L’era della cybersecurity isolata è finita. Non si può più pensare alla protezione dei dati (privacy) separatamente dalla sicurezza delle reti (cybersecurity). Questo è il messaggio forte emerso da recenti interventi del Garante Privacy, che sottolineano la strettissima sinergia tra la Direttiva NIS2 e Regolamento GDPR.
Infatti, la NIS2 non è solo un nuovo onere normativo. È lo strumento tecnico che permette alle aziende, incluse le PMI nella filiera, di adempiere al pilastro fondamentale del GDPR: la protezione dei dati. Quindi, adeguarsi alla NIS2 significa agire per la compliance GDPR, e viceversa.
La sicurezza come presupposto legale per la privacy
La relazione tra Direttiva NIS e GDPR non è una semplice coincidenza, ma un legame concettuale. Il Garante per la protezione dei dati personali, Pasquale Stanzione, ha chiarito che la cybersecurity è un presupposto necessario per la protezione dei dati personali.
- In altre parole: non puoi garantire la riservatezza e l’integrità dei dati personali (principi cardine del GDPR) se i tuoi sistemi informatici non sono resilienti agli attacchi e ai malfunzionamenti (obiettivo della NIS2).
- Finalità Condivise: entrambe le normative mirano a proteggere i diritti fondamentali. Il GDPR si concentra sul diritto alla protezione dei dati. La NIS2, invece, fornisce la cornice tecnica e organizzativa per realizzare tale protezione.
Perciò, le misure di sicurezza tecniche e organizzative richieste dalla NIS2 (come la gestione degli incidenti, la continuità operativa e l’analisi dei rischi) sono le stesse misure che il GDPR richiede per difendere i dati dei tuoi clienti e dipendenti.
Per approfondire > NIS2 e GDPR: differenze e punti in comune
La filiera (supply chain) e l’obbligo di sinergia tra NIS2 e GDPR
La Direttiva NIS2 coinvolge direttamente le PMI perché introduce responsabilità specifiche per la Supply Chain (filiera). Questo ha un impatto diretto sulla tua compliance.
- Responsabilità a cascata: le grandi aziende (soggetti essenziali ed importanti) sono obbligate a selezionare solo fornitori e partner che dimostrino elevati standard di sicurezza. Dunque, la non conformità della tua PMI ti esclude da nuove opportunità di business.
- Gestione del rischio integrata: per proteggere i dati personali (GDPR) scambiati con i tuoi fornitori, devi implementare i requisiti di sicurezza della NIS. La valutazione del rischio, in questo contesto, deve considerare sia il danno alla rete (NIS2) sia il danno ai diritti degli interessati (GDPR).
Di conseguenza, la tua azienda deve adottare un approccio sinergico. Devi documentare non solo cosa fai per la sicurezza (NIS2), ma anche perché lo fai in funzione della protezione dei dati personali (GDPR).
Cosa fare ora per allineare alle normative la tua azienda
La tua PMI ha bisogno di agire subito per colmare il divario tra i requisiti di sicurezza e quelli di privacy.
Ecco i passi immediati:
- Valutazione Unica: non eseguire due audit separati. Integra l’analisi del rischio cybersecurity (NIS2) con la valutazione d’impatto sulla protezione dei dati (DPIA del GDPR).
- Misure Organizzative: rafforza la formazione del personale (obbligo NIS2) sulla sicurezza e sulla gestione dei dati personali (GDPR).
- Incident Response: stabilisci procedure di gestione degli incidenti che soddisfino i requisiti di notifica della NIS2 e, contemporaneamente, quelli di notifica del Data Breach al Garante Privacy (GDPR).
In conclusione, la tua strategia di difesa deve vedere queste due normative non come due oneri distinti, ma come un’unica grande strategia di resilienza aziendale.
