Home » Conformità Normativa e Standard

Conformità alle normative e agli standard

Gennaio 27, 2023 • Alessandro Mirani

L'intelligenza artificiale, la realtà virtuale, i pagamenti senza contante, l'Internet delle cose e molte altre branche della tecnologia dell'informazione crescono ogni giorno.


Con la loro crescita ed espansione, emergono nuovi vettori di minaccia e vulnerabilità nel panorama cibernetico. Nel suo rapporto sulle tendenze della cybersicurezza nel 2022, il World Economic Forum ha dichiarato che “con la continua proliferazione della digitalizzazione e l’introduzione di nuove tecnologie, il rischio cibernetico inevitabilmente crescerà”. Hanno anche osservato attraverso i loro sondaggi che “sebbene gli attori del settore pubblico e privato […] siano determinati a raggiungere livelli più elevati di resilienza cibernetica, i loro sforzi sono spesso ostacolati da varie […] barriere normative”.

Comprendere i requisiti normativi può essere, infatti, un grosso ostacolo per le aziende, specialmente quelle che puntano a espandersi a livello internazionale. Nei seguenti articoli forniremo una panoramica su come affrontare le normative sulla cybersicurezza, quali sono le più comuni e come affrontarle.

II. Regolamenti e Norme

Nel 2005, l'Unione Internazionale delle Telecomunicazioni ha condotto uno studio sulle iniziative nazionali di cybersicurezza in 14 delle principali economie mondiali e in quasi 30 settori. Hanno stimato che oltre 174 iniziative, che avrebbero potuto portare a politiche future, erano attive. Oggi, basato sul numero di regolamenti e standard presenti a livello mondiale, è probabile che il numero minimo di politiche di cybersicurezza applicate a livello globale sia nell'ordine delle migliaia.

Tuttavia, è importante capire la differenza tra regolamenti e standard, poiché le organizzazioni potrebbero essere tenute a conformarsi a uno o entrambi. Una regolamentazione sulla sicurezza informatica è una norma giuridicamente vincolante (o un insieme di norme) che un'organizzazione deve seguire. Il rispetto di queste normative è obbligatorio e le organizzazioni che non si conformano potrebbero affrontare sanzioni come multe o azioni legali da parte degli enti governativi.

D'altra parte, uno standard di cybersecurity è un insieme di linee guida o best practice che un'organizzazione può seguire per migliorare la sua postura di cybersecurity. La conformità a questi standard è volontaria, ma seguirli può aiutare le organizzazioni a dimostrare ai propri clienti, partner e regolatori la coerenza della loro postura di cybersecurity.

In sintesi, i regolamenti sono giuridicamente vincolanti e applicabili dalla legge, mentre gli standard non lo sono. Tuttavia, poiché gli standard vengono aggiornati più frequentemente, rispettare uno standard può aiutare un'organizzazione a conformarsi a un regolamento. Inoltre, dato che i regolamenti di solito hanno una portata più ampia, la conformità agli standard specifici del settore di un'organizzazione può aiutarla a distinguersi dalla concorrenza.

Pertanto, a seconda dell'attività di un'organizzazione, potrebbe essere necessario conformarsi a uno standard o una regolamentazione specifica. Tuttavia, è sicuro presumere che ogni azienda moderna debba conformarsi alla protezione dei dati e alla sicurezza informatica. Per questo motivo, ho riassunto i punti chiave di due regolamenti in Europa e due standard frequentemente richiesti nelle aziende di tutto il mondo: il Regolamento generale sulla protezione dei dati (GDPR), la Direttiva sulla rete e i sistemi informativi (NIS), ISO 27k e il National Institute of Standards and Technology (NIST).

Comprensione delle normative e degli standard

Nel caso in cui non conosciate tutte le politiche sopra menzionate, vi darò una breve introduzione a quattro di esse:

  • GDPR (Regolamento generale sulla protezione dei dati): Questo è il regolamento dell'UE che disciplina la protezione dei dati personali e i diritti degli individui riguardo ai loro dati personali. Si applica a chiunque tratti dati personali di cittadini dell'UE, indipendentemente da dove si trovano. Ciò significa che qualsiasi individuo che tratti i dati personali dei cittadini europei è obbligato a rispettare il GDPR. Gli articoli del GDPR regolano, tra le altre cose, le misure adottate per proteggere i dati personali, la nomina di un responsabile della protezione dei dati e il processo e la segnalazione delle violazioni.
  • Direttiva NIS (Direttiva sui Sistemi di Reti e Informazioni): Questa è la direttiva dell'UE che si concentra sulla fornitura di una base di sicurezza per le infrastrutture critiche e i servizi essenziali in tutta Europa. Seguendo questa direttiva, tutte le aziende che operano in settori critici (come energia, trasporti e sanità) e i loro fornitori di servizi digitali (come motori di ricerca e servizi cloud) sono tenuti a implementare misure di sicurezza appropriate. Inoltre, la direttiva richiede che gli Stati membri dell'UE abbiano strategie nazionali di cybersicurezza e piani di risposta agli incidenti che siano uguali o più ampi della Direttiva NIS. Ciò significa che tutti gli Stati dell'UE devono implementare regolamenti che coprano tutti gli argomenti della Direttiva NIS come base minima, ma che possano (e debbano) essere più estesi.
  • Standard ISO 27000 per la sicurezza informatica: Conosciuto anche come ISO 27k, è uno standard internazionale che delinea un quadro per un sistema di gestione della sicurezza delle informazioni (ISMS). Fornisce un approccio sistematico alla gestione delle informazioni aziendali sensibili affinché rimangano sicure. Include un insieme di politiche e procedure che le organizzazioni possono utilizzare per proteggere i loro dati riservati, nonché linee guida per la gestione del rischio e la conformità.
  • NIST (National Institute of Standards and Technology) Cybersecurity Framework: NIST è un'agenzia del governo degli Stati Uniti che pubblica una vasta gamma di standard, linee guida e migliori pratiche per la cybersicurezza. Il Framework di Cybersecurity di NIST fornisce un approccio basato sul rischio per la gestione della cybersicurezza. Lo standard è strutturato dettagliando cinque azioni fondamentali per essere conformi: Identificare, Proteggere, Rilevare, Rispondere e Recuperare.

GDPR, la Direttiva NIS, ISO 27k e NIST trattano tutti la cybersicurezza e la protezione dei dati. Sebbene possano differire in termini di ambito e requisiti, affrontare uno di essi può essere un passo fondamentale per raggiungere gli altri. Ad esempio:

  • Se consideriamo ISO 27k e NIST, vediamo che entrambi gli standard sono ampiamente adottati e riconosciuti come best practice per la cybersecurity. Tuttavia, ISO 27k è uno standard basato su processi che fornisce linee guida per gestire le informazioni sensibili aziendali. D'altra parte, NIST si basa su un approccio basato sul rischio e mira a identificare, gestire e ridurre i rischi derivanti dalle vulnerabilità di sicurezza informatica.
  • If we take the NIS Directive and GDPR, we can see that they provide guidance and requirements to improve cybersecurity posture. The two are, in fact, overlapping in some aspects. However, it must be noted that GDPR aims to protect personal data at all levels, while the NIS Directive aims to provide guidance on all aspects related to information security but only on an industry-specific scope.

To summarize: the scope, enforceability, and purpose of your cybersecurity policies can be defined after regulations and standards but you must be aware of the differences between them in order to understand which one best applies to you. Once you’ve figured that out, it is just a matter of implementing them correctly. In the next section, a few suggestions on this matter.”

Come gestisci la conformità alle politiche e alle normative? Sfide e soluzioni

L'implementazione delle suddette politiche potrebbe essere necessaria a causa di requisiti legali o di una prossima verifica. Potrebbe essere necessario apportare modifiche ai tuoi processi e alla tua struttura per conformarti alla politica pertinente. Tuttavia, prima di farlo, ci sono alcuni passaggi comuni che possono essere seguiti per prepararti a questi cambiamenti:

  • Gestione delle risorse e degli inventari: Le organizzazioni generalmente valutano i loro sistemi, processi e procedure attuali per determinare il loro livello di conformità. Ciò include l'identificazione di aree note di non conformità, nonché rischi e vulnerabilità note nella loro infrastruttura attuale.
  • Formazione e comunicazione: Preparare le tue risorse per i cambiamenti imminenti è fondamentale per garantire che tutti nella tua organizzazione comprendano le modifiche necessarie. Un audit o un aggiornamento dell'infrastruttura possono causare interruzioni e potrebbero richiedere ai dipendenti di acquisire nuove competenze. La consapevolezza di queste questioni può aiutarti a risparmiare tempo nella definizione delle priorità e nella pianificazione di possibili rimedi.
  • Gestione di terze parti e fornitori: Questo è un aspetto che viene spesso trascurato. Probabilmente sarà necessario un inventario dettagliato e aggiornato dei fornitori per garantire la conformità alla maggior parte degli standard e delle normative. Anche se una politica non si rivolge direttamente a una terza parte, potrebbe comunque richiedere indirettamente modifiche ai termini e alle condizioni degli accordi con i fornitori di servizi esterni.
  • Analisi delle lacune: Se stai verificando la conformità a un regolamento o a uno standard, è importante essere pronti a condurre un'analisi delle lacune per identificare le aree in cui sono necessari emendamenti critici. Questo è il primo passo verso la conformità ed è meglio condotto da consulenti esterni con conoscenze specifiche sulla conformità che si sta cercando di raggiungere.

In conclusione, la conformità alle normative e agli standard può essere difficile e costosa. Potresti aver bisogno di affidarti a consulenti esterni per ottenere la conformità, se non disponi delle competenze interne necessarie. Tuttavia, comprendere le differenze tra politiche e regolamenti e avere una strategia in atto può rendere il processo più fluido e aiutarti a determinare quando vale la pena migliorare con uno standard e quando è necessario rispettare i regolamenti.

avatar dell'autore

Alessandro Mirani

Messaggi in evidenza

  1. L'importanza della sicurezza informatica nelle piattaforme di gioco online
  2. Privacy e sicurezza come caratteristiche principali della Blockchain: Parte 1
  3. Il dilemma di TikTok: bilanciare l'intrattenimento 
  4. Privacy e sicurezza come caratteristiche principali della Blockchain: Parte 2
  5. Corruzione del file di dati di Outlook: Cause, prevenzione e recupero
  6. APT (minaccia persistente avanzata)
  7. Privacy e sicurezza come caratteristiche principali della Blockchain: Parte 3
  8. La vulnerabilità dell'app Jacuzzi espone dati privati
  9. Notizie sull'analisi dei dati per il rilevamento delle frodi
  10. What Makes Cryptocurrency Payments So Secure 
  11. Applicazioni Android con malware trovate su Play Store
  12. Esplorazione approfondita del malware sponsorizzato dallo Stato

Rimanere al passo con le ultime tendenze tecnologiche e informatiche.

©2025 securitybriefing - Tutti i diritti riservati.
it_ITItalian
en_USEnglish de_DE_formalGerman da_DKDanish sv_SESwedish ro_RORomanian thThai viVietnamese jaJapanese nl_NLDutch ko_KRKorean arArabic it_ITItalian