NIS2 e GDPR: due normative differenti che richiedono sinergia tra esperti IT e consulenti legali

• Primo Piano
• Mercoledì, 19 Marzo 2025 07:43

Possiamo dire che, oggi, la Direttiva NIS2 e il Regolamento Generale sulla Protezione dei Dati (GDPR) rappresentano due pilastri normativi dell'Unione Europea per la sicurezza informatica e la protezione dei dati personali. Sebbene abbiano obiettivi differenti, le due normative si intersecano in diversi ambiti, rendendo imprescindibile un approccio integrato che coinvolga sia le competenze tecniche sia quelle legali. Una prospettiva che è altresì in linea con il disposto del nuovo art. 2086 del Codice civile che, di fatto, impone un sistema virtuoso per fare impresa.

Il GDPR disciplina il trattamento dei dati personali, imponendo misure di sicurezza a tutela dei diritti degli interessati. La NIS2, invece, amplia il perimetro di protezione includendo la resilienza operativa delle infrastrutture critiche e delle aziende strategiche.

Se il GDPR si concentra sulla protezione delle informazioni personali, la NIS2 introduce obblighi stringenti per la sicurezza dei sistemi e delle reti, mirando a prevenire e mitigare gli attacchi informatici e gli altri incidenti di percorso che potrebbero compromettere la continuità operativa.

Uno degli aspetti chiave in cui le due normative si sovrappongono riguarda la gestione degli incidenti di sicurezza. Il GDPR impone la notifica di una violazione dei dati personali all'Autorità Garante entro 72 ore, mentre la NIS2 prevede un processo più articolato, con una prima comunicazione entro 24 ore, una segnalazione dettagliata entro 72 ore e una relazione finale entro un mese. Questi requisiti impongono alle imprese l'adozione di un sistema di incident response coordinato, evitando il rischio di gestire le due normative come compartimenti separati potendo quindi incorrere facilmente in problemi dovuti all’assenza o all’errata comunicazione fra reparti.

L’integrazione tra NIS2 e GDPR non è solo una questione di compliance, ma una sfida organizzativa che richiede la sinergia tra esperti IT e consulenti legali. I tecnici sono responsabili dell'implementazione delle misure di cybersecurity e della gestione delle vulnerabilità, mentre i legali devono garantire la conformità normativa, la redazione di policy interne adeguate e la gestione del rischio legale in caso di violazioni e il controllo su tutta la documentazione necessaria ad iniziare dalle lettere di incarico e le clausole contrattuali.

La cooperazione tra queste due categorie di operatori è essenziale per evitare esposizioni a contenziosi e sanzioni, oltre che per garantire la protezione effettiva delle informazioni aziendali; forse oggi il più importante asset patrimoniale di molte imprese che sembra non se ne rendano conto. Un modello di governance efficace deve pertanto integrare i requisiti di entrambe le normative in una strategia aziendale coerente, in cui le misure di sicurezza adottate per la NIS2 siano compatibili con i principi di privacy by design e by default previsti dal GDPR.

Un aspetto critico che emerge in questo ambito è la gestione dei contratti con fornitori e partner. La NIS2 introduce obblighi specifici sulla sicurezza della supply chain, mentre il GDPR disciplina la protezione dei dati nei rapporti con terze parti. Le aziende dovranno quindi rivedere i contratti e includere clausole che garantiscano la conformità a entrambe le normative, definendo con precisione le responsabilità in caso di incidenti di sicurezza e prevedendo obblighi di cooperazione tra le parti. Il rischio di scarico di responsabilità è altissimo.

L'integrazione tra NIS2 e GDPR non può poi prescindere dalla formazione continua del personale aziendale, ma impone anche accertamenti su come partner e fornitori gestiscano la loro filiera della privacy.

La sensibilizzazione su aspetti normativi e operativi, come il riconoscimento dei tentativi di phishing o l’uso sicuro delle credenziali di accesso, è essenziale per ridurre i rischi di violazioni e migliorare la resilienza aziendale.

In estrema sintesi NIS2 e GDPR devono essere considerati due ingranaggi essenziali dello stesso meccanismo, complementari nella costruzione di un ambiente digitale sicuro e conforme ma anche strumenti allineati all’interno di un’organizzazione aziendale che non può permettersi sbavature.

Un approccio multidisciplinare, che deve coinvolgere con i tecnici IT anche i legali, esterni o interni all’impresa, non solo per garantire il rispetto delle normative, ma anche un’efficienza operativa aziendale in un contesto regolamentato in maniera sempre più stringente.

Le imprese che sapranno integrare efficacemente cybersecurity e protezione dei dati potranno pertanto non solo affrontare con maggiore sicurezza le sfide del panorama digitale europeo, ma anche rafforzare la propria competitività, allineandosi ai modelli organizzativi richiesti dal legislatore nel richiamato art. 2086. Le aziende devono infatti strutturarsi con un assetto organizzativo, amministrativo e contabile adeguato alla loro natura e dimensione, garantendo un monitoraggio tempestivo della continuità aziendale e predisponendo misure idonee per prevenire e gestire eventuali crisi, in conformità con gli strumenti normativi previsti.

La cybersecurity e la protezione dei dati non sono solo obblighi di legge, ma il fondamento stesso di un'impresa che vuole restare in piedi. E l’esperienza ci dice che, spesso, non è facile rimanerci.