Come interagiscono NIS2 e GDPR: guida pratica alla conformità integrata

La Direttiva NIS2 e il GDPR rappresentano due pilastri della regolamentazione europea in ambito digitale, ciascuno con obiettivi distinti ma complementari. Mentre il GDPR tutela i diritti fondamentali delle persone fisiche relativamente ai loro dati personali, la NIS2 mira a garantire un livello elevato e uniforme di sicurezza informatica nell’Unione Europea. Comprendere come queste normative interagiscono è essenziale per le organizzazioni che devono rispettare entrambi i quadri normativi.

Obiettivi diversi, ambiti complementari

Il GDPR si concentra sulla protezione dei dati personali: stabilisce principi per il trattamento lecito, trasparente e sicuro delle informazioni che identificano o rendono identificabile una persona fisica. La sicurezza informatica è uno degli strumenti per garantire questa protezione, ma non l’unico obiettivo del regolamento.

La Direttiva NIS2, invece, ha come scopo principale il rafforzamento della resilienza informatica delle infrastrutture critiche e dei servizi essenziali. Il suo focus è sulla continuità operativa, sulla capacità di prevenire, rilevare e rispondere agli incidenti di sicurezza che potrebbero compromettere il funzionamento del mercato interno europeo.

Nonostante questa differenza di obiettivi, le due normative si sovrappongono in diversi punti: un incidente di sicurezza informatica può comportare anche una violazione di dati personali, e le misure tecniche e organizzative richieste dalla NIS2 contribuiscono direttamente alla protezione dei dati richiesta dal GDPR.

La preminenza del GDPR nel quadro normativo

La Direttiva NIS2 riconosce esplicitamente la preminenza del GDPR. L’articolo 6, paragrafo 12, stabilisce che la NIS2 si applica “fatti salvi” numerosi regolamenti UE esistenti, menzionando in primo luogo il GDPR. Questo significa che in caso di conflitto o sovrapposizione, i principi del GDPR relativi alla protezione dei dati hanno la priorità.

Inoltre, l’articolo 8, paragrafo 14, chiarisce che qualsiasi attività di trattamento dei dati effettuata nel contesto della NIS2 – sia da parte delle entità soggette alla direttiva sia da parte delle autorità competenti – deve rispettare il GDPR. Questo vale anche per i fornitori di servizi di comunicazione elettronica, che devono conformarsi al più ampio quadro normativo dell’UE relativo alla protezione dei dati e alla riservatezza, inclusa la Direttiva ePrivacy.

Gestione degli incidenti: coordinamento tra autorità

Uno degli aspetti più rilevanti dell’interazione tra NIS2 e GDPR riguarda la gestione degli incidenti di sicurezza. Un attacco informatico può infatti comportare sia un incidente rilevante ai sensi della NIS2 sia una violazione di dati personali (data breach) ai sensi del GDPR.

L’articolo 29, paragrafo 3 della NIS2 impone una stretta cooperazione tra le autorità competenti responsabili della direttiva e le autorità di protezione dei dati (le autorità di controllo ai sensi del GDPR). Questa cooperazione è fondamentale per garantire una gestione coordinata ed efficace degli incidenti, evitando duplicazioni o lacune nella risposta.

Tuttavia, la cooperazione non compromette le rispettive competenze: le autorità di controllo del GDPR mantengono il loro ruolo primario di supervisione nell’applicazione delle norme sulla protezione dei dati, anche nei casi che coinvolgono implicazioni di sicurezza informatica. L’articolo 35 della NIS2 delinea una procedura specifica per le situazioni in cui le autorità competenti rilevino potenziali violazioni di dati personali durante la supervisione degli obblighi della direttiva.

Condivisione delle informazioni e riservatezza

La NIS2 promuove la condivisione di informazioni sulla sicurezza informatica tra entità, autorità competenti e altri Stati membri. Tuttavia, questa condivisione deve avvenire nel rispetto delle normative sulla protezione dei dati e sulla riservatezza.

L’articolo 2, paragrafo 13 della NIS2 riconosce che la condivisione di informazioni sulla sicurezza informatica potrebbe comportare la divulgazione di informazioni protette da altre normative, come i segreti commerciali o i dati personali. La direttiva consente la condivisione di tali informazioni con la Commissione e altre autorità competenti esclusivamente ai fini dell’applicazione della NIS2 e solo nella misura necessaria, imponendo garanzie per proteggere la riservatezza e gli interessi commerciali delle entità coinvolte.

Implicazioni pratiche per le organizzazioni

Protezione dei dati fin dalla progettazione

Sebbene la NIS2 non menzioni esplicitamente i principi di “privacy by design” e “privacy by default” del GDPR, l’interazione tra le due normative rafforza l’importanza di integrare considerazioni sulla protezione dei dati nelle misure di sicurezza informatica fin dall’inizio. Le entità soggette a entrambe le normative dovrebbero adottare un approccio integrato, garantendo che le pratiche di gestione dei rischi di sicurezza informatica rispettino i principi del GDPR.

Minimizzazione dei dati

Il principio della minimizzazione dei dati del GDPR è particolarmente rilevante nel contesto della NIS2. Le organizzazioni devono garantire che qualsiasi raccolta e trattamento di dati personali per scopi di sicurezza informatica sia limitato a quanto strettamente necessario e proporzionato ai rischi identificati. Ad esempio, i sistemi di monitoraggio della sicurezza dovrebbero essere configurati per raccogliere solo i dati essenziali per rilevare e rispondere agli incidenti, evitando la raccolta indiscriminata di informazioni personali.

Governance integrata

Le organizzazioni soggette a entrambe le normative devono sviluppare una governance integrata che tenga conto sia degli obblighi di sicurezza informatica della NIS2 sia dei requisiti di protezione dei dati del GDPR. Questo include:

• Coordinamento tra il responsabile della sicurezza informatica e il Data Protection Officer (DPO)
• Procedure unificate per la gestione degli incidenti che considerino sia gli obblighi di notifica della NIS2 sia quelli del GDPR
• Valutazioni del rischio che integrino sia i rischi per la sicurezza informatica sia i rischi per i diritti e le libertà delle persone fisiche
• Programmi di formazione che coprano entrambi gli ambiti normativi

Cosa deve fare un’azienda soggetta a NIS2 e GDPR

Per le organizzazioni che rientrano nell’ambito di applicazione di entrambe le normative, è fondamentale adottare un approccio strutturato che garantisca la conformità a entrambi i quadri normativi:

1. Mappare gli obblighi normativi: identificare quali requisiti della NIS2 e del GDPR si applicano all’organizzazione, evidenziando le aree di sovrapposizione e le eventuali differenze negli obblighi di notifica, documentazione e governance.
2. Integrare le valutazioni del rischio: sviluppare un processo di risk assessment che consideri sia i rischi per la sicurezza informatica (disponibilità, integrità, riservatezza dei sistemi) sia i rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento dei dati personali.
3. Definire procedure di gestione degli incidenti unificate: stabilire flussi di lavoro che garantiscano la notifica tempestiva sia alle autorità competenti per la NIS2 sia alle autorità di protezione dei dati in caso di data breach, rispettando le diverse tempistiche e modalità previste dalle due normative.
4. Implementare misure tecniche e organizzative integrate: adottare controlli di sicurezza che soddisfino sia i requisiti della NIS2 sia quelli del GDPR, applicando i principi di privacy by design e minimizzazione dei dati.
5. Garantire la cooperazione tra funzioni: assicurare che il team di sicurezza informatica e il DPO collaborino strettamente, condividendo informazioni rilevanti e coordinando le attività di compliance.
6. Documentare le scelte e le misure adottate: mantenere una documentazione aggiornata che dimostri la conformità a entrambe le normative, incluse le valutazioni del rischio, le politiche di sicurezza, i registri delle attività di trattamento e le procedure di gestione degli incidenti.

Approfondimenti utili

Per comprendere meglio il quadro normativo e gli obblighi specifici, questi articoli offrono approfondimenti complementari:

• Quali sono le principali differenze tra le direttive NIS1 e NIS2? – Scopri come la NIS2 amplia l’ambito di applicazione e rafforza gli obblighi rispetto alla precedente direttiva.
• NIS2: ci sono esenzioni o deroghe? – Verifica se la tua organizzazione rientra tra le entità soggette alla direttiva o può beneficiare di esenzioni.
• Quali sono i requisiti per i CSIRT per garantire alti livelli di disponibilità nei loro servizi? – Approfondisci i requisiti tecnici e organizzativi per i team di risposta agli incidenti previsti dalla NIS2.

ISGroup supporta le organizzazioni nel percorso di conformità alla NIS2 attraverso servizi di NIS2 Compliance, che includono valutazione delle misure implementate, analisi dei rischi e percorsi formativi personalizzati. Per garantire la protezione dei dati personali in conformità al GDPR, ISGroup offre anche servizi di GDPR Compliance, con audit delle misure, analisi dei rischi e formazione continua.

Domande frequenti

• La NIS2 sostituisce il GDPR per quanto riguarda la sicurezza dei dati?
• No, la NIS2 non sostituisce il GDPR. Le due normative hanno obiettivi diversi e complementari. Il GDPR tutela i diritti fondamentali delle persone fisiche relativamente ai loro dati personali, mentre la NIS2 mira a garantire la resilienza informatica delle infrastrutture critiche. In caso di conflitto, il GDPR ha la preminenza per quanto riguarda la protezione dei dati personali.
• Un incidente di sicurezza informatica deve essere notificato sia alle autorità NIS2 sia alle autorità GDPR?
• Dipende dalla natura dell’incidente. Se l’incidente comporta anche una violazione di dati personali (data breach), è necessario notificarlo sia alle autorità competenti per la NIS2 sia all’autorità di protezione dei dati ai sensi del GDPR. Le tempistiche e le modalità di notifica possono differire tra le due normative, quindi è importante conoscere entrambi i requisiti.
• Le misure di sicurezza richieste dalla NIS2 sono sufficienti per la conformità al GDPR?
• Le misure di sicurezza richieste dalla NIS2 contribuiscono alla conformità al GDPR, ma non sono automaticamente sufficienti. Il GDPR richiede anche il rispetto di principi specifici come la minimizzazione dei dati, la privacy by design, la trasparenza e la base giuridica per il trattamento. È necessario un approccio integrato che consideri entrambi i quadri normativi.
• Chi coordina la risposta agli incidenti che coinvolgono sia la NIS2 sia il GDPR?
• All’interno dell’organizzazione, è fondamentale che il team di sicurezza informatica e il Data Protection Officer (DPO) collaborino strettamente. A livello di autorità, la NIS2 prevede una cooperazione tra le autorità competenti per la sicurezza informatica e le autorità di protezione dei dati, pur mantenendo ciascuna le proprie competenze specifiche.
• La condivisione di informazioni sulla sicurezza informatica prevista dalla NIS2 è compatibile con il GDPR?
• Sì, la NIS2 prevede che la condivisione di informazioni sulla sicurezza informatica avvenga nel rispetto del GDPR e di altre normative sulla riservatezza. La condivisione è consentita solo nella misura necessaria per l’applicazione della direttiva e con garanzie per proteggere la riservatezza delle informazioni e gli interessi delle entità coinvolte.

L’interazione tra NIS2 e GDPR richiede alle organizzazioni un approccio integrato alla sicurezza informatica e alla protezione dei dati. Comprendere come queste normative si completano a vicenda è il primo passo per sviluppare una strategia di compliance efficace che protegga sia le infrastrutture critiche sia i diritti fondamentali delle persone.