In materia di sicurezza informatica la NIS 2 rappresenta una soluzione di continuità all’interno del complesso quadro normativo europeo in materia e per valutare l’efficacia delle sue disposizioni non si può prescindere da un’analisi di come la Direttiva andrà a interagire con le altre normative. In questo contesto, il GDPR si concentra sulla protezione dei dati personali, la NIS2 mira in modo complementare a garantire un livello elevato di sicurezza delle reti e dei sistemi informativi.
Obiettivo principale della Direttiva NIS2 è quello di migliorare la resilienza e la sicurezza informatica, applicandosi a soggetti essenziali e soggetti importanti che sono considerati medie imprese, ai sensi all’articolo 2, paragrafo 1, dell’allegato alla raccomandazione 2003/361/CE, o che superano i massimali per le medie imprese e che prestano i loro servizi o svolgono le loro attività all’interno dell’UE.
La Direttiva NIS2 interagisce con diverse normative europee, allo scopo di creare un ecosistema di sicurezza cibernetica integrato e robusto, andandosi ad inserire all’interno di un contesto normativo già di per sé molto ricco e variegato. Ogni normativa si focalizza su specifici settori e aspetti della sicurezza informatica, contribuendo così a determinare un approccio sistematico e onnicomprensivo alla resilienza e alla sicurezza cibernetica a livello europeo.
Da questo punto di vista bisogna considerare le interconnessioni tra Direttiva NIS2 e Regolamento Ue 2016/679 (GDPR).
Da subito, infatti, la NIS 2 specifica, al Considerando 14, che a qualsiasi trattamento di dati personali ai sensi della direttiva si applica il diritto dell’Unione in materia di protezione dei dati personali e della vita privata. In particolare, si fa riferimento al regolamento (UE) 2016/679 (GDPR) e alla direttiva 2002/58/CE, direttiva e-Privacy.
Inoltre l’applicabilità del GDPR assieme alla NIS 2 è un concetto più volte ripreso all’interno del testo della Direttiva stessa in particolare:
a) quanto stabilito fin dai primi articoli: art 2, par. 12
b) quanto previsto in relazione al trattamento di dati da parte di CSIRT e dalle Autorità competenti: art. 2, par. 14.
Il GDPR riguarda la protezione dei dati personali e cerca di garantire che i dati personali degli individui siano raccolti, trattati, conservati e distrutti in maniera sicura e conforme ai principi di protezione dei dati e le interazioni tra GDPR e NIS2 si possono sintetizzare nei punti seguenti:
1) entrambe le normative richiedono la notifica di incidenti di sicurezza, benché con focus diversi. Il GDPR richiede la notifica di violazioni dei dati personali (data breach) all’autorità di protezione dei dati e, a determinate condizioni, anche agli interessati. La NIS2 richiede la notifica di incidenti significativi che impattano la sicurezza delle reti e dei sistemi informativi alle autorità competenti o agli organismi di certificazione;
2) vi è una stretta connessione tra NIS 2 e GDPR nel caso di incidenti che comportino una violazione di dati personali. Difatti, la NIS 2, all’articolo 31 paragrafo 3 e all’art. 35, disciplina tale fattispecie, poiché all’articolo 31 paragrafo 3, essa prevede espressamente che le autorità competenti operino in stretta cooperazione con le autorità di controllo ai sensi del GDPR nei casi di incidenti che comportino violazioni di dati personali. Tale disposizione viene ulteriormente declinata al successivo articolo 35, il quale regola i casi di incidenti che comportino una violazione dei dati personali. L’articolo 35 della NIS2 prevede, in particolare, che “Qualora le autorità competenti, in sede di vigilanza o di esecuzione, vengano a conoscenza del fatto che la violazione degli obblighi di cui agli articoli 21 e 23 della presente direttiva da parte di un soggetto essenziale o importante possa comportare una violazione dei dati personali, quale definita all’articolo 4, punto 12), del Regolamento (UE) 2016/679, che deve essere notificata a norma dell’articolo 33 del medesimo regolamento, ne informano senza indebito ritardo le autorità di controllo competenti a norma dell’articolo 55 o 56 di tale regolamento”.
3) relativamente alla valutazione del rischio e misure di sicurezza, sia il GDPR che la NIS2 enfatizzano l’importanza di valutare i rischi per la sicurezza e implementare misure tecniche e organizzative appropriate per mitigarli. Tuttavia, mentre il GDPR si concentra sui rischi per i diritti e le libertà delle persone, la NIS2 si concentra sui rischi per la sicurezza delle reti e dei sistemi informativi;
4) con riguardo alla cooperazione e allo scambio di informazioni, entrambe le normative promuovono la cooperazione e lo scambio di informazioni tra gli Stati membri dell’UE per migliorare la sicurezza e la resilienza a livello europeo.
Le organizzazioni soggette a entrambe le normative devono assicurarsi di comprendere i requisiti specifici e implementare processi e misure di sicurezza che soddisfino entrambi gli insiemi di requisiti, tenendo conto delle intersezioni e delle sinergie tra le due normative.