GDPR e NIS 2: un’integrazione strategica per la sicurezza digitale

Un paradigma dinamico

L’articolo 32 introduce un paradigma dinamico, in cui la sicurezza non è un concetto statico, ma un processo continuo. Le organizzazioni sono chiamate a monitorare costantemente il contesto in cui operano, identificando le minacce emergenti e aggiornando le proprie misure di sicurezza.

In definitiva, il principio di integrità e riservatezza non è solo un pilastro normativo, ma una guida pratica per garantire che i dati personali siano trattati con il massimo livello di protezione possibile.

Esso riflette l’essenza del GDPR: proteggere i diritti delle persone attraverso un approccio strutturato, adattabile e orientato al rischio.

Questo principio è la base su cui si costruisce l’intero impianto normativo della sicurezza nel trattamento dei dati personali, rendendolo uno strumento essenziale per la protezione della privacy nell’era digitale.

Direttiva NIS 2 e protezione delle infrastrutture critiche

La direttiva NIS 2 e il D.lgs. 138/2024 che l’ha recepita introducono un cambio di paradigma nella gestione della sicurezza digitale in Europa, poiché spostano l’attenzione dalla protezione dei dati personali alla continuità dei servizi essenziali in settori chiave (considerando 1 della direttiva NIS 2), per garantire la salvaguardia delle reti e dei sistemi critici che costituiscono l’ossatura del nostro mondo digitale.

A tale scopo questa normativa si rivolge a settori strategici come la sanità, l’energia, i trasporti e le infrastrutture digitali, che non solo supportano le nostre vite quotidiane ma sono anche essenziali per la stabilità economica e sociale.

Questi settori operano in un contesto sempre più interconnesso, dove una vulnerabilità o un incidente in una rete critica potrebbe avere ripercussioni a catena su scala nazionale o europea.

La NIS 2 risponde a questa sfida introducendo requisiti stringenti e armonizzati per la gestione del rischio e la resilienza delle infrastrutture critiche.

Tra le misure fondamentali si annoverano l’obbligo di effettuare valutazioni del rischio periodiche, l’implementazione di piani di continuità operativa e l’adozione di protocolli di sicurezza per proteggere sistemi e reti da minacce sempre più sofisticate.

Un elemento distintivo della NIS 2 è la sua visione sistemica della sicurezza, che non si limita a mitigare i rischi immediati, ma mira a costruire una resilienza a lungo termine.

Le organizzazioni soggette alla direttiva devono dimostrare non solo di essere conformi, ma di adottare una cultura della sicurezza proattiva, che coinvolga tutte le componenti aziendali, dai vertici fino agli operatori di front line.

Questo approccio è supportato da obblighi di collaborazione e scambio di informazioni, sia a livello nazionale che europeo, per favorire una risposta coordinata alle minacce cibernetiche.

Sanzioni per le organizzazioni senza i requisiti di sicurezza

La NIS 2 introduce anche sanzioni significative per le organizzazioni che non rispettano i requisiti di sicurezza, evidenziando l’importanza della responsabilità ai massimi livelli dirigenziali.

Questo rafforza l’idea che la sicurezza delle infrastrutture critiche non è solo una questione tecnica, ma una componente fondamentale della governance e della strategia aziendale.

La direttiva NIS 2 e il relativo decreto di recepimento pongono così le basi per un ecosistema digitale più sicuro e resiliente, in cui la protezione delle infrastrutture critiche diventa un prerequisito indispensabile per la salvaguardia dei dati personali e la stabilità economica e sociale.

Occorre chiarire che il nuovo impianto normativo rappresenta non solo un obbligo normativo, ma un’opportunità per le organizzazioni di ripensare il loro approccio alla sicurezza, trasformandola in un vantaggio competitivo e in un elemento distintivo di fiducia per i propri stakeholder.

GDPR e NIS 2: convergenze e sinergie

I due regimi normativi, GDPR e NIS 2, non solo condividono obiettivi comuni, ma si intrecciano per rafforzare un concetto di sicurezza digitale che va oltre i confini tradizionali.

La protezione dei dati personali e la sicurezza delle infrastrutture critiche si fondono in un approccio integrato, dove ogni elemento contribuisce a rafforzare l’altro.

Trattamenti, reti e sistemi

Il GDPR è finalizzato alla protezione dei trattamenti dei dati, mentre la NIS 2 si concentra al garantire la continuità dei servizi assicurando la sicurezza delle reti e dei sistemi attraverso cui i dati transitano.

La domanda che possiamo porci è se entrambe le normative perseguono lo stesso obiettivo di fondo o se presentano differenze sostanziali. Innanzitutto entrambe le norme mirano a garantire che i dati conservino le proprietà della riservatezza, integrità e disponibilità (RID).

Inoltre, la NIS 2 impone anche la salvaguardia dell’autenticità dei dati. Di conseguenza, entrambe richiedono, basandosi sull’analisi dei rischi, l’adozione di strumenti in parte simili.

Esempio

Il firewall rappresenta uno strumento essenziale per la protezione delle reti (regolando il traffico in ingresso e in uscita secondo regole predefinite) e dei sistemi (come server o dispositivi endpoint).

Di conseguenza, è una misura conforme sia alla NIS 2 sia al GDPR, poiché contribuisce a salvaguardare le proprietà RID dei dati, cioè:

• riservatezza: rappresenta la funzione primaria del firewall. Bloccando gli accessi non autorizzati a reti e sistemi, filtra il traffico e impedisce che i dati vengano esposti a utenti o sistemi non autorizzati;
• integrità: il firewall contribuisce indirettamente a preservare l’integrità, impedendo l’accesso di malware o attacchi che potrebbero alterare i dati. Tuttavia, non costituisce lo strumento principale per garantire questa proprietà, in quanto non verifica direttamente eventuali modifiche sui dati;
• disponibilità: pur non essendo progettato specificamente per proteggere la disponibilità dei dati, il firewall può bloccare attacchi che ne compromettono l’accesso, come i DDoS. Tuttavia, strumenti specializzati, come i sistemi di mitigazione DDoS, sono più efficaci per affrontare questo aspetto.

In sintesi, il firewall è una misura tecnica che risponde alle prescrizioni dell’art.32 del GDPR e dell’art. 24 del decreto NIS 2.

D’altra parte, una procedura per l’esercizio dei diritti rappresenta una misura organizzativa richiesta – o meglio suggerita – dal Considerando 59 del GDPR, ma non trova alcun riscontro nella NIS 2.

Quest’ultima, invece, pone particolare enfasi su una procedura per la gestione degli incidenti relativi alla sicurezza delle informazioni, come indicato rispettivamente dal Considerando 88 del GDPR e dall’art. 25 del decreto NIS 2.

Gli incidenti sulla sicurezza delle informazioni

Uno dei punti di convergenza più rilevanti, per quanto con alcune significative differenze, è la gestione degli incidenti.

Il GDPR, attraverso l’articolo 33, richiede che le violazioni di dati personali siano notificate senza ritardo, entro 72 ore dal momento in cui il titolare del trattamento ne viene a conoscenza.

La NIS 2 e il relativo decreto di recepimento, invece, ampliano questa logica, stabilendo obblighi di segnalazione per gli incidenti che compromettono la continuità operativa di reti e sistemi critici, imponendo tempi stringenti per la comunicazione alle autorità competenti.

Esempio

Un attacco hacker che compromette la disponibilità, anche solo temporanea, di dati personali conservati da un’organizzazione ricade nell’ambito di applicazione di entrambe le normative.

A seconda delle modalità e delle caratteristiche dell’incidente, potrebbe essere necessario notificare l’accaduto non solo al Garante per la protezione dei dati personali, come previsto dal GDPR, ma anche al CSIRT Italia, il quale valuterà l’eventuale necessità di propagare le informazioni ai corrispondenti europei.

Diversamente, un incidente che non coinvolga dati personali non richiede la comunicazione al Garante per la protezione dei dati personali.

Inoltre, in tale contesto, non è previsto il coinvolgimento di funzioni quali il Responsabile della protezione dei dati (DPO), sebbene ciò non sia esplicitamente escluso.

A questo punto sorge una domanda, se è corretto che un incidente che non coinvolga dati personali non debba essere gestito anche in ottica GDPR.

In fondo, un simile episodio denuncia comunque una vulnerabilità dei sistemi informativi, che, in futuro, potrebbe compromettere anche i dati personali.

E ancora, ci si domanda se la prevenzione e la mitigazione delle vulnerabilità non dovrebbero forse essere affrontate con un approccio più integrato, capace di considerare gli impatti sia in termini di sicurezza informatica sia di protezione dei dati.

Questa complementarietà non è casuale, ma strategica. La tempestività nella risposta è fondamentale non solo per contenere i danni, ma anche per garantire trasparenza e fiducia nei confronti di utenti, clienti e stakeholder.

L’accountability

Un altro aspetto essenziale è l’accountability, un principio cardine del GDPR che è stato adottato e ampliato dalla NIS 2 e dal relativo decreto di recepimento (art. 23).

La responsabilità dei vertici aziendali è esplicitata in modo da sottolineare che la sicurezza non può essere delegata esclusivamente ai team tecnici, ma deve essere integrata nella strategia di governance.

I dirigenti hanno il dovere di garantire che le loro organizzazioni adottino misure efficaci per la protezione sia dei dati personali che delle infrastrutture critiche, creando un ecosistema resiliente e conforme.

La sinergia tra GDPR e NIS 2 emerge anche nella loro visione preventiva/proattiva. Entrambi i regimi incoraggiano le organizzazioni a implementare misure di sicurezza basate sulla valutazione del rischio, promuovendo una cultura della sicurezza che va oltre la mera conformità normativa.

In questo contesto, la formazione continua del personale, l’utilizzo di tecnologie avanzate e la collaborazione tra le funzioni aziendali diventano strumenti indispensabili per costruire una difesa proattiva.

In definitiva, GDPR e NIS 2 rappresentano due facce della stessa medaglia. Se il primo garantisce la protezione dei diritti individuali attraverso la tutela dei dati personali, il secondo assicura che le fondamenta tecnologiche su cui si basa questa protezione siano solide e resilienti e la estende a tutti i tipi di dati.

Insieme, creano un ecosistema integrato, in cui sicurezza e privacy non sono viste come compartimenti stagni, ma come elementi interconnessi di una strategia globale per la protezione digitale.

Un approccio unitario alla sicurezza e alla conformità

Un approccio integrato tra GDPR e NIS 2 rappresenta quindi la chiave per costruire un ecosistema digitale sicuro e resiliente, capace di rispondere alle sfide sempre più complesse.

La sinergia tra questi due regimi normativi è evidente. Da un lato, il GDPR garantisce il rispetto dei diritti fondamentali attraverso la protezione dei dati personali, dall’altro, la NIS 2 si concentra sul rafforzamento delle infrastrutture tecnologiche che rendono possibile tale protezione.

La privacy sicura non può prescindere da una cyber security robusta.

Le infrastrutture resilienti rappresentano la spina dorsale di un trattamento sicuro dei dati personali, garantendo che ogni sistema, rete e dispositivo sia in grado di resistere a minacce cibernetiche e operare in modo affidabile.

In questo contesto, il principio di accountability, centrale nel GDPR, trova un complemento perfetto nelle disposizioni della NIS 2, che impongono una responsabilità diretta dei vertici aziendali per la sicurezza delle infrastrutture critiche.

L’adozione di un approccio unitario richiede uno sforzo congiunto e continuo. Le organizzazioni devono integrare le misure previste dal GDPR e dalla NIS 2 in un’unica strategia di gestione del rischio, che includa valutazioni periodiche, monitoraggio costante e aggiornamento delle misure tecniche e organizzative.

La collaborazione tra settori e funzioni aziendali, la condivisione di informazioni e l’adozione di tecnologie avanzate sono elementi indispensabili per creare un
ecosistema resiliente.

La cultura della sicurezza e della conformità

Inoltre, un approccio unitario promuove una cultura della sicurezza e della conformità, in cui ogni membro dell’organizzazione, indipendentemente dal ruolo, è consapevole della propria responsabilità nella protezione dei dati e delle infrastrutture.

La formazione continua del personale, supportata da politiche chiare e processi ben definiti, contribuisce a costruire un sistema robusto e reattivo.

Quindi possiamo affermare che la fusione tra GDPR e NIS 2 rappresenta un’opportunità unica per ridefinire il concetto di sicurezza e conformità nel mondo digitale.

Questi due strumenti normativi, lavorando in sinergia, offrono una protezione a 360 gradi, capace di tutelare i dati personali, garantire la resilienza delle infrastrutture e rafforzare la fiducia degli stakeholder.

Implementare un approccio integrato non significa solo rispettare la legge, ma anche costruire le basi per un futuro digitale più sicuro, equo e sostenibile.

Prospettive future

Abbiamo provato a dimostrare che GDPR e NIS 2 rappresentano i due lati della stessa medaglia, uniti da un obiettivo comune: garantire la sicurezza e la privacy nell’era digitale.

Se il GDPR pone al centro la tutela dei diritti fondamentali delle persone, assicurando la protezione dei dati personali, la NIS 2 offre il sostegno infrastrutturale necessario per realizzare questa protezione, rafforzando la resilienza delle reti e dei sistemi critici.

Parlare di NIS 2 in un contesto GDPR non è solo pertinente, ma indispensabile.

Le due normative, se applicate in modo sinergico, creano un ambiente digitale solido e affidabile, dove la privacy non è un obiettivo isolato ma una parte integrante di un sistema più ampio di sicurezza e fiducia.

Questa complementarietà è il cuore di una visione unitaria, che non solo protegge i dati e le persone, ma supporta anche la stabilità economica e sociale, contribuendo a un futuro digitale prospero e sicuro.

In definitiva, il futuro della protezione digitale risiede in un equilibrio dinamico tra tutela dei diritti e sicurezza tecnologica. Implementare il GDPR e la NIS 2 significa adottare una strategia integrata che guarda oltre la mera conformità normativa, abbracciando un approccio orientato alla resilienza e all’innovazione.

Questo è il percorso verso un ecosistema digitale dove sicurezza e privacy non sono solo obblighi, ma valori fondamentali di una società digitale matura e sostenibile.