NIS 2 e GDPR incidono entrambe sul lavoro cyber, ma rispondono a domande diverse. La NIS 2 riguarda resilienza di soggetti essenziali e importanti. Il GDPR riguarda protezione dei dati personali. Un singolo incidente può attivare entrambi i regimi.
Fonti: Direttiva (UE) 2022/2555, Decreto Legislativo 138/2024, Regolamento (UE) 2016/679, pagina EDPB articolo 33.
Punti chiave
- La NIS 2 riguarda resilienza, continuità e gestione incidenti per soggetti regolati.
- Il GDPR riguarda trattamento lecito e protezione dei dati personali.
- Un incidente può essere sia incidente significativo NIS 2 sia data breach GDPR.
- L’articolo 33 GDPR richiede notifica all’autorità, ove possibile entro 72 ore dalla conoscenza, salvo rischio improbabile.
- La NIS 2 usa un modello di notifica proprio, attuato in Italia dal Decreto Legislativo 138/2024 e da regole ACN.
Differenze di scopo
La NIS 2 chiede se un soggetto può prevenire, rilevare, rispondere e ripristinare incidenti cyber che impattano servizi. Il GDPR chiede se i dati personali sono trattati lecitamente e protetti da trattamento illecito, perdita, distruzione o danno.
Confronto tabellare
| Dimensione | NIS 2 | GDPR |
|---|---|---|
| Obiettivo primario | Resilienza cyber di soggetti essenziali e importanti. | Protezione dati personali e diritti degli interessati. |
| Autorità in Italia | ACN e CSIRT Italia per attuazione e incidenti NIS. | Garante per la protezione dei dati personali. |
| Evento trigger | Incidente significativo su reti, sistemi o servizi. | Violazione dati personali con rischio per diritti e libertà. |
| Logica notifica | Workflow incidente NIS secondo il framework nazionale. | Notifica articolo 33 e, se necessario, comunicazione articolo 34. |
| Evidenze | Controlli, incident handling, continuità, fornitori, governance. | Base giuridica, misure, breach assessment, impatto sugli interessati. |
| Sanzioni | Penalità per tipo soggetto e obbligo nel recepimento NIS 2. | Sanzioni amministrative dell’articolo 83 GDPR. |
Sovrapposizioni operative
La sovrapposizione riguarda sicurezza del trattamento, rilevamento incidenti, logging, access control, backup, cifratura, fornitori e breach assessment. Gli stessi controlli tecnici possono supportare entrambi i regimi, ma le evidenze vanno mappate a domande legali diverse.
Caso d’uso: ransomware con dati personali
Un ransomware può interrompere un servizio essenziale ed esporre dati personali. Il team NIS 2 valuta impatto sul servizio e criteri di incidente significativo. Il team privacy valuta compromissione dei dati e rischio per gli interessati. Entrambi i flussi usano gli stessi fatti dell’incident record.
Come gestire entrambi insieme
- Usare un intake incidente unico con campi per impatto NIS e data breach GDPR.
- Definire escalation congiunta per CISO, DPO, legale, management e comunicazione.
- Preservare una sola traccia evidenze con conclusioni regolatorie separate.
- Mantenere template notifica per ACN/CSIRT e autorità privacy.
- Eseguire esercitazioni tabletop su scenari di doppia notifica.
Per il contesto NIS 2, vedi panoramica NIS 2 e modello ruoli NIS2 in Italia.
Workflow operativo di doppia notifica
| Fase | Lente NIS 2 | Lente GDPR |
|---|---|---|
| Triage iniziale | L’evento impatta reti, sistemi informativi o servizi? | L’evento coinvolge dati personali? |
| Valutazione impatto | L’incidente è significativo nel framework NIS applicabile? | C’è rischio per diritti e libertà? |
| Decisione notifica | Routing verso processo ACN/CSIRT dove richiesto. | Routing verso autorità e interessati dove richiesto. |
| Evidenze | Timeline tecnica, impatto servizio, contenimento, recovery. | Categorie dati, interessati, risk assessment, mitigazione. |
| Chiusura | Report finale, lesson learned, miglioramento controlli. | Registro breach, record DPO, misure successive. |
Controlli comuni che riducono duplicazioni
- Inventari asset e dati devono essere collegati.
- Le review accessi devono coprire sistemi privilegiati e repository dati personali.
- Il logging deve supportare ricostruzione incidente e breach assessment.
- Le clausole fornitori devono coprire incidenti cyber e violazioni dati.
- I test backup e recovery devono includere continuità servizio e impatto data protection.
Modello collaborazione DPO e CISO
DPO e CISO non dovrebbero incontrarsi per la prima volta durante un breach. Un modello pratico usa criteri incidente condivisi, contatti escalation predefiniti, tabletop congiunti e template evidenze comune. Il legale dovrebbe validare le soglie di notifica prima di un evento reale.
Evidence pack per incidente combinato
L’evidence pack dovrebbe includere timeline, sistemi coinvolti, categorie dati, contenimento, note forensi, decisioni di notifica, approvazioni management, comunicazioni e remediation. Lo stesso pack supporta output regolatori diversi se i fatti restano coerenti.
Esempio pratico di separazione decisionale
Consideriamo un accesso non autorizzato a un portale clienti. La valutazione NIS 2 chiede se l’evento impatta disponibilità, integrità, autenticità o continuità di un servizio regolato. La valutazione GDPR chiede se dati personali sono stati acceduti, alterati, persi, divulgati o resi indisponibili con rischio per persone. I log sono gli stessi, ma le conclusioni giuridiche possono differire.
Struttura di policy combinata
L’organizzazione dovrebbe evitare policy separate e contraddittorie. Una policy incidente combinata può contenere un processo unico di rilevamento ed escalation, seguito da allegati regolatori per NIS 2, GDPR, DORA, norme settoriali o notifiche contrattuali. Così la risposta tecnica resta rapida e la precisione legale è preservata.
Record da mantenere
- Registro incidenti con campi classificazione NIS e GDPR.
- Inventario dati collegato a sistemi e servizi business.
- Log decisione notifica con timestamp e approvatore.
- Evidenze di contenimento, recovery e comunicazione.
- Azioni correttive post-incidente e tracking owner.
Errori comuni di governance
L’errore più comune è lasciare che cyber e privacy gestiscano timeline separate. Questo crea fatti incoerenti e interviste duplicate. Il secondo errore è trattare GDPR come tema solo legale e NIS 2 come tema solo tecnico. Entrambi richiedono fatti tecnici e giudizio legale.
Quando lo stesso incidente attiva entrambi i regimi, le organizzazioni beneficiano di un unico responsabile che coordini timeline cyber e privacy. Il servizio Virtual CISO di Aegister lavora con il Data Protection Officer interno e i team legali per mantenere coerenti i fatti tecnici tra notifiche al CSIRT e al Garante.
FAQ
Il GDPR sostituisce la NIS 2?
No. GDPR e NIS 2 hanno ambito e autorità diverse. Possono applicarsi allo stesso evento.
Ogni incidente cyber è un data breach GDPR?
No. Serve una violazione di sicurezza che comporti distruzione, perdita, modifica, divulgazione o accesso non autorizzato a dati personali.
Chi dovrebbe governare il processo combinato?
La governance deve coinvolgere CISO, DPO, legale, management e incident response. Una sola funzione non dovrebbe decidere silenziosamente entrambi i percorsi.