Sei sotto attacco?
Sei sotto attacco?

Normativa di riferimento

La normativa sulla Cyber Security per le aziende in Italia si basa su diversi riferimenti legislativi e regolamenti europei.

Il principale è il Regolamento UE 2016/679 (GDPR), che disciplina la protezione dei dati personali e impone misure di sicurezza adeguate.

A livello nazionale, il Codice dell’Amministrazione Digitale (CAD, D.Lgs. 82/2005) stabilisce obblighi in materia di sicurezza informatica.

Il Perimetro di Sicurezza Nazionale Cibernetica (D.L. 105/2019) introduce misure per proteggere infrastrutture critiche e sistemi informatici strategici.

L’Agenzia per la Cybersicurezza Nazionale (ACN), istituita nel 2021, coordina la sicurezza cibernetica del Paese e definisce standard per la PA. Inoltre, il Framework Nazionale per la Cybersecurity fornisce linee guida per la gestione del rischio.

Infine, la Direttiva NIS2 (Direttiva UE 2022/2555) impone obblighi più stringenti per la resilienza delle reti e dei sistemi informativi. La Direttiva NIS 2 (2022/2555/UE) ha sostituito la precedente NIS, rafforzando gli obblighi per le aziende operanti in settori critici (energia, sanità, trasporti, ICT, ecc.) in materia di gestione del rischio e notifica degli incidenti. Le aziende devono anche considerare il Cybersecurity Act (Regolamento UE 2019/881), che istituisce un quadro europeo per la certificazione della sicurezza informatica dei prodotti e servizi IT.

In Italia, la normativa recepita include il D.lgs. 65/2018 (attuazione della prima Direttiva NIS) e il Perimetro di Sicurezza Nazionale Cibernetica (D.L. 105/2019), che impone obblighi di sicurezza a enti pubblici e aziende strategiche. Il Piano Nazionale di Cybersecurity e l’Agenzia per la Cybersicurezza Nazionale (ACN) guidano l’attuazione delle strategie di sicurezza informatica nel Paese.

Misure minime di sicurezza ICT per le AZIENDE

In cosa consistono le misure minime di sicurezza

  • Le Misure Minime di Sicurezza ICT sono un insieme di controlli e pratiche operative definite per garantire un livello base di sicurezza informatica nelle organizzazioni. In Italia, sono state introdotte inizialmente per le Pubbliche Amministrazioni con la Circolare AGID n. 2/2017, ma rappresentano una buona base di riferimento anche per le aziende private.

Aree principali delle misure minime

  1. Gestione degli account e autenticazione

    • Utilizzo di password complesse, accesso con privilegi minimi necessari, disabilitazione di account inutilizzati

  2. Aggiornamenti software e sistemi operativi

    • Applicazione regolare delle patch di sicurezza, utilizzo di software supportato dal produttore

  3. Protezione da malware

    • Installazione di antivirus aggiornati, controllo su dispositivi rimovibili (es. chiavette USB)

  4. Backup e ripristino

    • Backup periodico dei dati, verifica periodica dell’integrità e recuperabilità dei backup

  5. Navigazione sicura e uso di posta elettronica

    • Filtri antispam e controllo dei link sospetti, limitazione dei permessi di download e installazione

  6. Crittografia e protezione dei dati

    • Uso della crittografia per dati sensibili, sicurezza dei dispositivi mobili e portatili

  7. Monitoraggio e log

    • Registrazione e analisi degli accessi e degli eventi, individuazione tempestiva di anomalie

Queste misure sono pensate per essere progressive: le aziende più grandi o più esposte dovrebbero integrarle con controlli più avanzati, come indicato nei framework internazionali (es. ISO/IEC 27001, NIST CSF).

Responsabilità

Le responsabilità di un’azienda e del suo amministratore in ambito di cyber security, soprattutto per quanto riguarda l’applicazione delle misure minime, sono sempre più rilevanti dal punto di vista legale, civile, penale e reputazionale. Ecco un quadro sintetico:

📌 Responsabilità dell’azienda

L’azienda, in quanto titolare del trattamento dei dati (secondo il GDPR), è responsabile di:

  • Proteggere i dati personali da accessi non autorizzati, perdite o alterazioni.

  • Adottare misure tecniche e organizzative adeguate, proporzionate ai rischi.

  • Applicare almeno le misure minime di sicurezza ICT, per garantire un livello base di protezione.

  • Designare un responsabile della sicurezza (es. DPO o IT manager) dove previsto.

  • Gestire e notificare eventuali incidenti o data breach entro 72 ore all’Autorità Garante (GDPR art. 33).

👔 Responsabilità dell’amministratore o del legale rappresentante

L’amministratore ha una responsabilità diretta per:

  • Vigilare sull’attuazione delle misure di sicurezza.

  • Destinare adeguate risorse economiche e organizzative alla sicurezza informatica.

  • Integrare la cyber security nella governance aziendale (es. policy, formazione, audit).

  • Evitare la colpa per omessa vigilanza (art. 2392 c.c.), che può portare a responsabilità civile verso soci o terzi, e in certi casi anche penale (es. in caso di negligenza grave che porta a violazione di dati sensibili).

⚖️ Rischi in caso di inadempimento

  • Sanzioni amministrative fino a 20 milioni di euro o 4% del fatturato annuo (GDPR).

  • Responsabilità penale in caso di dolo o colpa grave.

  • Danni reputazionali, perdita di clienti o interruzione operativa.

  • Contenziosi civili per risarcimento danni a soggetti lesi.

3D Solution s.r.l.

Via G. Matteotti, 19/21 – 80026 Casoria (NA)
Tel. +39 081 7367239 – Fax +39 081 7376134
e-mail [email protected]
PEC [email protected]

Momit s.r.l.

Viale Enrico Forlanini, 23 20134 Milano
Tel. +39 02 87187306
e-mail [email protected]
PEC [email protected]

Sitemap

Legale

Condizioni generali di vendita

Privacy Policy

Cookie Policy

3D Solution S.r.l. | CF. 07173740635 P.IVA 03942311212 REA NA-587370