L’entrata in vigore della Direttiva NIS 2 e del suo recepimento nell’ordinamento italiano tramite il Decreto Legislativo 138/2024 segna un cambio di paradigma epocale nel panorama della cybersecurity in Europa.
Non si tratta più soltanto di imporre obblighi di natura tecnica alle organizzazioni, ma di promuovere una cultura della sicurezza che permei ogni livello aziendale, a partire dai vertici.
In questo contesto, la corporate forensics assume un ruolo cruciale, in sinergia con gli standard internazionali come la ISO 27001.
Si analizzeranno di seguito le disposizioni normative che delineano le responsabilità degli organi di amministrazione e direttivi in materia di cybersecurity, con particolare attenzione alla gestione delle evidenze digitali e al ruolo della corporate forensics, evidenziando le novità introdotte, le possibili implicazioni pratiche e le connessioni con la ISO 27001.
Il Decreto Legislativo 4 settembre 2024, n. 138 recante recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cybersicurezza nell’Unione, che abroga la direttiva (GU Serie Generale n.230 del 01-10-2024), in linea con la Direttiva NIS 2, attribuisce agli organi di amministrazione e direttivi un ruolo centrale nella gestione del rischio informatico, essi sono, in particolare, chiamati a:
a). – approvare e supervisionare l’implementazione di adeguate misure di gestione del rischio: attraverso la definizione di politiche di sicurezza, l’adozione di misure tecniche e organizzative, la pianificazione di attività di formazione e sensibilizzazione del personale, e la definizione di processi per la raccolta e la gestione delle evidenze digitali, anche avvalendosi di competenze di tipo digital forensics;
b). – sovrintendere alla gestione degli incidenti di sicurezza: assicurando che siano predisposti processi efficaci per la gestione degli incidenti, comprendenti la raccolta e la conservazione delle evidenze digitali, anche attraverso l’intervento di esperti di forensics, la notifica alle autorità competenti e l’adozione di misure di ripristino;
c). – valutare periodicamente l’efficacia delle misure di sicurezza implementate: tale valutazione deve essere condotta con regolarità, basandosi sull’analisi delle evidenze digitali raccolte, e deve tenere conto dell’evoluzione del panorama delle minacce.
Il decreto legislativo, in linea con la crescente importanza attribuita alle evidenze digitali nelle indagini e nei procedimenti giudiziari, impone alle organizzazioni di adottare misure tecniche e organizzative per la loro corretta gestione.
La corporate forensics si occupa proprio di questo, fornendo metodologie e strumenti per:
- Identificazione e raccolta delle evidenze: definire procedure per identificare, raccogliere e preservare le evidenze digitali rilevanti ai fini della sicurezza informatica, garantendo la loro ammissibilità in eventuali procedimenti legali.
- Conservazione delle evidenze: garantire l’integrità e l’autenticità delle evidenze digitali nel tempo, adottando misure di sicurezza che ne impediscano la modifica o la cancellazione, in conformità con gli standard forensi.
- Analisi delle evidenze: utilizzare le evidenze digitali raccolte, mediante tecniche di analisi avanzate, per esaminare gli incidenti di sicurezza, individuare le cause e le vulnerabilità, e migliorare le misure di sicurezza implementate.
La gestione delle evidenze digitali è un elemento fondamentale anche per la conformità alla norma ISO 27001, che definisce i requisiti per un sistema di gestione della sicurezza delle informazioni (SGSI).
La norma richiede che l’organizzazione raccolga e conservi evidenze oggettive a dimostrazione dell’efficacia del SGSI e della sua conformità ai requisiti della norma stessa, in particolare per dimostrare:
a). – l’implementazione dei controlli di sicurezza previsti dalla norma;
b). – l’efficacia dei controlli di sicurezza nell’individuare e mitigare i rischi;
c). – la conformità alle politiche e alle procedure di sicurezza definite dall’organizzazione;
d). – la corretta gestione degli incidenti di sicurezza.
L’integrazione tra la gestione delle evidenze digitali richiesta dal Decreto Legislativo 138/2024 e i requisiti della ISO 27001 può portare a significative sinergie, consentendo all’organizzazione di ottimizzare i processi e di rafforzare la propria postura di sicurezza.
In tale ambito, gli organi di amministrazione e direttivi sono responsabili di garantire che l’organizzazione disponga di un sistema efficace per la gestione delle evidenze digitali, anche avvalendosi di competenze di corporate forensics e in linea con i requisiti della ISO 27001.
In caso di violazione degli obblighi previsti dalla normativa, essi possono essere chiamati a rispondere in sede amministrativa e civile.
Le sanzioni amministrative possono essere irrogate sia alla società che ai singoli membri degli organi direttivi, in caso di negligenza o omissioni nella gestione del rischio informatico, inclusa la mancata o inadeguata gestione delle evidenze digitali, mentre gli organi direttivi possono essere chiamati a rispondere dei danni causati a terzi a seguito di incidenti di sicurezza, qualora sia dimostrata la loro colpa o negligenza, anche in relazione alla gestione delle evidenze digitali.
Le disposizioni del decreto legislativo, in particolare quelle relative alla gestione delle evidenze digitali, avranno un impatto significativo sulle modalità di gestione della cybersecurity all’interno delle organizzazioni, infatti, gli organi di amministrazione e direttivi dovranno, in particolare, in base allo specifico ruolo assunto all’interno dell’organizzazione:
- acquisire una maggiore consapevolezza dell’importanza delle evidenze digitali e della corporate forensics ed integrare la gestione delle evidenze digitali e la corporate forensics nei processi di sicurezza, definendo procedure chiare e specifiche per la raccolta, la conservazione e l’analisi delle evidenze digitali, in linea con i requisiti del decreto legislativo e con le best practice di corporate forensics, tenendo conto anche dei requisiti della ISO 27001;
- investire in tecnologie e competenze per la gestione delle evidenze digitali e la corporate forensics: l’organizzazione deve dotarsi di strumenti e personale qualificato per gestire efficacemente le evidenze digitali, anche attraverso la formazione in ambito di corporate forensics o l’affidamento a professionisti esterni.
- collaborare con le autorità competenti: in caso di incidente di sicurezza, è fondamentale collaborare con le autorità competenti, fornendo loro le evidenze digitali necessarie per le indagini.
In conclusione, il decreto di recepimento della NIS 2 introduce un quadro normativo più stringente e articolato in materia di cybersecurity, attribuendo agli organi di amministrazione e direttivi un ruolo di primo piano nella gestione del rischio informatico e nella gestione delle evidenze digitali.
La corporate forensics assume un ruolo fondamentale per garantire la conformità alla normativa, analizzare gli incidenti di sicurezza e proteggere gli interessi dell’organizzazione. La gestione delle evidenze digitali è cruciale anche per la conformità alla ISO 27001, evidenziando la necessità di un approccio olistico alla sicurezza delle informazioni.
Hai una domanda per l'autore?
Al codice del consumo (n.206/2005) vengono aggiunti nuovi articoli
Prossimo numero.
Nel prossimo numero, alla luce dell’approvazione del Regolamento Europeo Sull’Intelligenza Artificiale, EU AI ACT, si esamineranno le principali applicazioni utilizzate nello svolgimento di operazioni di Digital Forensics.
