Apprendere la lezione del GDPR per prepararsi alle normative DORA e NIS 2

Come dice il noto testo di Brecht, lo squalo ha i denti ma Mekki Messer ha un coltello anche se non lo fa vedere. Ebbene quando Il GDPR è stato introdotto il 24 maggio 2018, la grande domanda è stata proprio: ma il GDPR avrà i denti o le conseguenze per le imprese che violano i requisiti saranno minime? Le sanzioni annunciate saranno applicate e, se sì, con quale rigore? 

A sei anni dall’adozione del regolamento, l'Enforcement Tracker fornisce un quadro chiaro di questa attuazione elencando tutti i procedimenti avviati e le multe inflitte. Nei primi mesi del 2024 sono state già emesse multe per 4,5 miliardi di euro, mezzo miliardo in più rispetto allo stesso periodo del 2023, quindi in aumento dell'11%. Lo studio legale globale DLA Piper prevede nel suo studio annuale sulle violazioni della protezione dei dati addirittura un incremento del 14% nell’anno in corso. L’Italia si posiziona al quarto posto tra i Paesi più sanzionati, con multe che ammontano a 145 milioni di euro dal 25 maggio 2018 a oggi. Tutti indicatori del fatto che se le aziende trattano i dati personali dei cittadini dell'UE in modo improprio, vengono segnalate e, nei casi più gravi, punite.

Obiettivo: una maggiore resilienza informatica

Come nel caso del GDPR, anche nella stesura del Digital Operational Resilience Act (DORA), dedicato specificatamente al settore finanziario, e della direttiva Network and Information Security 2 (NIS 2), che aggiorna le norme in materia di sicurezza informatica adottate nel 2016, l'UE ha previsto multe significative non solo per ottimizzare il trattamento dei dati, ma anche per spingere le organizzazioni a strutturarsi meglio per resistere agli attacchi informatici. In sintesi, con il DORA e la NIS 2 sono state introdotte regole volte a stimolare una maggiore resilienza informatica.

Il DORA entrerà in vigore il 17 gennaio 2025, mentre la NIS 2 dovrà essere recepita dagli Stati membri al più tardi il 17 ottobre 2024. Alcuni Paesi europei sono già a buon punto e approveranno a breve le normative locali.

Normative che come nel caso del GDPR, prevederanno sanzioni significative per le violazioni, a conferma del trend di inasprimento avviato con l’IT Security Act 2.0 del 2021. Nel dettaglio, se le aziende non rispetteranno gli obblighi stabiliti dal DORA, rischieranno multe fino a 10 milioni di euro o pari al 5% del fatturato globale dell'anno precedente. Le ammende previste dalla NIS 2 sono ancora più severe e interesseranno da vicino anche il management: le persone giuridiche potranno infatti essere sanzionate da 100 mila euro fino a 20 milioni di euro. Inoltre è prevedibile che le autorità perseguiranno le trasgressioni con lo stesso rigore che stanno dimostrando con il GDPR.

Beneficiare del lavoro preparatorio sul GDPR

Il GDPR ha già imposto alle aziende una migliore gestione dei dati personali, richiedendo loro di gestirli in modo più rigoroso e attento rispetto a qualsiasi altra informazione. La previsione di ulteriori tutele, come il diritto all'oblio e l’obbligo di segnalare la perdita di dati, ha richiesto anche di implementare processi e flussi di lavoro che possono essere utilizzati in modo simile per NIS 2 e DORA in caso di attacco. Il ricorso a una piattaforma di sicurezza e gestione dei dati guidata dall'intelligenza artificiale può aiutare enormemente le imprese a implementare questi processi in modo scalabile ed efficiente. Permette infatti di:

- Conoscere l’esatto contenuto dei dati - In caso di attacco, gli hacker vogliono rubare, criptare o cancellare i dati. Le organizzazioni devono quindi sapere esattamente quali dati possiedono e che valore hanno per rispondere a determinati requisiti di governance e conformità. Inoltre, potranno capire più rapidamente quali dati sono stati colpiti nel caso in cui i criminali informatici siano riusciti a penetrare, accelerando la stesura dei report previsti da NIS 2 e DORA e rendendo i risultati molto più precisi. Si tratta però di un compito gigantesco per la maggior parte delle aziende, che accumulano ormai montagne di informazioni di cui sanno poco o nulla. In questo ambito, soluzioni di AI come Cohesity Gaia possono aiutare a risolvere uno dei problemi più complessi classificando automaticamente i dati delle aziende. Poiché Cohesity indicizza e classifica i dati dal proprio backup, quelli interessati da un attacco possono essere esaminati in dettaglio anche se i sistemi originali sono stati colpiti da un incidente informatico.

- Controllare i flussi di dati - Se i dati sono classificati con le caratteristiche corrette, la piattaforma di gestione dei dati sottostante può applicare automaticamente le regole senza che il proprietario dei dati debba intervenire, riducendo il rischio di errore umano. Le attuali piattaforme di gestione dei dati controllano l'accesso a determinati dati criptandoli automaticamente e richiedendo agli utenti di autorizzarsi tramite multi-factor authentication. Queste policy di controllo degli accessi sono un elemento fondamentale della NIS 2, che impone una verifica granulare degli accessi basata sui ruoli applicando il principio di sicurezza del minimo privilegio. Cohesity supporta il concetto di quorum consentendo alle organizzazioni di implementare il principio di sicurezza della separazione dei compiti.

- Rispondere agli incidenti - Come molti attacchi informatici hanno insegnato, un'azienda deve essere in grado di agire. Al contrario, in caso di ransomware o di attacco wiper, le luci dell'azienda si spengono e non funziona più nulla: niente telefono, niente e-mail, niente database, per non parlare del sito web. I team IT dei CIO e dei CISO non sono nemmeno in grado di rispondere a questi attacchi perché tutti gli strumenti di sicurezza sono offline, le prove nei log e nei sistemi sono criptate e non è possibile chiamare il proprio team perché il VoIP non funziona. Diversamente con soluzioni come Cohesity Data Cloud Platform, i team dell'infrastruttura e della sicurezza possono creare una clean room isolata contenente un set di strumenti e dati di sistema e di produzione per dare avvio a un'operazione di emergenza sicura che copra il sistema IT e avviare poi un processo di incident response. Inoltre la clean room permette di ripristinare le attività in modo graduale e in stretto coordinamento con i team dell'infrastruttura, con sistemi sicuri e affidabili. Non da ultimo, questi processi sono essenziali anche per generare i report previsti dalle normative NIS 2, DORA e GDPR.

La direttiva NIS 2 e il regolamento DORA sono importanti per l'Europa e l'economia perché rafforzano la resilienza informatica delle organizzazioni. L’AI e strumenti come il ransomware as a service non solo hanno aumentato la quantità di attacchi informatici, ma anche la loro qualità. Le infrastrutture digitali devono pertanto diventare più solide e reattive. Per farlo, le aziende devono rivedere e ottimizzare tutti i processi e i flussi di lavoro che gestiscono i dati. Cohesity può essere di grande aiuto come piattaforma centrale e sicura per la gestione dei dati in background e garantire così la massima resilienza informatica operativa possibile.

Articolo di Manlio De Benedetto, Senior Director Sales Engineering EMEA di Cohesity