NEWS

Sicurezza tra Direttiva NIS, GDPR e Direttiva n.680/2016

Il tema della sicurezza informatica, più conosciuto con il termine di cybersecurity è un argomento trasversale che coinvolge anche la disciplina sulla protezione dei dati personali introdotta dal Regolamento UE 679/2016.

l'Avv. Marco Soffientini, Data Protection Officer di Federprivacy

(Nella foto: l'Avv. Marco Soffientini, legale esperto di privacy, è Data Protection Officer di Federprivacy)

Infatti, quest’ultimo all’articolo 32, non solo, prevede che le misure di sicurezza debbano "garantire un livello di sicurezza adeguato al rischio" del trattamento (art. 32, paragrafo 1) ma a partire dal 25 maggio 2018, dispone che tutti i titolari debbano notificare all’Autorità Garante per la Protezione Dei Dati Personali le violazioni di dati personali (c.d. data breach) di cui vengano a conoscenza, entro 72 ore e comunque "senza ingiustificato ritardo", qualora ritengano probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati.

Obblighi analoghi sono contenuti nel capo terzo del D.Lgs 51/2018 che ha recepito la Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio.

Inoltre, in tema di sicurezza delle reti e dei sistemi informativi un ruolo cruciale l’ha svolto una Direttiva europea del 2016 denominata Direttiva NIS (Network and Information Security) che ha imposto agli Stati membri l’impiego di misure di sicurezza comuni.

L’Italia ha recepito la Direttiva NIS con il D.Lgs 18 Maggio 2018, pubblicata in G.U. il 09 Giugno 2018. Esso si applica ai settori dell’energia, trasporti, banche, mercati finanziari, sanità, fornitura e distribuzione di acqua potabile e infrastrutture digitali; nonché motori di ricerca, servizi cloud e piattaforme di commercio elettronico.

Direttiva NIS, notifica degli incidenti e adempimenti per le aziende

I destinatari della Direttiva NIS sono solo due tipologie di operatori nell’ambito delle reti e dei sistemi informativi:

1. Gli OES “operatori di servizi essenziali”. Si tratta di soggetti pubblici o privati che offrono servizi essenziali nel settore sanitario, dell’energia, dei trasporti, bancario, delle infrastrutture dei mercati finanziari, della fornitura e distribuzione di acqua potabile e delle infrastrutture digitali;
2. Gli FSD “Fornitori di servizi digitali”. Si tratta di soggetti che forniscono servizi di e-commerce, cloud computing e motori di ricerca ad eccezione di quelle imprese che la normativa europea definisce "piccole" e "micro", quelle cioè che hanno meno di 50 dipendenti e un fatturato o bilancio annuo non superiore ai 10 milioni di Euro.

La disciplina prevede l’adozione di una strategia nazionale di cybersecurity attraverso la designazione delle autorità competenti di vigilanza sul rispetto della normativa. In Italia sono state designate quali autorità di controllo cinque ministeri (sviluppo economico, infrastrutture e trasporti, economia, salute e ambiente).

Il decreto attuativo ha, inoltre istituito presso la Presidenza del Consiglio dei Ministri un unico CSIRT (Computer Security Incident Response Team). Si tratta di un gruppo di intervento per la sicurezza informatica in caso di incidente (art. 3 comma, 1, lett. b D.Lgs n.65/2018).

Esso è istituito, presso la Presidenza del Consiglio dei ministri, e svolge i compiti e le funzioni del Computer Emergency Response Team (CERT) nazionale, di cui all’articolo 16-bis del decreto legislativo 1° agosto 2003, n. 259, e del CERT-PA, già operante presso l’Agenzia per l’Italia digitale ai sensi dell’articolo 51 del decreto legislativo 7 marzo 2005, n. 82.

Tutti gli OES dovranno inoltrare al CSIRT (e per conoscenza all’ autorità competente NIS del proprio settore) le notifiche di incidenti informatici con impatto rilevante sui servizi forniti. Un obbligo analogo è previso anche a carico degli FSD (motori di ricerca, servizi cloud e piattaforme di commercio elettronico).

Il decreto non fissa un limite temporale rigido per le notifiche, ma specifica che le stesse vanno effettuate “senza ingiustificato ritardo”.

Va tenuto presente che alcune tipologie di incidenti informatici che coinvolgano violazioni di dati personali potrebbero, far scattare contemporaneamente un obbligo di notifica ai sensi dell’Articolo 14 della Direttiva NIS e ai sensi dell’Articolo 33 del GDPR.

Note sull'Autore

Marco Soffientini Marco Soffientini

Avvocato esperto di protezione dei dati personali, Data Protection Officer di Federprivacy. Autore Ipsoa, docente Unitelma Sapienza, Privacy Officer certificato TÜV Italia, Fellow Istituto Italiano Privacy.  - Twitter: @msoffientini1

Prev Accordo sindacale o autorizzazione dell’ispettorato del lavoro prima di installare telecamere in ambienti di lavoro?
Next Se il data protection officer è inadeguato il titolare del trattamento viene sanzionato

Privacy Day Forum 2024, il trailer della giornata

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy