GDPR E NIS II A CONFRONTO

PUNTI DI CONTATTO TRA LE DUE NORMATIVE PER AFFRONTARE IN MANIERA INTEGRATA LE NUOVE SFIDE IN MATERIA DI CYBERSICUREZZA E PROTEZIONE DEI DATI PERSONALI

La sicurezza dei dati e la protezione delle informazioni personali sono aspetti diventati di fondamentale importanza al giorno d’oggi. Due normative chiave, il Regolamento Generale sulla Protezione dei Dati (GDPR) e la Direttiva NIS II, delineano obblighi e responsabilità per garantire un elevato livello di sicurezza e resilienza dei sistemi informativi. Tali normative evidenziano la loro complementarità nella gestione della sicurezza informatica e della protezione dei dati.

Sebbene da una prima analisi tali normative presentino obiettivi e ambiti di applicazione differenti, il GDPR e la NIS II risultano complementari. La NIS II si applica ai soli soggetti essenziali e importanti in settori critici (es. energia, trasporti, sanità, pubblica amministrazione) per garantire la sicurezza delle infrastrutture digitali, mentre il GDPR si applica a tutte le organizzazioni che trattano dati personali di cittadini dell’UE, indipendentemente dal settore o dalla tipologia di attività.

Il GDPR si concentra sulla protezione dei dati personali e sulla privacy. La NIS II mira a garantire la sicurezza informatica delle infrastrutture critiche e dei servizi essenziali. Tuttavia, nell’ambito di applicazione della NIS II, il GDPR fornisce le basi per costruire un sistema di governance della sicurezza informatica. I due ambiti, pertanto, risultano strettamente collegati.

Il rafforzamento della sicurezza complessiva delle informazioni aziendali contribuisce infatti in modo significativo anche alla tutela dei dati personali. L’integrazione tra le due normative è quindi fondamentale per creare un sistema sicuro ed efficiente nella Pubblica Amministrazione e nelle aziende strategiche indicate negli Allegati I, II, III e IV [Allegato Tabelle Informative Ambiti Applicazioni NIS2 – ACN].

Di seguito evidenziamo alcuni aspetti di convergenza tra le due normative, con l’obiettivo di individuare un percorso per l’integrazione dei due sistemi di governance, come accennato nei punti precedenti.

• 1. Finalità: Entrambe le normative mirano a rafforzare la sicurezza informatica e la protezione dei dati, imponendo requisiti stringenti in materia di governance, gestione del rischio e segnalazione degli incidenti. In particolare, per la Pubblica Amministrazione, l’obiettivo è quello di tendere alla conformità a queste regolamentazioni favorendo un approccio strutturato e integrato.

• 2. Obbligo di sicurezza e gestione del rischio: Entrambe le normative impongono l’adozione di misure di sicurezza adeguate, infatti il GDPR (art. 32) richiede a titolari e responsabili del trattamento di adottare misure tecniche e organizzative per garantire la sicurezza dei dati personali.
  La NIS II estende l’obbligo a tutti i soggetti essenziali e importanti, imponendo una gestione proattiva del rischio informatico.

• 3. Obbligo di notifica degli incidenti: Entrambe le normative prevedono la gestione degli incidenti, infatti il GDPR prevede che, in caso di violazione dei dati personali (data breach), il titolare notifichi l’evento all’Autorità Garante entro 72 ore e, se necessario, agli interessati. La NIS II introduce tempistiche stringenti per la segnalazione degli incidenti di sicurezza alle autorità competenti, con una prima notifica entro 24 ore dall’identificazione dell’incidente.

• 4. Ruolo dei responsabili: Il GDPR ha introdotto il Responsabile della Protezione dei Dati (DPO) per monitorare la conformità normativa. La NIS II introduce la figura del Responsabile della Cybersecurity, che spesso coincide con il Chief Information Security Officer (CISO).

• 5. Autorità di vigilanza: Entrambe le normative prevedono delle autorità competenti per la Direttiva NIS II e per il GDPR, con responsabilità specifiche per la cybersicurezza e la protezione dei dati personali, con poteri di vigilanza e sanzione.

• 6. Sanzioni per la non conformità: Il GDPR prevede sanzioni fino al 4% del fatturato annuo globale per violazioni gravi. La NIS II introduce penalità più severe rispetto alla precedente NIS I, con multe proporzionate alla gravità delle inadempienze e alla dimensione dell’organizzazione.

• 7. Approccio basato sulla resilienza e sulla governance: Entrambe le normative promuovono un approccio integrato alla sicurezza basato su:

• Valutazioni d’impatto e gestione del rischio.
• Misure preventive come la crittografia e il monitoraggio continuo.
• Obblighi di formazione e consapevolezza per dipendenti e dirigenti.

Queste affinità rendono fondamentale quest’integrazione strategica per garantire un ambiente digitale sicuro e conforme. Per un’organizzazione già conforme al GDPR, la NIS2 introduce obblighi aggiuntivi che riguardano principalmente la sicurezza delle reti e dei sistemi. Sebbene alcune misure del GDPR possano essere già utili come base di partenza per la conformità alla NIS2 (es. la gestione del rischio e le notifiche degli incidenti), sarà necessario rivalutare ed espandere i protocolli di sicurezza, con una particolare attenzione alla continuità operativa ed alla gestione delle infrastrutture IT critiche.

Se la vostra organizzazione rientra tra quelle soggette alla NIS2 (la valutazione doveva essere effettuata entro il 28 febbraio 2025 o, al massimo, entro l’11 marzo per le organizzazioni già censite nel portale ACN) sarà fondamentale implementare un framework di gestione della sicurezza informatica più ampio, che includa non solo la protezione dei dati personali, ma anche la resilienza dei vostri sistemi e delle vostre reti.

In definitiva, le misure introdotte dalla NIS2 rappresentano un’opportunità sia per le organizzazioni coinvolte sia per i DPO, permettendo loro di trasformare il proprio ruolo da semplice osservatore a protagonista attivo nella creazione di un ecosistema di sicurezza più solido e integrato coordinandosi con i vari Responsabili Cyber e con i vari Responsabili per la Transizione al Digitale.

Solo una visione di insieme consentirà all’organizzazione di raggiungere entrambi gli obiettivi prefissati dalle normative di riferimento. La protezione dei dati personali non può più essere vista come un compartimento separato ma deve essere inserita in un sistema di difesa globale che riguardi tutte le informazioni trattate dall’organizzazione. Integrando le misure del GDPR con quelle della NIS 2, l’organizzazione sarà in grado di proteggere i dati personali in modo più efficace, garantendo al contempo la continuità operativa e la sicurezza delle proprie infrastrutture.

Abbiamo pensato di Elaborare per Te un Questionario di Self – Assessment che consentirà di supportati e fornirti una prima analisi sulla conformità della tua organizzazione alla NIS II.

Procedi nella compilazione e ti aiuteremo a capire – CLICCA IL SEGUENTE LINK – (durata circa 2 minuti)

A cura di Cristina Pieretti