Principali normative in materia di sicurezza delle informazioni – Regno Unito

GLOBALE: normative o standard universali, applicabili a entità a livello mondiale.

A chi si rivolge: entità a cui vengono applicati standard o normative.

GLOBALE
Gestione del rischio	A chi si rivolge?
Basilea II Lo scopo di questa normativa è di migliorare l'allineamento dei requisiti bancari relativi al capitale ai rischi sottostanti. Alle banche viene richiesto di monitorare, mitigare e palesare i rischi. http://www.bis.org/publ/bcbsca.htm	Organizzazioni globali di servizi finanziari Banche internazionali con asset superiori a 250 miliardi di dollari o esposizioni sull'estero superiori a 10 miliardi di dollari.
Standard di sicurezza dei dati nel settore delle carte di pagamento (PCI, Payment Card Industry) Questo standard ha come obiettivo la creazione di un unico insieme di requisiti di sicurezza da utilizzare da parte di tutti gli istituti di pagamento. Gli operatori commerciali e i fornitori di servizi devono adottare questo standard per valutare il proprio stato di sicurezza. https://www.pcisecuritystandards.org/	Tutti i membri, operatori commerciali e fornitori di servizi che memorizzano, elaborano o trasmettono dati relativi al possessore della carta.

REGNO UNITO
Governance aziendale	A chi si rivolge?
Linee guida Turnbull 1999 Lo scopo di questa normativa è di incoraggiare le aziende ad identificare e gestire i rischi interni ed esterni nell'ambito delle proprie organizzazioni. http://www.frc.org.uk/corporate/internalcontrol.cfm	Tutte le aziende quotate allo UK Stock Exchange.
Companies Act 1985 Regulations 2005 Queste normative modificano il Companies Act of 1985 e introducono la necessità di una revisione operativa e finanziaria. Essa deve prevedere una equa revisione dell'attività dell'azienda ed una descrizione dei principali rischi ed incertezze a cui l'azienda deve far fronte. http://www.opsi.gov.uk/SI/si2005/20051011.htm	Relazione del consiglio di amministrazione: grandi aziende Revisione operativa e finanziaria (OFR): aziende quotate nel Regno Unito.
The Companies Act 2004 Questa legge ha lo scopo di migliorare l'affidabilità dei report finanziari e l'indipendenza dei revisori. Enfatizza il ruolo del Financial Reporting Review Panel (FRRP) applicando buone pratiche di contabilità e refertazione. http://www.opsi.gov.uk/ACTS/acts2004/20040027.htm	Tutte le aziende revisionate nel Regno Unito ed i rispettivi amministratori.
Normative sul riciclaggio del denaro 2003 (MLR) Tali normative richiedono alle aziende di nominare un funzionario relatore per il riciclaggio di denaro (MLRO) che addestri i dipendenti sui principi ed i requisiti della legge, verifichi l'identità dei nuovi clienti e conservi in modo sicuro i record con l'identificazione e le transazioni dei clienti per cinque anni. http://www.opsi.gov.uk/si/si2003/20033075.htm	Istituti e professionisti dei servizi finanziari Settori correlati quali le agenzie immobiliari Enti che trattano servizi tra cui transazioni superiori a €15.000.
Privacy
Legge britannica sulla protezione dei dati Questa legge vincola legalmente qualunque ente coinvolto nel trattamento dei dati personali ad attuare una good practice nella gestione e nell'utilizzo dei dati. Tutti gli enti devono conformarsi agli otto principi applicabili di good practice in materia di gestione delle informazioni. I principi prevedono inoltre che gli enti impediscano l'elaborazione non autorizzata o illecita dei dati, nonché la perdita o il danneggiamento accidentale dei dati. http://www.opsi.gov.uk/ACTS/acts1998/19980029.htm	Qualunque organizzazione che raccolga dati personali.
The Freedom of Information Act 2000 – UK Questa legge stabilisce che le informazioni sulle autorità pubbliche non possano essere alterate, deteriorate, danneggiate o distrutte. Le autorità pubbliche devono garantire il funzionamento dei sistemi che detengono le informazioni. http://www.opsi.gov.uk/ACTS/acts2000/20000036.htm	Questa legge consente l'accesso pubblico generale alle informazioni possedute dalle autorità pubbliche.

UNIONE EUROPEA
Privacy	A chi si rivolge?
Direttiva UE sulla protezione dei dati (EU DPD) Questa direttiva si riferisce al trattamento dei dati personali, tra cui i dati trattati in maniera automatica e i dati manuali in un sistema di archiviazione. Le organizzazioni devono adottare misure adeguate per la protezione dei dati personali contro l'accesso non autorizzato, la distruzione accidentale o illegittima, la perdita accidentale, l'alterazione o la divulgazione non autorizzata. Lo US Safe Harbor Arrangement è un processo semplificato che consente alle aziende statunitensi di conformarsi alla direttiva. http://www.cdt.org/privacy/eudirective/EU_Directive_.html	La direttiva si applica ai paesi membri e agli altri paesi che intrattengono operazioni commerciali con essi.
Normative comunitarie sulla privacy e le comunicazioni elettroniche (Direttiva CE) – 2003 Questa direttiva protegge il pubblico da attività di marketing elettronico che possano causare disturbo, offesa e invasione della privacy. Richiede l'attuazione di misure di sicurezza al fine di garantire la disponibilità e la correttezza dei record di marketing elettronico. I provider di servizi elettronici devono garantire la continuità del funzionamento di sistemi e reti ed implementare misure di sicurezza volte alla protezione dei dati dei clienti. http://europa.eu.int/comm/justice_home/fsj/privacy/law/index_en.htm	Organizzazioni che utilizzano e-mail marketing Le aziende di telecomunicazione e gli ISP devono implementare ulteriori tecnologie e attività di sicurezza a salvaguardia dei propri servizi.
Integrità delle informazioni
UE Allegato 11, Sistemi computerizzati Lo scopo principale di questa normativa è di garantire che i "record siano adeguatamente creati e protetti contro la perdita, il danneggiamento o l'alterazione non autorizzata affinché vi sia una memoria eventi chiara ed accurata durante tutto il processo di produzione". http://www.labcompliance.com/documents/europe/h-213-eu-gmp-annex11.pdf	Produttori farmaceutici che utilizzano sistemi computerizzati.