La protezione dei dati personali è prima di tutto una questione di civiltà: un trattamento senza adeguate sicurezze può pesantemente impattare sui diritti, sulla dignità, sulle libertà e sulla riservatezza delle persone. È fornito un servizio completo per compiere quel salto culturale indispensabile al buon funzionamento dell’organizzazione nell’attuale società delle informazioni.

L’approccio alle norme standard non vuole mai essere un’inutile burocratizzazione o la produzione di tanta documentazione; cerchiamo di rendere più semplice l’attuazione e accompagniamo le organizzazioni nel lungo percorso di irrobustimento della sicurezza IT e della conformità alle normative.

Fin dall’introduzione del Regolamento (UE) 2016/670 o GDPR ricopriamo il ruolo di Responsabile della protezione dei dati personali (RPD/DPO) per aziende sanitarie, istituti di ricerca, enti locali e regionali, università e istituti scolastici.

La Legge 90/2024 prevede specifici adempimenti per le pubbliche amministrazioni centrali, le regioni e le province autonome, le città metropolitane e i comuni capoluoghi di regione o con popolazione superiore a 100.000 abitanti, le società di trasporto pubblico urbano con bacino di utenza non inferiore a 100.000 abitanti, le società di trasporto pubblico extraurbano operanti nell’ambito delle città metropolitane, le aziende sanitarie locali, le società in house fornitrici di servizi informatici (agli enti sopra indicati), le aziende per il servizio di raccolta, smaltimento o trattamento di acque reflue urbane, domestiche o industriali, ovvero per i servizi di gestione dei rifiuti.

L’obiettivo è rafforzare la cyber sicurezza e la resilienza del nostro Paese, potenziando gli strumenti di prevenzione, inasprendo le pene per i reati informatici, al fine di contrastare la criminalità informatica.

Tra gli adempimenti previsti:

• struttura per la cybersicurezza con nomina del referente per la cybersicurezza;
• rafforzamento delle misure di sicurezza dei dati attraverso la crittografia;
• notifica degli incidenti di sicurezza entro 24 ore e completamento notifica entro 72 ore.

La struttura per la cybersicurezza deve:

• sviluppare le politiche e le procedure di sicurezza;
• redigere un piano per la gestione del rischio informatico;
• adottare e mantenere aggiornati i sistemi di analisi preventiva;
• definire i ruoli e l’organizzazione del sistema di gestione per la sicurezza delle informazioni;
• produrre e mantenere aggiornato un piano programmatico per la sicurezza di dati, sistemi e infrastrutture;
• pianificare e attuare gli interventi di potenziamento delle capacità per la gestione dei rischi informatici;
• pianificare e adottare le misure previste dalle linee guida per la cybersicurezza di AgID;
• monitorare e valutare continuamente le minacce alla sicurezza e le vulnerabilità dei sistemi per il loro pronto aggiornamento di sicurezza.

Aiutiamo le organizzazioni sottoposte alla Legge 90/2024  nel complesso percorso di adeguamento, implementando un sistema di gestione dedicato, ispirato alla norme internazionali standard.

Volete sapere di più? Richiedete subito un incontro con i nostri esperti.

La Direttiva europea sulla sicurezza delle informazioni e delle reti, denominata NIS2, dovrà essere recepita dagli stati membri della UE entro il 17 ottobre 2024; ha l’obiettivo di aumentare la resilienza in risposta agli eventi di cibersicurezza e prevede un approccio “multirischio” nell’adozione di misure tecniche, operative, organizzative adeguate e proporzionate per gestire i rischi incombenti sui sistemi informatici e sulle reti delle organizzazioni che svolgono attività critiche ed erogano servizi essenziali.

Sono già previsti diversi adempimenti, dalla definizione delle politiche di analisi dei rischi e di sicurezza dei sistemi informatici alla gestione degli incidenti, dalla gestione della continuità operativa alla sicurezza della catena di approvvigionamento e delle risorse umane.

Aiutiamo le organizzazioni sottoposte alla NIS2 nel complesso percorso di adeguamento andando a implementare un sistema di gestione dedicato, ispirato alla norme internazionali standard.

Volete sapere di più?

Richiedete subito via e-mail (info@morolabs.it) il nostro white paper dedicato all’implementazione della NIS2, in modo da anticipare gli adempimenti previsti, anche rispetto alla normativa nazionale.

Potete inoltre richiedere una valutazione del rischio gratuita al fine di analizzare insieme ai nostri esperti le modalità di gestione, i sistemi informatici e le piattaforme applicative; l’obiettivo dell’intervento è evidenziare eventuali elementi di rischio e proporre le migliori soluzioni tecniche e organizzative per essere subito pronti alla NIS2.

L’approccio alle norme standard non vuole mai essere un’inutile burocratizzazione o la produzione di tanta documentazione. I sistemi di gestione, se ben implementati, permettono di migliorare, di far funzionare le organizzazioni riducendo i rischi e comunque contenendo eventuali impatti.

Una procedura o una policy deve essere semplice per essere utilizzata, specie nei momenti di emergenza.

Aiutiamo le organizzazioni nella costruzione, attuazione e certificazione dei Sistemi di Gestione secondo le norme ISO/IEC 27001 (con estensioni ISO/IEC 27017 e 27018) per la sicurezza delle informazioni, ISO 22301 per la Continuità Operativa e ISO 37001 per la prevenzione della corruzione (Anti-bribery).

Un sito web deve essere conforme a diverse normative, a partire dalla disciplina sulla protezione dei dati personali. È una questione di conformità ma anche reputazionale e di immagine.
Per le pubbliche amministrazioni sono previste altre normative come la trasparenza e l’accessibilità.

Abbiamo elaborato un modello di verifica della conformità applicabile ai siti web o alle piattaforme software che permette di evidenziare eventuali disallineamenti, non conformità o elementi migliorabili rispetto ai requisiti previsti e applicabili.

La sicurezza informatica riveste un’importanza fondamentale al fine di garantire disponibilità, integrità e riservatezza del patrimonio informativo che unito alla resilienza dei sistemi e dei servizi completa il quadro di conformità collegata ai principi di privacy e security previsti dall’ordinamento giuridico, nazionale ed europeo per l’ambito PA e non solo.

È la parte più corposa del percorso poiché tratta di scrittura di applicazioni web sicure, sia lato sviluppo che autenticazione; affronta il tema della sicurezza nelle componenti fondamentali di un app web, dall’interfaccia alla parte server, con particolare attenzione ai microservizi.

Negli attuali scenari di rischio, la sola aggiunta di nuova tecnologia o l’acquisizione di ulteriori servizi non riduce la probabilità di accadimento.
Questo poiché la sicurezza informatica deve essere prima di tutto un processo e non un prodotto.

Nelle organizzazioni c’è bisogno di consapevolezza, di regole, di precisione, di controlli continui.