Aspetti legali e conformità

NIS2 e DORA: perché la sicurezza fisica sta diventando un fattore di conformità

Seguiteci su LinkedIn LinkedIn
NIS2 e DORA richiedono espressamente un controllo fisico degli accessi. Come un moderno tesserino aziendale con foto diventa la prima linea di difesa – e come Photo Collect garantisce la sicurezza Photo Collect di registrazione per migliaia di dipendenti.

Quando si parla di NIS2 e DORA, vengono subito in mente firewall, test di penetrazione e risposta agli incidenti. Ciò che spesso viene trascurato nella pratica è che entrambi i quadri normativi richiedono espressamente anche la sicurezza fisica. Se non si controlla l’accesso, per quanto si possa rafforzare la rete, un revisore troverà comunque una falla. Ed è proprio qui che il tesserino identificativo del dipendente con foto passa dall’essere una questione di risorse umane a diventare un fattore di conformità.

Cosa prevedono concretamente NIS2 e DORA

I due quadri normativi dell'UE hanno un'impostazione diversa, ma convergono sul controllo fisico degli accessi.

La direttiva NIS2 impone alle imprese l'adozione di misure minime in materia di gestione dei rischi. Oltre alla sicurezza della catena di approvvigionamento e del personale, la direttiva menziona anche la crittografia e i controlli di accesso: in questo contesto, la sicurezza fisica non è solo implicita, ma costituisce un requisito esplicito.

Anche il regolamento DORA per il settore finanziario richiede espressamente linee guida e strumenti volti a garantire sia la sicurezza logica che quella fisica delle risorse ICT. Le relative linee guida dell'EBA concretizzano tali requisiti attraverso disposizioni quali tesserini di accesso, registri dei visitatori e obblighi di identificazione.

In pratica, ciò significa che in Svizzera e nell'area dell'UE chiunque rientri in una di queste normative – che si tratti di infrastrutture critiche, banche, assicurazioni, aziende farmaceutiche, fornitori di energia o grandi imprese industriali – oppure chiunque sia coinvolto come fornitore in una catena di approvvigionamento regolamentata, deve avere sotto controllo i propri sistemi di controllo degli accessi.

Perché la carta d'identità con foto è fondamentale

In molte aziende, il «tesserino aziendale» è ancora oggi un semplice chip RFID anonimo o addirittura un mazzo di chiavi. Ciò rende il social engineering un gioco da ragazzi: un chip trovato funziona per chiunque. Una tessera presa in prestito non salta all’occhio, poiché sulla tessera non figurano dati personali. Gli auditor con mandato NIS2 o DORA mettono in discussione proprio queste lacune.

Una carta d'identità con foto a prova di contraffazione colma tre lacune contemporaneamente:

  1. Controllo visivo alla reception e nei varchi di accesso: la foto sulla tessera deve corrispondere alla persona che la esibisce. Sembra banale, ma è la forma più semplice di verifica multifattoriale all'interno dell'edificio.
  2. Trasparenza nei confronti dei revisori: tesserini fotografici uniformi e documentati dimostrano l’esistenza di un processo controllato. I chip anonimi dimostrano il contrario.
  3. Capacità di gestione degli incidenti: quando si indaga su un evento di sicurezza, l’identificazione delle persone alle porte e ai varchi di sicurezza è di fatto impossibile senza una foto.

La sfida nella pratica: la scalabilità

Chi ha compreso questa esigenza si trova di fronte al problema successivo: come procurarsi diverse migliaia di foto dei dipendenti uniformi e di alta qualità, nel rispetto della normativa sulla protezione dei dati, verificabili e in tempi ragionevoli? I metodi tradizionali falliscono proprio su questo punto:

  • Un fotografo professionista sul posto: troppo costoso, troppo lento, un incubo dal punto di vista logistico quando le sedi sono sparse.
  • I dipendenti caricano le foto autonomamente: qualità scadente, sfondi eterogenei, mancata conformità alla CI, assenza di tracciabilità.
  • Fotomat nel foyer: tempi di attesa, soluzioni isolate, nessuna integrazione con i sistemi HR o di controllo degli accessi.

È proprio questa discontinuità nel processo il punto in cui la compliance fallisce nella pratica.

Come Photo Collect garantisce la sicurezza Photo Collect processo

Photo Collect il software svizzero B2B per l'acquisizione automatizzata di foto per documenti d'identità. Il funzionamento: i dipendenti ricevono un link personalizzato via e-mail o SMS, scattano la foto con il proprio smartphone – senza app, senza login – e l'intelligenza artificiale verifica automaticamente la nitidezza, lo sfondo, la posizione della testa, gli occhiali e altri parametri. Quattro punti chiave rendono il processo conforme alle normative NIS2 e DORA:

Hosting in Svizzera, sicuro e protetto. Tutte le foto possono essere elaborate esclusivamente in un centro dati certificato ISO 27001 in Svizzera. L'elaborazione completa delle immagini, compresi i modelli di IA, può essere effettuata direttamente da Visible Solutions , senza ricorrere a servizi cloud esteri. In questo modo, i dati delle immagini sono completamente protetti dal US CLOUD Act – un aspetto che viene sempre più spesso verificato durante gli audit NIS2.

Una piattaforma dedicata per ogni cliente. Anziché un cloud multi-tenant , ogni cliente può gestire una propria istanza isolata. La separazione dei dati tra i clienti non viene così risolta solo tramite una separazione logica in un ambiente condiviso, ma anche a livello strutturale.

Riduzione al minimo dei dati e cancellazione automatica. Una volta completata l'esportazione – tramite ZIP, sFTP, REST-API o, facoltativamente, con crittografia OpenPGP – i dati delle immagini vengono automaticamente cancellati. Ciò soddisfa i requisitiGDPR e della CH-DSG in materia di limitazione delle finalità e di conservazione dei dati. Documentato tramite DPA e SLA.

Nessun uso di IA generativa sui volti. Photo Collect non Photo Collect i volti. Questo è un aspetto fondamentale dal punto di vista normativo: in una foto per documenti d’identità la persona deve essere riconoscibile, non una sua versione ottimizzata. L’IA verifica, ritaglia e sostituisce lo sfondo – nient’altro. Maggiori informazioni al riguardo nell’articolo «Miglioramento delle immagini con l’IA: cosa è consentito?».

Cosa significa questo in termini numerici

Photo Collect ha elaborato oltre 4 milioni di foto; in media, questo processo richiede meno di 2 minuti per ogni dipendente. In un gruppo industriale con 20'000 dipendenti, il processo di rebadging è stato completato in tre settimane, con un'accettazione da parte dei dipendenti pari praticamente al 100% e un tasso di errore inferiore al 2%. Nel controllo di qualità manuale opzionale, una persona verifica nuovamente la conformità delle immagini in arrivo. L'interfaccia utente ottimizzata consente di controllare migliaia di foto all'ora. La convalida tramite IA supporta il processo e individua eventuali problemi già durante il caricamento.

Quando si tratta di implementare NIS2 o DORA con un volume elevato di rebadging, questa è la differenza tra un progetto che va a buon fine e uno che terrà occupato il revisore anche nella prossima tornata.

Integrazione nell'architettura di sicurezza esistente

Photo Collect integrato nei processi esistenti. Grazie a un'API REST e a integrazioni predefinite, la piattaforma si integra perfettamente nei sistemi di controllo accessi, nelle risorse umane e nelle stampanti di tessere. In questo modo, la foto verificata viene inviata direttamente al sistema di gestione delle risorse umane o delle tessere, senza passaggi manuali intermedi e senza percorsi di dati non protetti.

Chi installa Photo Collect su un proprio sottodominio e sul proprio server SMTP mantiene l'intero processo all'interno del proprio dominio di fiducia – un aspetto che emerge regolarmente durante gli audit DORA sui rischi della catena di fornitura.

La conformità inizia già all'ingresso

NIS2 e DORA non sono solo una questione informatica. Chi considera il controllo fisico degli accessi come una questione secondaria relativa alla gestione delle strutture, se ne renderà conto in occasione del prossimo audit. Un tesserino identificativo del personale uniforme e a prova di contraffazione, corredato di foto, non è più oggi un semplice elemento di facciata per le risorse umane, ma parte integrante dell’architettura di conformità.

Photo Collect il divario tra l'esigenza – foto uniformi e di qualità garantita per migliaia di persone – e l'onere operativo che finora ha bloccato molti progetti. Hosting in Svizzera, istanza dedicata, cancellazione automatica, nessuna IA generativa sui volti. Chi deve implementare NIS2 o DORA ha così una preoccupazione in meno.

Seguiteci su LinkedIn LinkedIn

Nico Schefer

Scritto da

Altri articoli

Aspetti legali e conformità

ICAO 9303 vs. ISO/IEC 19794-5: ciò di cui i team svizzeri delle risorse umane e della conformità hanno davvero bisogno per le foto dei dipendenti

Gestione dei processi

Raccogliere in modo efficiente foto ritratto uniformi di molte persone

Tecnologia

Foto del volto: acquisizione conforme ai requisiti biometrici e alle norme ICAO, con scalabilità efficiente

Gestione dei processi

Protezione dei dati nei chioschi self-service / cabine fotografiche: perché le aziende dovrebbero prestare particolare attenzione alle foto dei dipendenti destinate ai tesserini identificativi

Aspetti legali e conformità

Questioni legali relative alle foto sul tesserino identificativo del dipendente

Aspetti legali e conformità

Ritocchi alle immagini con l'IA: cosa è consentito?

Foto dei dipendentiFoto per la carta d'identitàTessere studentesche
Caricamento demoBlogStandard fotografici ICAOEsperto ChatGPT
Note legaliInformativa sulla privacyPolitica sui cookieStato del sistema
© Photo Collect Visible Solutions , Zurigo, Svizzera