NIS2 e GDPR sono normative chiave per la protezione delle informazioni e la sicurezza informatica in Europa. Sebbene abbiano obiettivi diversi, non si escludono a vicenda, ma si integrano per garantire un approccio più completo alla gestione dei rischi digitali.
Cos’è la NIS2 e a chi si applica
La direttiva NIS2 (Network and Information Security) è stata introdotta per rafforzare la sicurezza informatica delle infrastrutture critiche e dei settori essenziali in Europa. Mira a garantire la resilienza operativa delle aziende e a prevenire cyber attacchi che potrebbero compromettere la continuità operativa.
Le imprese coinvolte sono quelle che operano in settori strategici, come energia, trasporti, sanità e finanza, ma anche i fornitori della loro supply chain. La direttiva impone misure di sicurezza più rigide, come l’adozione di protocolli di gestione del rischio e l’obbligo di segnalare incidenti di sicurezza informatica alle autorità competenti.
In Italia, l’ente di riferimento per l’applicazione della NIS2 è l’Agenzia per la Cybersicurezza Nazionale (ACN).
Il GDPR e la protezione dei dati personali
Il Regolamento Generale sulla Protezione dei Dati (GDPR) si concentra sulla tutela dei dati personali dei cittadini dell’Unione Europea. Regola il modo in cui le aziende raccolgono, elaborano e conservano le informazioni sensibili, garantendo maggiore trasparenza e controllo agli utenti. Sono principi fondamentali del GDPR:
- Consenso e trasparenza: le aziende devono ottenere il consenso informato degli utenti per trattare i loro dati personali.
- Limitazione della conservazione: i dati devono essere conservati solo per il tempo necessario allo scopo per cui sono stati raccolti.
- Diritto all’accesso e alla cancellazione: gli utenti hanno il diritto di conoscere quali dati vengono trattati e di richiederne la cancellazione.
- Obbligo di notifica delle violazioni: in caso di data breach, le aziende devono informare l’autorità competente e gli utenti coinvolti.
In Italia, l’ente di riferimento per il GDPR è il Garante per la Protezione dei Dati Personali.
Perché NIS2 e GDPR sono complementari e non si escludono?
Nonostante abbiano obiettivi differenti, NIS2 e GDPR si sovrappongono in alcuni aspetti e si rafforzano a vicenda. Se la NIS2 si concentra principalmente sulla sicurezza dei sistemi informatici, il GDPR si concentra sulla protezione dei dati personali all’interno di questi sistemi. Un’azienda che implementa misure avanzate di sicurezza informatica (come richiesto dalla NIS2) riduce anche il rischio di violazioni dei dati personali, migliorando così la conformità al GDPR. In concreto, le misure previste dalla NIS2 per le aziende che operano in settori critici e per la loro filiera, possono essere viste come un prerequisito per la protezione dei dati personali previsti dal GDPR.
Infine sia NIS2 che GDPR impongono obblighi di notifica in caso di incidente informatico: la NIS2 impone alle organizzazioni di notificare gli incidenti di sicurezza che potrebbero compromettere la continuità del servizio, mentre il GDPR richiede la notifica delle violazioni dei dati personali alle autorità di protezione dei dati. In breve, entrambe le normative prevedono:
- Misure di sicurezza obbligatorie: mentre il GDPR impone la protezione dei dati personali, la NIS2 assicura la sicurezza dei sistemi che li gestiscono.
- Obblighi di segnalazione: le aziende devono notificare eventuali incidenti alle autorità competenti, sebbene con finalità diverse (continuità operativa per la NIS2, tutela della privacy per il GDPR).
- Sanzioni per mancata conformità: il GDPR prevede multe fino al 4% del fatturato annuo, mentre la NIS2 introduce sanzioni proporzionate alla gravità dell’incidente, con un’attenzione particolare alla responsabilità dei dirigenti.
NIS2 e GDPR: diverse le autorità, diverse le sanzioni
Diverse le finalità, diverse quindi anche le autorità di controllo.
- NIS2: le autorità di controllo sono quelle nazionali per la cyber sicurezza. Per l’Italia è ovviamente l’ACN.
- GDPR: le autorità di controllo sono anche in questo caso quelle nazionali. Per l’Italia è il Garante per la Protezione dei dati personali.
Venendo alle sanzioni, il GDPR prevede sanzioni che possono arrivare fino al 4% del fatturato globale annuo per il mancato rispetto degli obblighi di protezione dei dati personali. Diverso è il caso della NIS2. Qui le sanzioni sono variabili a seconda della gravità dell’incidente, ma la vera novità è che la normativa pone molto l’accento sulla responsabilità personale dei dirigenti e del management aziendale.
Per concludere
In sintesi, mentre il GDPR si focalizza sulla protezione dei dati personali, la NIS2 punta alla protezione delle infrastrutture e dei sistemi informatici. Un’azienda che rispetta entrambe le normative si sta impegnando in un approccio completo alla protezione delle informazioni e alla sicurezza, garantendo il rispetto delle normative europee in due ambiti complementari ma distinti.
Hai dubbi su come adeguare la tua azienda alla NIS2 e al GDPR? Contattaci per una consulenza personalizzata!
Oppure inizia dal nostro corso online “Introduzione alla NIS2: formazione per PMI e aziende della supply chain”. Prenota qui la tua partecipazione: per un periodo limitato potrai partecipare gratuitamente anziché pagare 49.90 euro.
