A cura di Steve Brining, Cyber Security Evangelist di Acronis
Ormai il 2024 si sta chiudendo e guardando al nuovo anno è importante tenere conto che il quadro normativo e la relativa compliance sono destinati a subire una trasformazione significativa dettata dalla crescente frequenza e sofisticazione delle minacce informatiche. È probabile che i governi di tutto il mondo rendano più restrittive le normative sulla sicurezza informatica, sulla privacy e sulla sicurezza dei dati in vari settori, a partire da quelli più critici.
Una tendenza già evidente in Europa con l’entrata in vigore prima del GDPR e recentemente della NIS2, direttiva che sarà seguita a breve dal regolamento DORA volto a stabilire i requisiti tecnici che le entità finanziarie e i relativi fornitori tecnologici devono implementare nei propri sistemi ICT.
Questa maggiore pressione sul fronte delle regole e dei vincoli secondo Acronis è una risposta diretta alle crescenti preoccupazioni sulle vulnerabilità informatiche, sulle violazioni dei dati e sull’uso improprio delle informazioni personali, che sono diventati più allarmanti anche in relazione a una sempre più diffusa digitalizzazione. La crescente e rilevante quantità di dati in possesso delle aziende porta con sé un aumento del loro sfruttamento ma anche dei rischi.
Questo scenario spinge le autorità, sia a livello globale che di singolo Paese, a implementare linee guida più rigorose per proteggere i consumatori e i cittadini e nello stesso tempo garantire che le aziende siano responsabili della sicurezza informatica delle proprie organizzazioni e della salvaguardia delle informazioni dei loro clienti, a cominciare da quelle sensibili.
Tutto ciò, secondo noi di Acronis, richiederà maggiore agilità da parte delle imprese nella definizione e nella gestione delle proprie strategie di compliance se vogliono allinearsi ai nuovi requisiti normativi e rimanere conformi agli standard globali oltre che a quelli nazionali.
In questo contesto generale, nel 2025 si faranno strada alcune normative per la compliance aziendale, quali:
· Standard globali di protezione dei dati
Acronis prevede che guadagneranno sempre più popolarità standard globali più unificati in materia di protezione dei dati, ciò alla luce anche di quanto tracciato dal Regolamento generale sulla protezione dei dati (GDPR) dell’Unione Europea e dei suoi requisiti. Requisiti che sono stati, peraltro, recepiti anche dalla recente normativa NIS2. D’altronde, la crescente interconnettività delle imprese e il flusso transfrontaliero di dati evidenziano la necessità di quadri normativi di pari portata per affrontare efficacemente le sfide in materia di privacy e protezione dei dati su scala globale.
· Maggiore controllo normativo
La crescente ondata di minacce informatiche renderà necessario un maggiore controllo e una contestuale rivalutazione dei quadri normativi esistenti. È probabile che i governi, come già evidente negli standard stabiliti dalla NIS2, inaspriranno via via le normative e le condizioni di conformità, tracciando un’applicazione più vincolante delle regole con l’obiettivo di garantire che le organizzazioni diano effettiva priorità alla sicurezza informatica.
· Tecnologie emergenti
Oltre a un maggiore controllo si farà largo anche un ampliamento del perimetro normativo per includere tecnologie come l’intelligenza artificiale (AI). Queste innovazioni secondo Acronis stanno delineando grandi opportunità ma anche nuove sfide, imponendo la necessità di regole e procedure di compliance su misura rispetto a rischi specifici e a considerazioni etiche associati al loro utilizzo. In questa direzione, va citato l’AI Act della Comunità Europea che, per cominciare, obbliga i fornitori di soluzioni di AI ad adottare misure per garantire la sicurezza e la protezione dei dati.
· Conformità della catena di fornitura
La centralità della cybersecurity si estenderà sempre di più anche alla catena di approvvigionamento delle aziende e degli enti per un maggiore controllo anche delle terze parti. Ciò richiederà di dimostrare la conformità agli standard di sicurezza informatica anche delle reti dei fornitori. Anche in quest’ambito va citata la NIS2 che, alla luce della permanente scarsa consapevolezza sulle conseguenze negative di eventuali vulnerabilità nella sicurezza della supply chain, stabilisce – come parte portante della direttiva – misure tecniche, operative e organizzative di gestione dei rischi anche per l’intera catena di approvvigionamento.
· Conformità continua
In un numero crescente di mercati verrà richiesto alle imprese di garantire una conformità costante invece di fare affidamento su valutazioni periodiche, promuovendo una cultura di monitoraggio e di miglioramento costante della sicurezza informatica. Inoltre, ciò potrebbe portare a requisiti più severi per la segnalazione degli incidenti, richiedendo alle aziende di comunicare violazioni e vulnerabilità in modo più trasparente e tempestivo. Questi requisiti di notifica tempestiva degli incidenti e della loro evoluzione sono già evidenti nella NIS2.
· Sanzioni per inadempienza
È probabile che l’ambito aziendale della compliance normativa muti in modo significativo, con un notevole aumento della gravità delle sanzioni per le organizzazioni che non rispettano gli standard stabiliti. Sanzioni che potranno aumentare anche in base alla gravità della violazione o alle dimensioni dell’azienda, nonché alle ripercussioni legali. Da questo punto di vista, la Direttiva NIS2 prevede sia sanzioni amministrative pecuniarie in funzione del fatto che un’azienda venga qualificata come essenziale o come importante, sia sanzioni accessorie anche per gli organi di amministrazione, per l’AD e per i legali rappresentanti con l’obiettivo di rendere responsabili anche i vertici aziendali della supervisione diretta della cybersecurity. Inoltre, anche le polizze assicurative informatiche subiranno un impatto a causa dei nuovi requisiti normativi e dei nuovi fattori di rischio poiché gli assicuratori valuteranno la conformità alle normative come parte integrante del processo di sottoscrizione e di liquidazione dei danni.
Di conseguenza, a causa dell’evoluzione delle minacce informatiche, e quindi dell’inasprimento normativo in tema di cybersecurity, le aziende dovranno dare priorità alla compliance non solo per evitare potenziali multe, ma anche per proteggere la propria reputazione e conservare così la fiducia degli stakeholder, clienti in primis. L’era digitale determina infatti una crescita del bisogno di trasparenza e responsabilità; quindi stare al passo con i requisiti di conformità normativa sarà essenziale per le organizzazioni che mirano a prosperare e ad avere successo nel medio lungo termine.
