Dentro lo standard ISO/IEC 27002:2022
Le nuove norme, pubblicate il 15 febbraio, in materia di sicurezza delle informazioni, profili di rilevanza legale e principali effetti applicativi.
Oggi ci occuperemo di tratteggiare sinteticamente, l’attuale stato di evoluzione del quadro normativo, legislativo e regolatorio applicabile in materia di sicurezza delle informazioni. Già nel 2016, con la direttiva NIS, il legislatore comunitario aveva specificato che per garantire un’applicazione convergente delle norme di sicurezza all’interno del territorio dell’Unione Europea, è necessario che gli Stati membri incoraggino il rispetto o la conformità a norme specifiche volte a garantire un livello elevato di sicurezza delle reti e dei sistemi informativi in tutta l’Unione.
Per quanto riguarda la standardizzazione, specificamente a opera dell’organizzazione Internazionale per la standardizzazione (ISO) e del Comitato Elettrotecnico Internazionale (IEC), nell’ultimo periodo, a partire dalla pubblicazione della norma ISO/IEC 27001:2013, (Tecnologia dell’informazione – Tecniche di sicurezza – Sistemi di gestione della sicurezza delle informazioni – Requisiti), il campo della sicurezza delle informazioni, anche in considerazione della sempre maggiore disponibilità di potenza di calcolo e dell’introduzione sempre più efficace di metodi di intelligenza artificiale e della conseguente evoluzione delle minacce e delle relative contromisure, ha conosciuto un costante aggiornamento, portando alcuni miglioramenti nella consapevolezza della rilevanza strategica dell’argomento nelle organizzazioni.
Negli ultimi anni sono stati pubblicati diversi standard di sicurezza, come per esempio, a titolo esemplificativo e non esaustivo: gli standard ISO/IEC 27017:2015 per i servizi cloud; ISO/IEC 27799:2016 per l’informatica sanitaria; ISO/IEC 27701:2019 per la privacy; ISO/IEC TR 29119-11:2020 (en), per il test dei sistemi di intelligenza artificiale definita quest’ultima (3.1.13) come la capacità di un sistema ingegneristico di acquisire, elaborare e applicare conoscenze e competenze.
Tutti questi sviluppi hanno portato alla necessità di aggiornare lo standard ISO/IEC 27002:2022 per fornire un focus contemporaneo sui controlli di sicurezza delle informazioni che possono fare la differenza in qualsiasi organizzazione, indipendentemente dal sito, dalla natura o dalla complessità.
Da dove si parte
Prima di esaminare nel dettaglio i cambiamenti derivanti dal recentissimo rilascio il 15 febbraio scorso della norma ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection – Information security controls, al fine di comprendere in modo compiuto la portata del nuovo assetto della standardizzazione e la sua rilevanza legale, appare indispensabile una breve ricognizione degli altri principali standard sin qui applicabili alla certificazione dei sistemi di gestione della sicurezza delle informazioni.
Come è noto, la norma internazionale ISO/IEC 27001:2013(en), che comprende anche i requisiti per la valutazione e il trattamento dei rischi per la sicurezza delle informazioni, adattati alle esigenze dell’organizzazione, specifica i requisiti per stabilire, implementare, mantenere e migliorare continuamente un sistema di gestione della sicurezza delle informazioni nel contesto delle organizzazioni.
Un sistema di gestione, in base a quanto precisato al punto 3.41. della norma ISO/IEC 27000:2018(en) (Information technology – Security techniques – Information security management systems – Overview and vocabulary) può essere definito come un insieme di elementi interconnessi o interagenti di un’organizzazione per stabilire politiche e obiettivi e processi per raggiungere tali obiettivi; nel caso specifico della sicurezza delle informazioni il sistema di gestione avrà lo scopo della conservazione della riservatezza, dell’integrità e della disponibilità delle informazioni.
In questo ambito, lo standard ISO 27002:2022 è strettamente correlato allo standard ISO 27001:2013 che include regole di riferimento per la sicurezza delle informazioni, la sicurezza informatica, la protezione della privacy e l’assistenza all’implementazione basate sulle migliori pratiche riconosciute a livello globale, fornendo sostanzialmente le linee guida su come stabilire un ISMS (Information Security Management System) certificato ISO 27001. La norma ISO 27002:2022 non prevede criteri di certificazione propri, ma le organizzazioni possono ottenere la certificazione ISO 27001:2013 aderendo ai controlli per la sicurezza informatica e fisica e per la gestione della cyber e della privacy della norma ISO 27002:2022.
Utile anche per una corretta applicazione del GDPR
Dal punto di vista strettamente legale, il quadro regolatorio appena descritto, appare assai utile sul piano interpretativo per integrare il significato proprio da attribuire ad alcune formule impiegate in importanti testi legislativi di disciplina della sicurezza informatica. In particolare, come abbiamo già avuto modo di specificare su queste pagine, la sopra ricordata definizione di sicurezza delle informazioni, appare del tutto sovrapponibile a quella contenuta all’art. 32 lett. b) del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (GDPR) ove si specifica che: tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso “…b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento”.
In effetti, da una parte, il richiamo contenuto nell’art. 32 lett. b) citato, alle caratteristiche di sicurezza delle informazioni (Riservatezza, Integrità, Disponibilità), dall’altra, l’inclusione nello standard ISO 27002:2022 delle definizioni di “PII Personally Identifiable Information (any information that (a) can be used to establish a link between the information and the natural person to whom such information relates, or (b) is or can be directly or indirectly linked to a natural person), e PII principal (natural person to whom the personally identifiable information relates)”, ed infine, la stessa definizione di dato personale, di cui all’art. 4 nr. 1 del GDPR in termini di qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”), si considera identificabile: la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale, che rendono i contenuti della norma ISO 27002 indispensabili, ad avviso di chi scrive, per una corretta applicazione, da parte del Giudice, o dell’Autorità Amministrativa di controllo, delle previsioni del GDPR e in particolare di quelle relative alla sicurezza, all’analisi del rischio e allo svolgimento delle operazioni di valutazioni di impatto di cui all’art. 35 del GDPR.
