Le recenti novità legislative su sicurezza delle reti, dei sistemi informativi, introdotte dalla Dir. Ue 2016/1148 (Direttiva Nis) e in tema protezione dei dati personali, previste dal Reg. Ue 2016/679 (GDPR), suggeriscono un¿indagine sull¿organizzazione idonea a garantire tale sicurezza e sui processi di gestione dei rischi che coinvolge diversi soggetti, tra i quali le società di capitali.
Le nuove previsioni, impongono di individuare e valutare i rischi ed adeguare i modelli di prevenzione alle mutate esigenze, eventualmente adottando nuovi protocolli o modificando quelli esistenti.
Il tema, per alcuni versi, si inserisce, ampliandole, tra le riflessioni che riguardano la responsabilità amministrativa degli enti e la disciplina dettata dal d.lgs 231/2001 che rende necessaria la predisposizione di modelli di organizzazione rischi, al fine di esonerare la società dalle responsabilità derivante dalla commissione di reati.
Sul piano economico, il tema del cyber risk rappresenta un punto critico nel processo di analisi e riduzione dei rischi cui un¿impresa può incorrere nella conduzione della propria attività. Infatti, data la larga diffusione di tecnologie e modelli di business sempre più basati sulla rete, l¿adozione di efficienti ed efficaci strumenti di gestione del cyber risk è importante in quanto da essa possono dipendere le sorti dell¿impresa.
La ricerca che si propone mira ad indagare come gli obblighi introdotti sollevino questioni interpretative complesse in tema di organizzazione delle strutture di protezione, di doveri degli organi di amministrazione e controllo della società, di rapporto tra organi e soggetti ai quali viene conferito l¿incarico o assegnata la funzione di attendere alla corretta applicazione delle norme e di conseguente responsabilità in caso di loro violazione. Inoltre, sul piano economico la ricerca intende misurare il rischio cibernetico e altresì individuare le strategie più idonee per una sua corretta gestione nell¿ambito aziendale
L¿innovatività della ricerca risiede nell¿analisi della normativa recentissima, nell¿individuazione delle problematiche ad essa connesse e nello sforzo interpretativo che tende a fornire soluzioni alle questioni e a ricostruire il sistema di determinazione, valutazione e prevenzione del rischio, nonché il sistema delle responsabilità riconducendoli ai principi generali dell¿ordinamento.
I risultati raggiunti potranno, senza dubbio, contribuire all¿avanzamento delle conoscenze rispetto allo stato dell¿arte, incrementando il dibattito sull¿efficacia delle previsioni di cui al d.lgs. n. 231/2001 e fornendo una chiave di lettura scientifica, che dall¿individuazione del rischio, passi attraverso la quantificazione dello stesso, per giungere alla prevenzione delle conseguenze in tema di responsabilità e di rapporto tra organi.
La rilevanza dell¿analisi deriva, altresì, dalla sua valenza internazionale, sia perché l¿obbligo normativo è costituito dalla Direttiva Ue Nis e dal Regolamento Ue e sia per l¿ampiezza transnazionale della rete e, conseguentemente, del tema della cybersecurity e della protezioni dei dati.
Bibliografia
-L. J. Trautman - P Ormerod, Corporate Directors¿ and Officers¿ Cybersecurity Standard of Care: The Yahoo Data Breach (February 9, 2017). 66 American University Law Review, 1231 (2017).. Available at SSRN: https://ssrn.com/abstract=2883607 or http://dx.doi.org/10.2139/ssrn.2883607
-Hon, W. Kuan, Cloud Service Providers under the NIS Directive ¿ the UK's Implementation (with GDPR Comparisons) (June 13, 2018). Available at SSRN: https://ssrn.com/abstract=
- L.J. Trautman ¿ K. bAltenbaumer-Price, The Board¿s Responsibility for Information Technology Governance (December 17, 2010). John Marshall Journal of Computer & Information Law, Vol. 29, p. 313, 2011. Available at SSRN: https://ssrn.com/abstract=1947283
- M. MAGLIO ¿ P. GHINI, Privacy, nuovo regolamento europeo. L¿importanza delle misure organizzative. Punti di contatto con la normativa 231/2001, in Resp. amm. soc. enti, 2017, 1, p. 52 ss.
- M. MAGLIO ¿ P. GHINI, Il Data Protection Officer e le interazioni/integrazioni con l'Organismo di Vigilanza, in Resp. amm. soc. enti, 2017, 2, p. 21;
- G. FINOCCHIARO, Introduzione al Regolamento europeo sulla protezione dei dati personali, in Nuove leggi civ. comm., 2017, I , p. 10 ss.
- . MANTELERO, Il nuovo approccio della valutazione del rischio nella sicurezza dei dati. Valutazione d¿impatto e consultazione preventiva (artt. 32-39), in G. FINOCCHIARO (diretta da), Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, Bologna, 2017, p. 310 ss.
- A. AVITABILE, Il data protection officer, in G. FINOCCHIARO (diretta da), Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, Bologna, 2017, p. 331 ss.
-G.M. RICCIO, Data protection officer e altre figure, in S. SICA ¿ V. D¿ANTONIO ¿ G.M. RICCIO, La nuova disciplina europea della privacy, Padova, 2016, p. 49 ss.
- G. CODIGLIONE, Risk based approach e trattamento dei dati personali, in S. SICA ¿ V. D¿ANTONIO ¿ G.M. RICCIO, La nuova disciplina europea della privacy, Padova, 2016, p. 55 ss
- A. BERNASCONI, L¿organismo di vigilanza, in A. BERNASCONI ¿ A. PRESUTTI, Manuale della responsabilità degli enti, Milano, 2013, p. 141 ss.;
- F. PIZZETTI, Privacy e il diritto europeo alla protezione dei dati personali. Il Regolamento europeo 2016/679, II, 2016, p. 20 ss.
-CLUSIT, Rapporto Clusit 2018 sulla Sicurezza ICT in Italia, Security Summit
-Failure Mode and Effect Analysis (FMEA) and Failure Modes, Effects and Criticality Analysis (FMECA). http://www.weibull.com/basics/fmea.htm.
-Karabacak B., Sogukpinar I., ISRAM: Information security risk analysis method, Computer & Security 24: 147-159, 2005.