Articoli

Come calcolare il rischio data protection? Arriva il tool dell’ENISA

Avv. Vincenzo Colarocco

Sin dal 2018, l’Agenzia europea per la sicurezza delle reti e dell’informazione, anche nota come ENISA, in linea con il principio di accountability sancito dal legislatore comunitario, ha promosso un approccio basato sul rischio per l’adozione di misure di sicurezza per la protezione dei dati personali. Nell’esercizio della propria funzione, tutta incentrata sull’analisi di soluzioni tecniche ottimali per l’implementazione degli adempimenti prescritti dal GDPR, in un’ottica di mitigazione del rischio, l’Agenzia ha lanciato una piattaforma online che consente di ottenere il profilo di rischio del trattamento posto in essere. La piattaforma è da intendersi come strumento collettivo per la gestione del rischio lato data protection: infatti, le raccomandazioni si riferiscono non soltanto alle PMI, ma anche agli organismi competenti dell’UE ed alle autorità di controllo, fino alla Commissione europea.

La piattaforma è stata resa disponibile in occasione della giornata della protezione dei dati personali 2020, il 28 gennaio.

Il Cybersecurity Act e il nuovo quadro europeo per la sicurezza dei dati personali

Avv. Vincenzo Colarocco

Lo scorso 7 giugno 2019 è stato pubblicato in Gazzetta Ufficiale il Cybersecurity Act, un Regolamento UE volto a creare un quadro europeo per la certificazione della sicurezza informatica di prodotti ICT e servizi digitali. Il 27 giugno, il testo entrerà formalmente in vigore e trattandosi di un Regolamento, sarà immediatamente applicabile in tutti gli Stati membri, senza che vi sia necessità di interventi attuativi da parte dei legislatori nazionali, salvo per quanta riguarda alcune limitate disposizioni, ad esempio in materia di sanzioni.

Il Cybersecurity Act costituisce una parte fondamentale della nuova strategia dell’UE per la sicurezza cibernetica, che si propone di rafforzare la resilienza dell’Unione agli attacchi informatici, creare un mercato unico della sicurezza cibernetica in termini di prodotti, servizi e processi e accrescere la fiducia dei consumatori nelle tecnologie digitali. Esso si compone di due parti nelle quali, da un lato, viene specificato il ruolo e il mandato dell’ENISA (European Network and Information Security Agency),  dall’altro, viene introdotto un sistema europeo per la certificazione della sicurezza informatica dei dispositivi connessi ad Internet e di altri prodotti e servizi digitali. Ebbene, se fino ad oggi il ruolo dell’ENISA è stato principalmente quello di coadiuvare da un punto di vista tecnico gli Stati membri e le istituzioni europee nell’elaborazione delle politiche in materia di sicurezza delle reti e dei sistemi informativi con l’obbiettivo di rafforzare le capacità di prevenzione e reazione agli incidenti informatici, il nuovo Regolamento intende ulteriormente rafforzare tale ruolo, garantendo un mandato permanente e consentendo di svolgere non solo compiti di consulenza tecnica, ma anche attività di supporto alla gestione operativa degli incidenti informatici da parte degli Stati membri. Nell’ottica del Cybersecurity Act il rafforzamento del ruolo dell’ENISA è strumentale all’adozione di un quadro complessivo di regole in grado di disciplinare gli schemi europei di certificazione della sicurezza informatica. A rigore è bene precisare che il Regolamento non istituisce schemi di certificazione direttamente operativi, creando piuttosto una “cornice” per l’istituzione di schemi europei per la certificazione dei prodotti e servizi digitali (e.g. dispositivi medici, sistemi di controllo industriali, veicoli automatizzati), validi e riconosciuti in tutti gli Stati membri. Tali schemi europei di certificazione saranno predisposti, in prima battuta, dall’ENISA e adottati poi formalmente dalla Commissione europea mediante atti di esecuzione.