F         Metodologie di difesa e tecniche di prevenzione




              adeguate e proporzionate per gestire gli attacchi "cyber" a seguito del recepimento
              di quanto previsto dalla direttiva (UE) 2022/2555 conosciuta come "Direttiva NIS 2"

              (191) approvata dal Consiglio e poi pubblicata nella Gazzetta uffi ciale dell’UE il 27
              dicembre 2022, allo stato, le azioni che possono essere attivate al fi ne di limitare il
              successo degli attacchi di cyber-sicurezza possono essere condotte su più fronti:
              • defi nizione di determinati livelli di protezione, sicurezza e strategia aziendale che
                consentano di prevenire il proliferare di questi fenomeni illeciti o quantomeno
                riducano al minimo il tempo di scoperta degli attacchi permettendo, conseguen-
                temente, di ottenere quanto prima l’oscuramento dei siti o degli indirizzi IP o dei
                DNS fraudolenti, fi no ad arrivare al sequestro preventivo del o dei siti per mezzo
                dei quali vengono perpetrati tali illeciti;
              • defi nizione dei livelli di sicurezza da e verso il personale con lo scopo di sensibi-
                lizzare quest’ultimo affi nché ponga la massima cura nell’utilizzo e nella custodia

                dei codici di accesso e nell’uso dei dispositivi ad essi in uso; a maggior ragione
                per coloro che svolgono mansioni di carattere amministrativo-contabile o per co-
                loro che sono integrati nel processo produttivo;
              • defi nizione di procedure di gestione delle emergenze e conseguente diff usione
                delle stesse agli attori coinvolti o comunque ai responsabili dei sistemi IT o ai
                DPO, qualora nominati all’interno dell’impresa.

              F1   DEFINIZIONE DEI LIVELLI DI PROTEZIONE, SICUREZZA E STRATEGIA
                   AZIENDALE AL FINE DI PREVENIRE UN POSSIBILE DATA BREACH
                 Le organizzazioni, ognuna a seconda dei propri livelli e delle proprie possibilità
              economiche, possono proteggere le proprie attività mettendo in pratica un approc-
              cio "multilivello alla sicurezza" con lo scopo di raff orzare non solo i propri livelli di
              sicurezza organizzativa, ma soprattutto ridurre al minimo i profi li di rischio. La glo-
              balizzazione, il continuo progresso tecnologico e l’evoluzione culturale degli hacker
              hanno messo in crisi i "sistemi di controllo delle fi rme" su cui hanno fatto il loro
              core business, per diverso tempo, i tradizionali antivirus, ponendo in evidenza che,
              quest’ultimi, sono importanti (se mantenuti aggiornati), ma non sono più suffi  cienti
              da soli a fornire una protezione completa. Pertanto, in questi sistemi organizzativi,
              è necessario cambiare alcuni aspetti ben radicati nella cultura tradizionale di rife-
              rimento gettando le basi per avviare un nuovo sistema del tipo "analisi comporta-
              mentale" fondato sull’introduzione di livelli di protezione e archiviazione avanzata,
              di aggiornamento, di verifi che periodiche della sicurezza tese a mettere in evidenza
              le vulnerabilità del sistema.

              F1.1  Fasi indicate dal GDPR per finalità di sicurezza preventiva

                 Già, in altre occasioni, è stato ribadito come un azzeramento dei rischi sia da
              considerarsi utopistico, ma tendere alla minimizzazione di essi con una corretta
              analisi e corrette strategie, al contrario, è possibile. Alla luce di quanto sancito
              dall’art. 32 (192) del regolamento (UE) 2016/679 (GDPR) si potrebbe ipotizzare una
                (191)  Si precisa, in tal senso, che la Direttiva NIS 2, consultabile al link https://eur-lex.europa.eu/legal-
                   content/IT/TXT/?uri=uriserv%3AOJ.L_.2022.333.01.0080.01.ITA&toc=OJ%3AL%3A2022%3A333
                   %3ATOC, entrerà in vigore il 16 gennaio 2023 e rappresenta l’evoluzione dell’omologa Direttiva NIS
                   1, recepita nell’ordinamento giuridico nazionale, senza sostanziali modifi che, con il DLG n. 65/2018.
                (192)  Art. 32 Sicurezza del trattamento del regolamento (UE) 2016/679:
                   "1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto,
                   del contesto e delle fi nalità del trattamento, come anche del rischio di varia probabilità e gravità
                   per i diritti e le libertà delle persone fi siche, il titolare del trattamento e il responsabile del tratta-
                   mento mettono in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza
                   adeguato al rischio, che comprendono, tra le altre, se del caso:


              124
              124