Nuova legislazione europea sulla protezione dei dati e piccole imprese

4

Sono a conoscenza delle nuove modifiche alla normativa UE in materia di protezione dei dati. Come consulente per la sicurezza di una società IT che gestisce più sistemi di altre società, speravo che qualcuno fosse in grado di chiarire alcune cose per me.

1) Sono consapevole che la nuova legge può imporre un 5% del fatturato annuo fino a 5 milioni di sterline a una società che non è in grado di adottare misure adeguate per proteggere i propri dati. Anche questo è scalabile per le piccole imprese che detengono ~ 100 clienti? E questo sarebbe altrettanto grave per dire una compagnia di ~ 5 dipendenti che ha subito una perdita di informazioni?

2) Come si colloca questa scala con un budget di aziende più piccole, ad esempio cose come la crittografia dei dati è a buon mercato, tuttavia sistemi anti-malware più completi e sistemi IDS / IPS sono più costosi, in che modo questo requisito è scalabile per un'azienda più piccola chi non può permettersi di spendere migliaia per questo?

Grazie per eventuali approfondimenti / chiarimenti.

    
posta IngenuIT 19.10.2015 - 13:16
fonte

1 risposta

3

La legge sulla protezione dei dati richiede alle aziende di proteggere le informazioni personali in modo ragionevole e sicuro. La multa è scalabile in quanto dipende dal fatturato annuale dell'azienda. È un po 'più "equo" rispetto a una base per dipendente (ad esempio un'azienda di 5 uomini può avere 100k ma un fatturato di 5 milioni di euro).

Prima di tutto tieni presente che non è del tutto nuovo, quindi se stai improvvisamente pensando alla protezione dei dati, probabilmente non sei conforme ai regolamenti locali .

Gli atti di protezione dei dati esistono da diversi anni, il motivo per cui è stata creata una DPL europea riguardava principalmente società più grandi con entità in paesi diversi che avevano tutte le proprie leggi in materia di DPP. Ci sono più vantaggi per le aziende che già aderivano. Le società che avranno problemi sono quelle che attualmente non rispettano la DPL.

I vantaggi per le aziende sono:

  • Un continente, una legge: il regolamento stabilirà un singolo, legge paneuropea per la protezione dei dati, in sostituzione della corrente patchwork incoerente delle leggi nazionali. Le aziende ne tratteranno una legge, non 28. I benefici sono stimati in 2,3 miliardi di euro all'anno.
  • Sportello unico: il regolamento istituirà un "sportello unico" per imprese: le aziende dovranno fare i conti con una sola autorità di vigilanza, non 28, rendendola più semplice e meno costosa società per fare affari nell'UE; e più facile, più veloce e altro ancora efficiente per i cittadini per proteggere i loro dati personali.

L'unica cosa di cui molte aziende sono preoccupate è questa:

  • I regolatori europei saranno dotati di forti poteri di controllo: le autorità per la protezione dei dati saranno in grado di multare le aziende che non lo fanno rispettare le regole dell'UE fino al 2% del loro fatturato annuale globale. Il Il Parlamento europeo ha persino proposto di aumentare le possibili sanzioni al 5%.

Le aziende che sono preoccupate per questo sono per lo più società che fanno parte di un paese europeo che non hanno regole di protezione dei dati rigide o non applicate.

La direttiva non richiede l'acquisto di componenti hardware costosi, ma richiede l'adozione di controlli per garantire, entro limiti ragionevoli, la protezione adeguata dei dati. Questo è abbastanza ampio e lo lascia aperto all'interpretazione (soprattutto non da parte tua, ma da un giudice). IDS e IPS non devono essere costosi. Ci sono anche HIDS basati su open source gratuiti. Spetta a tu eseguire una valutazione del rischio e vedere quale software / hardware ti servirà in base alla possibilità che una minaccia possa materializzarsi.

Richiederà alle aziende, anche piccole una volta, di pensare alla governance dei dati e al modo in cui gestiscono l'accesso a determinati dati personali. Fornisce inoltre incentivi per rimuovere i dati personali una volta che non è più necessario. La direttiva serve come promemoria e incentivo per le aziende in generale a pensare alla loro sicurezza dei dati e quali potrebbero essere le conseguenze.

Le aziende di piccole e medie dimensioni saranno esenti da determinati requisiti:

  • Responsabili della protezione dei dati: le PMI sono esenti dall'obbligo di nominare un responsabile della protezione dei dati nella misura in cui l'elaborazione dei dati non lo è la loro attività principale.
  • Niente più notifiche: le notifiche alle autorità di vigilanza sono a formalità e burocrazia che rappresenta un costo per le imprese di € 130 milioni ogni anno. La riforma li eliminerà completamente.
  • Ogni centesimo conta: dove le richieste di accesso ai dati sono manifestamente infondate o eccessive, le PMI saranno in grado di addebitare una commissione per fornendo accesso.
  • Valutazioni d'impatto: le PMI non avranno alcun obbligo di effettuare un valutazione dell'impatto a meno che non vi sia un rischio specifico.

Anche le regole saranno flessibili. Le norme dell'UE terranno conto adeguatamente e correttamente dei rischi. In un certo numero di casi, gli obblighi dei responsabili del trattamento e dei responsabili del trattamento sono calibrati in base alle dimensioni dell'azienda e alla natura dei dati trattati.

    
risposta data 19.10.2015 - 15:23
fonte

Leggi altre domande sui tag