Come anticipato nello scorso numero, ci occuperemo oggi di tratteggiare
sinteticamente, l’attuale stato di evoluzione del quadro normativo, legislativo e regolatorio applicabile in materia di sicurezza delle informazioni. Già nel 2016, con la direttiva NIS, il legislatore comunitario aveva specificato che per garantire un’applicazione convergente delle norme di sicurezza all’interno del territorio dell’Unione Europea, è necessario che gli Stati membri incoraggiano il rispetto o la conformità a norme specifiche volte a garantire un livello elevato di sicurezza delle reti e dei sistemi informativi in tutta l’Unione.
Per quanto riguarda la standardizzazione, specificamente ad opera
dell’organizzazione Internazionale per la standardizzazione (ISO) e del Comitato Elettrotecnico Internazionale (IEC), nell’ultimo periodo, a partire dalla pubblicazione della norma ISO/IEC 27001:2013, (Tecnologia dell’informazione – Tecniche di sicurezza – Sistemi di gestione della sicurezza delle informazioni – Requisiti), il campo della sicurezza delle informazioni, anche in considerazione della sempre maggiore disponibilità di potenza di calcolo e dell’introduzione sempre più efficace di metodi di intelligenza artificiale e della conseguente evoluzione delle minacce e delle relative contromisure, ha conosciuto una costante aggiornamento, portando alcuni miglioramenti nella consapevolezza della rilevanza strategica dell’argomento nelle organizzazioni. Recentemente, sono stati pubblicati diversi standard di sicurezza, come ad esempio, a titolo esemplificativo e non esaustivo gli standard ISO/IEC 27017:2015 per i servizi cloud, ISO/IEC 27799:2016 per l’informatica sanitaria,
ISO/IEC 27701:2019 per la privacy, ISO/IEC TR 29119-11:2020 (en), per il
test dei sistemi di intelligenza artificiale definita quest’ultima (3.1.13) come la capacità di un sistema ingegneristico di acquisire, elaborare e applicare
conoscenze e competenze.
- Tutti questi sviluppi hanno portato alla necessità di aggiornare lo standard ISO/IEC 27002:2022 per fornire un focus contemporaneo sui controlli di sicurezza delle informazioni che possono fare la differenza in qualsiasi organizzazione, indipendentemente dal sito, dalla natura o dalla complessità.
Prima di esaminare nel dettaglio i cambiamenti derivanti dal recentissimo rilascio della norma ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection – Information security controls, al fine di comprendere in modo compiuto la portata del nuovo assetto della standardizzazione e la sua rilevanza legale, appare indispensabile una breve ricognizione degli altri principali standard sin qui applicabili alla certificazione dei sistemi di gestione della sicurezza delle informazioni. Come è noto, la norma internazionale ISO/IEC 27001:2013(en), che comprende anche i requisiti per la valutazione e il trattamento dei rischi per la sicurezza delle informazioni, adattati alle esigenze dell’organizzazione, specifica i requisiti per stabilire, implementare, mantenere e migliorare continuamente un sistema di gestione della sicurezza delle informazioni nel contesto delle organizzazione. Un sistema di gestione, in base a quanto precisato al punto 3.41. della norma ISO/IEC 27000:2018(en) (Information technology – Security techniques –
Information security management systems – Overview and vocabulary) può essere definito come un insieme di elementi interconnessi o interagenti di un’organizzazione per stabilire politiche e obiettivi e processi per raggiungere tali obiettivi; nel caso specifico della sicurezza delle informazioni il sistema di gestione avrà lo scopo della conservazione della riservatezza, dell’integrità e della disponibilità delle informazioni. In questo ambito, lo standard ISO 27002:2022 è strettamente correlato allo
standard ISO 27001:2013 che include regole di riferimento per la sicurezza delle informazioni, la sicurezza informatica, la protezione della privacy e l’assistenza all’implementazione basate sulle migliori pratiche riconosciute a livello globale, fornendo sostanzialmente e linee guida su come stabilire un ISMS certificato ISO 27001. La norma ISO 27002:2022 non prevede criteri di certificazione propri, ma le organizzazioni possono ottenere la certificazione ISO 27001:2013 aderendo ai controlli per la sicurezza informatica e fisica e per la gestione della cyber e della privacy della norma ISO 27002:2022.
Dal punto di vista strettamente legale, il quadro regolatorio sopra rappresentato,
appare assai utile sul piano interpretativo per integrare il significato proprio da
attribuire ad alcune formule impiegate in importanti testi legislativi di disciplina
della sicurezza informatica.
In particolare, come abbiamo avuto di specificare su queste pagine, la sopra
ricordata definizione di sicurezza delle informazioni, appare del tutto
sovrapponibile a quella contenuta all’art. 32 lett. b) del Regolamento (UE)
2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo
alla protezione delle persone fisiche con riguardo al trattamento dei dati
personali, nonché alla libera circolazione di tali dati e che abroga la direttiva
95/46/CE (GDPR) ove si specifica che: tenendo conto dello stato dell’arte e dei
costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità
del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e
le libertà delle persone fisiche, il titolare del trattamento e il responsabile del
trattamento mettono in atto misure tecniche e organizzative adeguate per
garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le
altre, se del caso (…)
b) la capacità di assicurare su base permanente la
riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di
trattamento.
In effetti, da una parte, il richiamo contenuto nell’art. 32 lett. b) citato, alle
caratteristiche di sicurezza delle informazioni (Riservatezza, Integrità,
Disponibilità), dall’altra, l’inclusione nello standard ISO 27002:2022 delle
definizioni di PII Personally Identifiable Information (any information that (a)
can be used to establish a link between the information and the natural person
to whom such information relates, or (b) is or can be directly or indirectly linked
to a natural person), e PII principal (natural person to whom the personally
identifiable information relates), ed infine, la stessa definizione di dato
personale, di cui all’art. 4 nr. 1 del GDPR in termini di qualsiasi informazione
riguardante una persona fisica identificata o identificabile («interessato»); si
considera identificabile la persona fisica che può essere identificata, direttamente
o indirettamente, con particolare riferimento a un identificativo come il nome,
un numero di identificazione, dati relativi all’ubicazione, un identificativo online
o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica,
psichica, economica, culturale o sociale, rendono i contenuti della norma ISO
27002 indispensabili, ad avviso di chi scrive, per una corretta applicazione, da
parte del Giudice, o dell’Autorità Amministrativa di controllo, delle previsioni
del GDPR ed in particolare di quelle relative alla sicurezza, all’analisi del rischio
ed allo svolgimento delle operazioni di valutazioni di impatto di cui all’art. 35 del
GDPR.
Hai una domanda per l'autore?
Al codice del consumo (n.206/2005) vengono aggiunti nuovi articoli
