Nell’era del digitale, la protezione dei dati personali e la cybersecurity sono diventati pilastri fondamentali. Difatti, l’Unione Europea, a fronte della crescente ondata di attacchi informatici, ha aggiornato la normativa a tutela della sicurezza informatica.   

Sono Eleonora Ranieri, avvocato a supporto di aziende e liberi professionisti, e in questo articolo analizzeremo i principi di GDPR e NIS 2 al fine di comprendere l’importanza di un approccio integrato per fare impresa in modo virtuoso.

GDPR e NIS 2: due normative (apparentemente) distinte

• Il Regolamento Generale sulla Protezione dei Dati (GDPR), entrato in vigore nel 2018, introduce una nuova era nella gestione dei dati personali obbligando società e liberi professionisti a rispettare rigorosi standard di protezione implementando misure di sicurezza a tutela dei diritti degli interessati.

• La direttiva NIS 2, entrata in vigore ad ottobre 2024, affronta, invece, la sicurezza delle reti e dei sistemi informatici, imponendo alle aziende di rafforzare le misure di protezione contro attacchi informatici con l’obiettivo di limitare il rischio che un incidente di cybersecurity possa minare la capacità dell’azienda di erogare i propri servizi o di realizzare i propri prodotti.

Quali sono i punti in comune?

Sebbene l’obiettivo delle due normative sia diverso, esse, si completano a vicenda.

Mentre il GDPR si concentra sulla protezione dei dati personali, la NIS 2 rafforza le misure di sicurezza contro attacchi informatici attraverso i quali l’azienda, oltre a rischiare un blocco della propria attività, rischia, di conseguenza, anche la violazione dei dati personali degli interessati.

La NIS 2, quindi, rappresenta una vera e propria estensione del GDPR.

Le due norme, infatti, condividono molti requisiti (come, ad esempio, la gestione degli incidenti, la sicurezza della supply chain, l’uso della crittografia, ecc…).

Come approcciarsi?

La sfida per le organizzazioni sarà quella di adattarsi a queste nuove normative attraverso la sinergia tra esperti IT e consulenti legali. La materia, infatti, richiede un approccio olistico.

I tecnici IT devono implementare le misure di cybersecurity e i legali devono garantire la conformità normativa (attraverso la redazione di procedure, di policy, di clausole contrattuali, di lettere di incarico ecc…)  in modo da gestire il rischio legale in caso di violazioni e per dimostrare di essere compliant in caso di controlli.

Ma non solo !

Le società, considerando i punti in comune tra GDPR e NIS2, dovrebbero adottare un sistema integrato evitando il rischio di gestire le due normative come compartimenti separati e incorrere facilmente nel rischio di una mancata e/o erronea comunicazione tra reparti.

Le imprese che sapranno integrare efficacemente cybersecurity e protezione dei dati potranno, pertanto, non solo essere conformi alle normative ma anche rafforzare la propria competitività sul mercato.

In conclusione

Un modello di governance efficace deve integrare i requisiti di entrambe le normative, in una strategia aziendale coerente, per fare in modo che le misure di sicurezza adottate per la NIS2 siano compatibili con i principi previsti dal GDPR.

Orientarsi nel complesso quadro normativo può rappresentare una vera e propria sfida.

Per questo motivo è fondamentale rivolgersi ad un avvocato che si occupi di protezione dei dati.

Se desideri essere compliant con normative e adottare un sistema integrato GDPR e NIS2 non esitare a contattarmi.