Osservatorio digitale

Data breach, primo sì dal consiglio dei ministri al decreto che attua la direttiva NIS 2

Lo schema di decreto legislativo di recepimento della direttiva UE 2022/2555 (nota con l’acronimo NIS 2) licenziato, in via preliminare, del consiglio dei ministri del 10/6/2024 prevede, in caso di data breach, di effettuare una prima comunicazione non oltre le 24 ore e di completare la notifico entro le 72 ore. La direttiva 2022/2555 dovrà essere recepita entro il 17/10/2024, e le disposizioni del d.lgs. attuativo si applicheranno a partire dal 18/10/2024.

Le novità interesseranno imprese e pubbliche amministrazioni, diversamente clusterizzate. Alcuni soggetti operano in aree classificate “altamente critiche” (energia, trasporti, banche e mercati finanziari, sanità, infrastrutture digitali), altri in aree “critiche” (servizi postali, gestione rifiuti, imprese del settore alimentare, fabbricazione dispositivi medici, apparecchiature elettriche, macchinari, computer, fornitura servizi digitali, organizzazioni di ricerca). Negli altri gruppi si trovano pubbliche amministrazioni, servizi di trasporto pubblico locale, istituti di ricerca, esercenti attività di interesse culturale, società in house, società partecipate e società a controllo pubblico.

Tutti questi soggetti, pubblici e privati, saranno tenuti a segnalare tempestivamente gli incidenti informatici allo CSIRT Italia (gruppo di gestione degli incidenti di sicurezza informatica, presso l’agenzia per la cybersicurezza nazionale). Questa è la procedura prescritta nello schema di d.lgs.:

  • una pre-notifica senza ingiustificato ritardo, e comunque entro 24 ore dalla conoscenza dell'incidente significativo;
  • la notifica entro 72 ore, con una valutazione della gravità e dell’impatto dell’attacco.
  • Valutazione di come e se debbano essere avvisati anche gli utenti dei servizi interessati dall’incidente.

L’obbligo della segnalazione non va confuso con l’analogo obbligo di notificazione previsto dal Regolamento Ue sulla privacy n. 2016/679 (Gdpr) al quale si sovrappone. Al riguardo lo schema di d.lgs. prevede una procedura di raccordo: se l’incidente riguarda anche dati personali, dovrà essere informato subito il Garante della privacy nelle tempistiche già note. Sul versante sanzioni non si applicherà il cumulo: se il garante applicherà una sanzione non potrà essere applicata la sanzioni previste dal d.lgs. in esame. In ogni caso imprese ed enti dovranno adempiere sia agli obblighi previsti dal Gdpr sia a quelli previsti dal provvedimento in esame. Imprese e Pubbliche amministrazioni sono quindi chiamate ad aggiornate i propri modelli Organizzativi con particolare riferimento alla pianificazione ed attuazione delle misure di sicurezza tecniche ed organizzative, ivi comprese la formazione dei soggetti coinvolti e a rivedere i rapporti con i fornitori per migliorare la cd filiera della sicurezza dei dati.

Potrebbe interessarti: adeguamento GDPR

eIDAS 2.0 e i servizi di recapito certificato qualificato

A seguito alla pubblicazione di nuove versioni degli standard ETSI REM e della pubblicazione del regolamento eIDAS 2.0, il gruppo di Lavoro coordinato da AgID, con la partecipazione attiva dei Gestori PEC, Uninfo e Assocertificatori, ha aggiornato nella versione 2.0 il documento “REM SERVICES - Criteri di adozione degli standard ETSI - Policy IT” recependone i contenuti.

It Wallet: tutti i documenti in una tasca. Per l’esattezza, in una tasca virtuale, lo smartphone

L’IT Wallet, introdotto dal decreto Pnrr, è un sistema di portafoglio digitale che consente di conservare documenti digitali. Con l’IT wallet - il portafoglio digitale - l’identità digitale, così come la conosciamo oggi, è stata ridisegnata all’insegna della trasparenza e della sicurezza percorrendo la strada della semplificazione della esperienza di navigazione degli utenti nella fruizione dei servizi online.

Decreto PNRR / Dati più liberi per i trattamenti relativi alla ricerca

Nella seduta del 18 aprile 2024, è stato approvato il disegno di legge n. 1110 di conversione, con modificazioni, del decreto 2 marzo 2024, n. 19, recante “ulteriori disposizioni urgenti per l’attuazione del Piano nazionale di ripresa e resilienza (Pnrr)” (di seguito anche “Decreto PNRR” e “Legge di Conversione”). Rilevano due principali modifiche che la Legge di Conversione apporta al Decreto e, a cascata, agli articoli 2-sexies e 110 del d.lgs. n. 196/2003, recante il c.d. Codice Privacy. Il testo barrato è stato abrogato, o sostituito, dalla legge di conversione. Il testo in grassetto è stato aggiunto dalla legge di conversione.

Il segreto per vincere nel business è capire il cliente (ed il proprio Team) meglio di chiunque altro

Una ricerca condotta da salesforce.com rivela che solo il 28% del tempo dei responsabili vendite viene dedicato alla vendita effettiva ed il restante tempo è assorbito dalle attività amministrative, i task di servizio, le riunioni interne e gli spostamenti trascinandoli lontano dal focus necessario.

È come se ogni passo contribuisse a farli affondare sempre più, togliendo tempo a ciò che è realmente valore: dedicare tempo ai clienti. Non si tratta solo di vendere, ma di farlo con precisione e strategia. Consideriamo la regola dell'80/20: il 20% dei clienti porta all'80% delle vendite.

Questo assunto guida i top performer nella scelta di quali opportunità perseguire, mirando al successo concreto.

Il 27 marzo il TAR decide in merito alla Comunicazione dati Titolare effettivo

Mancano pochi giorni.

L’11 dicembre 2023 era la data ultima per comunicare i dati del titolare effettivo, scadenza poi sospesa con l'Ordinanza n 8083 del 7.12.2023 che trasferiva l'adempimento alla decisione del TAR del 27 marzo prossimo.

Facciamo un breve riepilogo sull’ adempimento.

Chi è il titolare effettivo

Secondo la normativa sull'antiriciclaggio, il Titolare Effettivo è la persona fisica che possiede o controlla un'entità giuridica ovvero ne risulta beneficiaria ovvero:

Illecite le email pubblicitarie senza consenso.

Inserire un link per disiscriversi non rende l’invio lecito Un link per disiscriversi nelle email promozionali inviate senza consenso non rende lecito l’invio.

UFFICIO TELEMATICO