per essere a posto con la legge, la nuova formulazione pone a carico della azienda la dimostrazione di aver adottato le misure adeguate nel campo della sicurezza dei dati. E l’adeguatezza è un criterio che va valutato in base a
- tipologie dei dati trattati
- ampiezza del trattamento
- quantità dei flussi informatici
- modalità di conservazione
- entità esterne e professionisti coinvolti
cioè una quantità di informazioni e di valutazioni che devono essere effettuate e, soprattutto DOCUMENTATE per poter, un domani, dimostrare, se necessario, il lavoro svolto.
Da un certo punto di vista la legge attualmente in vigore ribalta il concetto della aderenza, lasciando quindi all’Impresa/Ente Pubblico l’onere di dimostrare che ha ottemperato e messo in campo le misure adeguate.
Essere GDPR compliant quindi significa essere conformi al Regolamento europeo per la protezione dei dati, rispettarne i princìpi e adottare procedure organizzative e di sicurezza perché il rischio della perdita, diffusione indesiderata, trattamenti non consentiti sui dati personali sia il più basso possibile, verificando che anche tutta la catena dei responsabili sia compliant, dai titolari ai responsabili esterni.
La Teseo.it vi può aiutare!
A seconda della tipologia dei dati trattati vi seguiamo
- nella Valutazione di Impatto Privacy iniziale (PIA),
- nella stesura degli eventuali incarichi di trattamento a responsabili esterni,
- nella modulistica per i vostri dipendenti,
- nella stesura delle Privacy Policy per i vostri siti
- nell’analisi di tutti i flussi informativi che coinvolgono dati personali
- nella formazione del personale alle tematiche della Privacy
- nella corretta tenuta del Registro dei Trattamenti
- nella valutazione dei trattamenti leciti ed illeciti
- nella assunzione di un eventuale incarico di DPO esterno
Non crediamo nella modulistica redatta “a ciclostile", non crediamo che la Privacy sia solo un adempimento “come tutti gli altri" ai quali l’impresa si deve sottoporre perchè qualcuno può controllare e sanzionare.
Al contrario, la Privacy può essere una occasione per rivedere le attività aziendali nell’ottica del rispetto dei dati personali, dando il giusto peso a seconda della tipologia (sensibili o no). E per fornire ai clienti le garanzie che si aspettano da voi che trattate i loro dati.