Da settembre 2023 e in vigore la nuova legge svizzera sulla protezione dei dati (nLPD). Molte PMI sono incerte: cosa dobbiamo implementare concretamente a livello tecnico? Basta un’informativa sulla privacy? Abbiamo bisogno di un consulente per la protezione dei dati?<\/p>\n
Questo articolo spiega i requisiti tecnici della nLPD \u2014 senza linguaggio giuridico, con misure concrete.<\/p>\n
L’articolo 8 della nLPD parla di \u00abmisure tecniche e organizzative adeguate\u00bb per proteggere i dati personali. Il Consiglio federale le ha specificate nell’Ordinanza sulla protezione dei dati (OPDa):<\/p>\n
L’ultimo punto e decisivo \u2014 e quello piu spesso trascurato.<\/p>\n
La legge non richiede prodotti o certificazioni specifiche. \u00abAdeguate\u00bb significa: proporzionate al rischio e alla dimensione dell’azienda.<\/p>\n
Per una PMI con 20 collaboratori valgono standard diversi rispetto a una banca. Ma: \u00absiamo troppo piccoli, non ci riguarda\u00bb non regge. La nLPD si applica a ogni azienda che tratta dati personali \u2014 e lo fa praticamente ogni PMI (dati dei clienti, dati dei collaboratori, indirizzi e-mail).<\/p>\n
1. Imporre la crittografia<\/strong> 2. Verificare i diritti di accesso<\/strong> 3. Mantenere il software aggiornato<\/strong> 4. Vulnerability scan regolari<\/strong> 5. Documentare la strategia di backup<\/strong> 6. Pianificare la risposta agli incidenti<\/strong> 7. Aggiornare l’informativa sulla privacy<\/strong> La nLPD prevede multe fino a CHF 250’000 \u2014 e queste sono rivolte alla persona fisica responsabile, non all’azienda. Questo significa: direttori e responsabili IT sono personalmente responsabili.<\/p>\n Nella pratica, l’IFPDT (Incaricato federale della protezione dei dati e della trasparenza) puntera probabilmente prima sulla cooperazione e sul miglioramento. Ma: in caso di incidente, verra verificato se erano in atto misure di protezione adeguate. Chi non puo dimostrare nulla avra un problema.<\/p>\n La nLPD non richiede certificazioni. Ma richiede che possiate dimostrare di aver adottato misure adeguate.<\/p>\n Concretamente, questo significa:<\/p>\n Un rapporto di scan professionale nella vostra lingua e esattamente il tipo di prova che un revisore o l’IFPDT vuole vedere.<\/p>\n La nLPD non e una legge sulla sicurezza informatica in senso stretto. Ma richiede misure tecniche che corrispondono agli standard di sicurezza informatica. Chi verifica regolarmente i propri sistemi e documenta i risultati soddisfa la maggior parte dei requisiti tecnici.<\/p>\n ExposIQ genera automaticamente rapporti di verifica conformi alla nLPD in tedesco, francese, italiano e inglese. I rapporti documentano i sistemi verificati, le vulnerabilita identificate e le misure raccomandate \u2014 esattamente cio che revisori e regolatori vogliono vedere.<\/p>\n Provatelo gratuitamente per 14 giorni.<\/a><\/p>\n","protected":false},"excerpt":{"rendered":" Da settembre 2023 e in vigore la nuova legge svizzera sulla protezione dei dati (nLPD). Molte PMI sono incerte: cosa dobbiamo implementare concretamente a livello tecnico? Basta un’informativa sulla privacy? Abbiamo bisogno di un consulente per la protezione dei dati? Questo articolo spiega i requisiti tecnici della nLPD \u2014 senza linguaggio giuridico, con misure concrete. … Leggi tutto<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"rank_math_focus_keyword":"nLPD sicurezza informatica PMI","rank_math_title":"nLPD e sicurezza informatica: cosa devono fare davvero le PMI svizzere","rank_math_description":"La nuova legge sulla protezione dei dati richiede misure tecniche. 7 passi concreti che ogni PMI dovrebbe implementare.","rank_math_robots":"","rank_math_canonical_url":"","rank_math_primary_category":"","footnotes":""},"categories":[8],"tags":[],"class_list":["post-918","post","type-post","status-publish","format-standard","hentry","category-it-sicherheit","generate-columns","tablet-grid-50","mobile-grid-100","grid-parent","grid-33"],"_links":{"self":[{"href":"https:\/\/exposiq.ch\/it\/wp-json\/wp\/v2\/posts\/918","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/exposiq.ch\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/exposiq.ch\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/exposiq.ch\/it\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/exposiq.ch\/it\/wp-json\/wp\/v2\/comments?post=918"}],"version-history":[{"count":1,"href":"https:\/\/exposiq.ch\/it\/wp-json\/wp\/v2\/posts\/918\/revisions"}],"predecessor-version":[{"id":928,"href":"https:\/\/exposiq.ch\/it\/wp-json\/wp\/v2\/posts\/918\/revisions\/928"}],"wp:attachment":[{"href":"https:\/\/exposiq.ch\/it\/wp-json\/wp\/v2\/media?parent=918"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/exposiq.ch\/it\/wp-json\/wp\/v2\/categories?post=918"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/exposiq.ch\/it\/wp-json\/wp\/v2\/tags?post=918"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\nTutti i servizi raggiungibili dall’esterno devono utilizzare TLS 1.2 o superiore. TLS 1.0 e 1.1 sono superati e considerati non sicuri.<\/p>\n
\nChi ha accesso da amministratore? Chi puo accedere ai dati personali? Applicare il principio del minimo privilegio.<\/p>\n
\nSoftware obsoleto con vulnerabilita note rappresenta un rischio difficile da giustificare in caso di incidente.<\/p>\n
\nL’OPDa richiede una \u00abverifica regolare\u00bb delle misure di protezione. Un vulnerability scan automatizzato e il modo piu efficiente per soddisfare questo requisito.<\/p>\n
\nBackup regolari con ripristino testato. Protezione contro i ransomware: almeno un backup offline o immutabile.<\/p>\n
\nLa nLPD richiede la notifica all’IFPDT entro 72 ore in caso di violazione della protezione dei dati. Un processo documentato e obbligatorio.<\/p>\n
\nObbligo di informare le persone interessate. Deve essere accessibile sul sito web e al momento della raccolta dei dati.<\/p>\nCosa succede in caso di violazione?<\/h2>\n
La documentazione e la chiave<\/h2>\n
\n
Conclusione<\/h2>\n