GDPR e NIS2 – differenze e punti di contatto

Per un’organizzazione già soggetta al GDPR, l’entrata in vigore della ormai imminente Direttiva NIS2 determina alcuni cambiamenti significativi, anche se ci sono delle punti di contatto tra i due regolamenti, in quanto entrambi mirano a proteggere dati e sistemi.

Tuttavia, il NIS2 è più focalizzato sulla sicurezza delle reti e sulla resilienza delle infrastrutture informative e dei sistemi informatici, mentre il GDPR riguarda principalmente la protezione dei dati personali.

Le norme dell’UE in materia di cibersicurezza – introdotte con direttiva NIS nel 2016 – sono state modificate dalla direttiva NIS2. Essa rivisto il quadro giuridico esistente per tenere il passo con una maggiore digitalizzazione e un panorama in evoluzione delle minacce alla cibersicurezza. Estendendo l’ambito di applicazione delle norme in materia di cibersicurezza a nuovi settori e entità, migliora ulteriormente la resilienza e le capacità di risposta agli incidenti degli enti pubblici e privati, delle autorità competenti e dell’UE nel suo complesso.

Ecco le principali differenze e cambiamenti tra il GDPR e la NIS2 per le organizzazioni:

Ambito di applicazione
  • GDPR: Si applica a tutte le organizzazioni che trattano dati personali dei cittadini dell’UE, indipendentemente dal settore di appartenenza. L’obiettivo è garantire la protezione dei dati personali.
  • NIS2: Si applica a settori specifici e critici (es. energia, trasporti, banche, sanità, infrastrutture digitali) ma anche ad altri settori, tra cui fornitori di servizi digitali, piattaforme cloud, social media e servizi pubblici. La direttiva si concentra sulla sicurezza dei sistemi informatici, indipendentemente dalla natura dei dati trattati (che potrebbero essere sia personali che non personali).
Focalizzazione normativa
  • GDPR: Si concentra su come vengono raccolti, trattati e conservati i dati personali, e impone requisiti severi per la protezione di tali dati. Riguarda anche il consenso, la trasparenza, il diritto alla portabilità e il diritto all’oblio.
  • NIS2: È focalizzato sulla protezione delle infrastrutture IT e delle reti, indipendentemente dal fatto che trattino dati personali o meno. L’obiettivo è prevenire e mitigare le minacce informatiche che potrebbero compromettere il funzionamento delle infrastrutture critiche.

Sicurezza e misure preventive
  • GDPR: Le organizzazioni devono adottare misure tecniche e organizzative per garantire la protezione dei dati personali. Tuttavia, queste misure si riferiscono principalmente alla protezione della riservatezza e dell’integrità dei dati personali.
  • NIS2: Impone obblighi più stringenti in materia di sicurezza delle reti e dei sistemi informatici, con particolare attenzione alla prevenzione delle cyber minacce. Le aziende devono gestire la sicurezza a livello di infrastrutture IT e affrontare anche problemi come la continuità operativa, la resilienza e la sicurezza della supply chain.

Obblighi di notifica degli incidenti
  • GDPR: Le organizzazioni sono obbligate a notificare le violazioni dei dati personali (data breach) alle autorità di controllo competenti entro 72 ore dal momento in cui ne vengono a conoscenza, se la violazione presenta un rischio per i diritti e le libertà delle persone.
  • NIS2: Richiede la notifica degli incidenti significativi (anche quelli che non coinvolgono dati personali) alle autorità competenti. Gli incidenti che potrebbero compromettere la sicurezza e il funzionamento delle reti e dei sistemi devono essere segnalati entro termini specifici, e non è solo limitato ai dati personali. Gli obblighi di notifica nella NIS2 riguardano anche la possibilità di disservizi o interruzioni in settori essenziali.

Gestione del rischio
  • GDPR: Le organizzazioni devono condurre valutazioni del rischio relative alla protezione dei dati personali (es. valutazioni d’impatto sulla protezione dei dati – DPIA).
  • NIS2: Le organizzazioni devono adottare un approccio più ampio alla gestione del rischio IT, che copra tutti gli aspetti legati alla sicurezza informatica (es. vulnerabilità delle reti, sicurezza dei fornitori e della supply chain, continuità operativa – business continuity).

Sanzioni
  • GDPR: Le sanzioni possono essere significative, fino a 20 milioni di euro o il 4% del fatturato annuo globale dell’azienda, a seconda di quale importo sia più alto.
  • NIS2: Anche qui sono previste sanzioni elevate, fino a 10 milioni di euro o il 2% del fatturato annuo globale. Le sanzioni si applicano principalmente alla mancata conformità alle misure di sicurezza informatica.

Governance e responsabilità

GDPR: La governance si concentra su chi ha accesso ai dati personali, come vengono trattati, chi è responsabile del trattamento e della protezione. Sono richieste figure come il DPO (Data Protection Officer) per alcune organizzazioni.

NIS2: Richiede una governance più tecnica e focalizzata sulla sicurezza delle infrastrutture IT. Le figure responsabili della sicurezza informatica devono garantire che ci siano procedure di gestione degli incidenti, audit di sicurezza e piani di continuità operativa in atto.

Cooperazione e condivisione delle informazioni
  • GDPR: Si incentiva la cooperazione tra le autorità di protezione dei dati degli Stati membri attraverso meccanismi come il Comitato europeo per la protezione dei dati (EDPB).
  • NIS2: Promuove la cooperazione tra le autorità competenti in materia di sicurezza delle informazioni e degli Stati membri per affrontare le minacce informatiche su scala transnazionale, inclusa la condivisione delle informazioni sugli incidenti e le vulnerabilità.

Conclusione

Per un’organizzazione già conforme al GDPR, la NIS2 introduce obblighi aggiuntivi che riguardano principalmente la sicurezza delle reti e dei sistemi. Sebbene alcune misure del GDPR possano essere già utili come base di partenza per la conformità alla NIS2 (es. la gestione del rischio e le notifiche degli incidenti), sarà necessario rivalutare ed espandere i protocolli di sicurezza, con una particolare attenzione alla continuità operativa e alla gestione delle infrastrutture IT critiche.
Se la vostra organizzazione rientra tra quelle che saranno soggette alla NIS2 (e la valutazione dovrà essere svolta entro il 28 febbraio 2025, data entro la quale si dovrà comunicare la propria organizzazione allo specifico portale ACN), sarà fondamentale implementare un framework di gestione della sicurezza informatica più ampio, che includa non solo la protezione dei dati personali, ma anche la resilienza dei sistemi e delle reti.

Qualora necessitiate di supporto per adeguamento alla direttiva NIS2 (in primis comprendere se la vostra azienda sia interessata dalla normativa o meno) siamo a disposizione per le relative attività professionali.