La direzione di una PMI in Svizzera assume una responsabilità importante nella protezione dei dati di clienti, collaboratori e partner commerciali, nonché nell’implementazione di una cybersicurezza solida. La cybersicurezza è una questione che riguarda direttamente la direzione!
In Svizzera, la gestione dei dati personali è disciplinata dalla Legge federale sulla protezione dei dati (LPD). Questa legge impone alle imprese l’obbligo di proteggere i dati personali e di garantire il rispetto dei diritti delle persone interessate. La direzione e il consiglio di amministrazione hanno quindi la responsabilità di integrare pienamente la protezione dei dati all’interno della loro azienda.
La cybersicurezza è strettamente legata alla protezione dei dati: la mancanza di misure di sicurezza adeguate aumenta il rischio di fughe di dati e di attacchi informatici. È pertanto compito della direzione adottare misure di protezione per l’impresa e per i suoi dati.
Obblighi in materia di cybersicurezza
- Responsabilità strategica nella cybersicurezza: in quanto direzione, avete il compito di elaborare e attuare una strategia globale di cybersicurezza. Ciò include sia misure preventive (es. aggiornamenti regolari, antivirus) sia piani di risposta in caso di attacco (es. ripristino operativo, comunicazione con le autorità).
- Protezione dell’infrastruttura IT e delle reti: dovete garantire che tutti i sistemi informatici, le reti e i database aziendali siano protetti da misure adeguate. Questo comprende l’uso di firewall, antivirus, aggiornamenti regolari di software e sistemi operativi, nonché la crittografia dei dati sensibili.
- Controllo degli accessi e gestione dei diritti: è essenziale implementare controlli di accesso e meccanismi di autenticazione degli utenti. Definite chi può accedere a quali sistemi e dati e applicate l’autenticazione a due o più fattori (MFA/2FA) per impedire gli accessi non autorizzati.
- Formazione dei collaboratori: poiché l’essere umano è un vettore comune per gli attacchi, è fondamentale formare regolarmente tutti i collaboratori sui rischi della cybersicurezza, come il phishing, l’ingegneria sociale e le buone pratiche nella gestione delle password. Tutti devono essere consapevoli dei rischi e sapere come reagire in caso di incidente.
- Gestione delle crisi e piani di emergenza: il consiglio d’amministrazione deve garantire che l’azienda disponga di un piano di emergenza chiaro in caso di attacco informatico o violazione della sicurezza. Il piano deve includere i contatti di emergenza, le strategie di ripristino e le fasi da seguire per limitare i danni.
- Audit di sicurezza e controlli regolari: la cybersicurezza è un processo continuo. La direzione deve prevedere audit di sicurezza regolari e test di intrusione per individuare e correggere le vulnerabilità. Questi controlli possono essere eseguiti da esperti esterni o da fornitori di servizi IT.
- Rischi legali e assicurazione: verificate che la vostra azienda disponga di un’assicurazione cyber adeguata che copra le perdite finanziarie legate agli attacchi informatici o alle fughe di dati. In quanto direzione o consiglio d’amministrazione, siete inoltre responsabili delle questioni di responsabilità civile in caso di mancato rispetto degli obblighi in materia di cybersicurezza che abbiano causato danni.
La direzione e il consiglio d’amministrazione possono essere ritenuti responsabili in caso di negligenza o errore nella protezione dei dati e nella cybersicurezza. La violazione degli obblighi di diligenza può comportare una responsabilità personale per i danni causati. Ciò vale in particolare in caso di grave inosservanza delle norme in materia di protezione dei dati o cybersicurezza, oppure in caso di violazione di obblighi legali.
