A seguito dell’aumento costante degli attacchi informatici, si rende necessaria una sempre maggiore cooperazione, sia a livello regionale che internazionale, volta all’individuazione delle principali minacce e delle vulnerabilità che interessano le infrastrutture critiche, i governi e le aziende di tutto il mondo.
Numerosi esperti in materia di sicurezza informatica e autorità garanti della privacy degli utenti stanno perciò incentivando sempre di più i diversi Paesi ad armonizzare le normative interne sulla segnalazione degli incidenti informatici, al fine di ottenere un quadro omogeneo in materia di privacy e sicurezza informatica.
Armonizzare le regole UE per una cibersicurezza fondata sulla privacy
Indice degli argomenti
Armonizzare le regole di segnalazione di incidenti informatici: vantaggi
Da una maggiore armonizzazione di tale impianto normativo trarrebbero vantaggio in primis le aziende che operano in più Paesi, le quali si trovano attualmente a fronteggiare svariate difficoltà in relazione alle modalità e ai tempi di trasmissione di informazioni relative a possibili minacce informatiche.
Le diverse disposizioni in materia vigenti nei vari Stati generano quindi problemi di conformità in relazione, ad esempio, alle scadenze per tali segnalazioni, le quali variano sensibilmente a seconda delle autorità di riferimento.
In un intervento al The Wall Street Journal Pro Cybersecurity Forum del 30 novembre, si è espressa in tal senso Nubiaa Shabaka, Chief Privacy Officer e Chief Cybersecurity Legal Officer di Adobe, la quale ha affermato che una maggiore armonizzazione costituirebbe un grande vantaggio per aziende, clienti, consumatori e autorità che operano “in questo mondo multinazionale e transfrontaliero di trasferimento dei dati”.
Come già sottolineato, un mutamento di approccio in favore di una più ampia cooperazione tra i diversi Paesi andrebbe a vantaggio anche dei Governi, i quali starebbero tuttavia riscontrando alcune difficoltà nella ricerca di proposte comuni e condivise per implementare regole internazionali di segnalazione delle violazioni.
Il quadro normativo negli Stati Uniti
Gli Stati Uniti si starebbero già muovendo in questa direzione, esaminando le diverse possibilità per una efficace implementazione di tali norme, sia a livello interno che internazionale.
Tale operazione risulta essere tutt’altro che semplice nel panorama statunitense, dal momento che in ognuno dei 50 Stati, inclusi Porto Rico, il Distretto di Columbia e l’arcipelago Isole Vergini, sono state emanate leggi che impongono a enti pubblici e privati di informare prontamente chiunque venga colpito da attacchi informatici e possa vedere compromesse le proprie informazioni sensibili.
Queste norme, generalmente, disciplinano gli enti tenuti a conformarsi, i tempi e le modalità di notifica richiesti ai singoli e alle autorità preposte, nonché le eventuali esenzioni applicabili. Chiunque svolga attività commerciali deve quindi avere contezza non solo delle normative federali, ma anche delle singole leggi statali vigenti nella regione in cui si opera.
Ciò comporta la possibilità di imbattersi in leggi più o meno severe nei confronti di tali violazioni, nonché una maggiore difficoltà operativa in relazione ai requisiti di notifica.
Secondo quanto riportato dal The Wall Street Journal, vista anche la complessità interna del panorama normativo statunitense in materia, i funzionari governativi starebbero quindi passando al vaglio possibili soluzioni di omogeneizzazione. Robert Silvers, sottosegretario per la strategia, la politica e i piani del Department of Homeland Security (DHS), avrebbe a tal proposito sottolineato l’importanza di una costante collaborazione con le agenzie governative dei vari Paesi, per garantire efficacia e celerità nelle segnalazioni.
La direzione intrapresa dall’Unione Europea
Anche l’Unione Europea, così come gli Stati Uniti, vede la presenza di leggi che impongono agli enti il rispetto di alcuni requisiti per la segnalazione degli attacchi informatici.
Il Regolamento (UE) 1725/2018, che disciplina la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, sancisce l’obbligo di segnalazione nei confronti di tutte le istituzioni e gli organismi dell’Unione.
Questi, entro 72 ore dalla presa di coscienza delle violazioni, devono quindi informare il Garante Europeo della Protezione dei Dati (GEPD); inoltre, istituzioni dell’UE devono garantire di poter disporre di meccanismi di prevenzione e rilevamento delle violazioni dei dati personali (data breach), nonché di procedure di indagine e segnalazione interna.
Devono poi assicurare una risposta efficace volta a limitare gli effetti negativi degli attacchi informatici e stilare un registro di tutte le violazioni dei dati personali ed i rispettivi dettagli.
Nel novembre 2018, il GEPD ha pubblicato un report contenente le linee guida circa l’approccio che le istituzioni e gli organismi dell’Unione devono adottare per rispondere correttamente alle violazioni dei dati personali.
Le linee guida avrebbero quindi lo scopo di fornire consigli pratici su come conformarsi adeguatamente alle disposizioni in materia di violazione dei dati personali, di cui agli articoli 34 e 35 del Regolamento (UE) 2016/794 del Parlamento europeo e del Consiglio, il quale integra i principi del Regolamento (UE) 2016/679, ovvero il Regolamento Generale sulla Protezione dei Dati (GDPR).
Anche all’interno del GDPR, all’articolo 33, è infatti disciplinata la notifica delle violazioni dei dati personali all’autorità di controllo competente, ove possibile, entro 72 ore dal momento in cui il titolare del trattamento ne è venuto a conoscenza.
L’UE sta tutt’ora lavorando a nuove proposte legislative atte ad affrontare i rischi attuali e futuri online e offline, volte a favorire una maggiore cooperazione a livello internazionale e ad incentivare una armonizzazione della suddetta normativa.
L’approccio del Regno Unito
Per quanto concerne il Regno Unito, invece, l’approccio utilizzato risulta essere diverso. Anche il GDPR anglosassone sancisce che, quando si verifica un incidente di sicurezza, è necessario stabilire se si è verificata una violazione dei dati personali e, in tal caso, adottare rapidamente le misure necessarie per fronteggiarla.
Tuttavia, il National Cyber Security Centre, autorità preposta all’assistenza e al supporto in materia di sicurezza informatica, ritiene infatti che la best practice sia da individuare in una situazione di equilibrio tra la necessità di mantenere un alto livello di cybersicurezza e l’esigenza di instaurare relazioni di fiducia tra il governo e le aziende, senza il timore da parte di queste ultime che le informazioni fornite possano essere trasmesse alle forze dell’ordine o ad altre autorità di vigilanza.
