La Direttiva NIS2 non esiste in modo isolato, ma si colloca all’interno di un quadro normativo più ampio dell’UE, interagendo con altre regolamentazioni, in particolare con il Regolamento Generale sulla Protezione dei Dati (GDPR).
🔴 NIS2: sei conforme? Non rischiare sanzioni o vulnerabilità. Adegua subito la tua azienda con il supporto dei nostri esperti.I documenti evidenziano diversi aspetti chiave di questa interazione:
1. Riconoscimento esplicito della preminenza del GDPR:
- Articolo 1, paragrafo 1: L’obiettivo principale della Direttiva è quello di stabilire un livello elevato e comune di sicurezza informatica all’interno dell’UE “al fine di migliorare il funzionamento del mercato interno.” Questa impostazione sottolinea che gli obiettivi di sicurezza informatica della NIS2 non devono compromettere altri principi fondamentali dell’UE, inclusa la protezione dei dati.
- Articolo 6, paragrafo 12: Stabilisce esplicitamente che la NIS2 si applica “fatti salvi” numerosi regolamenti UE esistenti, menzionando in primo luogo il GDPR. Questo linguaggio chiaro stabilisce una gerarchia precisa, affermando che i principi del GDPR relativi alla protezione dei dati hanno la priorità in caso di conflitto o sovrapposizione con la NIS2.
2. Trattamento dei dati nell’ambito della NIS2 soggetto al GDPR:
- Articolo 8, paragrafo 14: Sottolinea che qualsiasi attività di trattamento dei dati effettuata nel contesto della NIS2, sia da parte di enti che di autorità competenti, deve rispettare il GDPR. Questa disposizione evidenzia che le misure di sicurezza informatica devono essere implementate in modo tale da rispettare i diritti alla protezione dei dati degli individui.
- Articolo 8, paragrafo 14 (enfasi aggiunta): Si rivolge specificamente al trattamento dei dati da parte dei fornitori di servizi di comunicazione elettronica pubblici o reti di comunicazione elettronica accessibili al pubblico ai sensi della NIS2. Stabilisce che tale trattamento deve conformarsi al più ampio quadro normativo dell’UE relativo alla protezione dei dati e alla riservatezza, citando specificamente la Direttiva 2002/58/CE (Direttiva ePrivacy).
3. Cooperazione tra le autorità competenti e le autorità di protezione dei dati:
- Articolo 29, paragrafo 3: Riconosce che gli incidenti di sicurezza informatica possono comportare anche violazioni di dati personali coperte dal GDPR. Per garantire una gestione coordinata ed efficace di tali incidenti, questa disposizione impone una stretta cooperazione tra le autorità competenti responsabili della NIS2 e le autorità di protezione dei dati (autorità di controllo ai sensi del GDPR).
- Chiarimento dei ruoli: Pur richiedendo cooperazione, l’Articolo 29, paragrafo 3 chiarisce che questa interazione non deve compromettere le rispettive competenze e compiti di ciascuna autorità. Le autorità di controllo del GDPR mantengono il loro ruolo primario di supervisione nell’applicazione delle norme sulla protezione dei dati, anche nei casi che coinvolgono implicazioni di sicurezza informatica.
- Articolo 35: Rafforza ulteriormente il legame tra la NIS2 e il GDPR delineando una procedura specifica per le situazioni in cui le autorità competenti rilevino potenziali violazioni di dati personali durante la supervisione o l’applicazione degli obblighi della NIS2.
4. Condivisione dei dati e riservatezza:
- Divulgazione limitata di informazioni riservate: L’Articolo 2, paragrafo 13 riconosce che la condivisione di informazioni sulla sicurezza informatica potrebbe comportare la divulgazione di informazioni protette da altre normative UE o nazionali, come i segreti commerciali. Consente la condivisione di tali informazioni con la Commissione e altre autorità competenti esclusivamente ai fini dell’applicazione della Direttiva e solo nella misura necessaria.
- Tutela delle informazioni riservate: Quando vengono condivise informazioni, l’Articolo 2, paragrafo 13 impone garanzie per proteggere la riservatezza delle informazioni condivise e tutelare gli interessi commerciali delle entità coinvolte.
5. Implicazioni per le pratiche di sicurezza informatica:
- Protezione dei dati fin dalla progettazione e per impostazione predefinita: Sebbene non menzionato esplicitamente, l’interazione tra la NIS2 e il GDPR rafforza l’importanza di integrare considerazioni sulla protezione dei dati nelle misure di sicurezza informatica fin dall’inizio. Le entità dovrebbero adottare un approccio di “protezione dei dati fin dalla progettazione e per impostazione predefinita” durante l’implementazione delle pratiche di gestione dei rischi di sicurezza informatica.
- Minimizzazione dei dati: Anche il principio della minimizzazione dei dati del GDPR è rilevante nel contesto della NIS2. Le entità dovrebbero garantire che qualsiasi raccolta e trattamento di dati personali per scopi di sicurezza informatica sia limitato a quanto strettamente necessario e proporzionato ai rischi identificati.
In sintesi, la Direttiva NIS2 riconosce e rispetta l’importanza della protezione dei dati. Stabilisce chiaramente che le sue disposizioni non prevalgono sul GDPR e impone la cooperazione tra le autorità competenti in materia di sicurezza informatica e protezione dei dati. Questa interazione sottolinea la necessità di un approccio equilibrato, garantendo che le misure di sicurezza informatica vengano implementate in modo da mitigare efficacemente i rischi, salvaguardando al contempo i diritti di protezione dei dati degli individui.
Affrontare le complessità della direttiva NIS2 può generare incertezze e rischi per la tua azienda.