Negli ultimi anni l’Unione Europea ha introdotto una serie di normative fondamentali per rafforzare la sicurezza digitale e la resilienza delle organizzazioni pubbliche e private. Tra queste, due strumenti normativi si sono affermati come pilastri della compliance europea in materia di protezione dei dati e cybersicurezza: il Regolamento Generale sulla Protezione dei Dati (GDPR) e la Direttiva NIS2, recepita in Italia con il D.lgs. 138/2024.
Nonostante abbiano obiettivi distinti, entrambe le normative si fondano sull’importanza della gestione del rischio e di una governance responsabile e proattiva.
Esploriamo in che modo GDPR e NIS2 non solo coesistono, ma convergono in una visione unificata della sicurezza informatica e della protezione dei dati, richiedendo alle organizzazioni di adottare strategie coordinate per la gestione delle minacce digitali e delle informazioni.
NIS2 e GDPR: normative a confronto
Il GDPR, in vigore dal 2018, ha come obiettivo primario la tutela dei diritti fondamentali delle persone fisiche, con particolare attenzione alla protezione dei dati personali. Introduce il concetto di “privacy by design” e “by default”, responsabilizzando i titolari del trattamento attraverso il principio di accountability. Le organizzazioni devono documentare e dimostrare di aver adottato misure adeguate a garantire la protezione dei dati trattati in base alla tipologia di rischio. La disciplina prevede anche obblighi di trasparenza, correttezza e minimizzazione, che implicano una profonda consapevolezza dei flussi informativi e delle basi giuridiche su cui si fondano i trattamenti.
La Direttiva NIS2, invece, si focalizza sulla cybersicurezza in senso lato. Il suo scopo è quello di garantire la resilienza dei servizi essenziali e delle infrastrutture critiche in tutta l’Unione Europea. Essa amplia il campo di applicazione della precedente direttiva NIS, includendo più settori, più tipologie di soggetti e un set più rigoroso di misure e controlli da implementare. Inoltre, introduce il concetto di “approccio multi-rischio” e impone l’obbligo di registrazione sulla piattaforma dell’ACN (Agenzia per la Cybersicurezza Nazionale), la quale agisce come autorità nazionale competente, punto di contatto unico e responsabile per l’attività ispettiva.
Punti in comune e convergenze tra GDPR e NIS2
I principi in comune tra GDPR e Direttiva NIS2 si possono riassumere in tre punti fondamentali:
1. Approccio basato sul rischio
Un punto di contatto centrale tra GDPR e NIS2 è l’adozione di un approccio basato sul rischio (risk-based approach).
Il GDPR richiede che il livello di sicurezza adottato sia proporzionato al rischio per i diritti e le libertà delle persone fisiche.
La NIS2 estende questo principio all’intero ecosistema IT, valutando i rischi legati alla continuità operativa dei servizi critici, alla disponibilità dei sistemi, all’integrità e alla resilienza.
Entrambe promuovono l’analisi dei rischi come elemento strutturale della compliance normativa in ambito sicurezza informatica e protezione dei dati personali. Questo comporta anche l’adozione di misure preventive, correttive e reattive adeguate rispetto al contesto in cui opera ciascun ente.
2. Ruolo del vertice aziendale
Un’altra convergenza riguarda il coinvolgimento attivo del top management.
Nel GDPR, il titolare del trattamento è tenuto a garantire l’applicazione delle misure di sicurezza e a dimostrarne l’efficacia.
Nella NIS2, questa responsabilità è esplicitata all’art. 23 del D.lgs. 138/2024, che impone agli organi di amministrazione e direzione di sovrintendere direttamente all’implementazione delle misure di sicurezza e alla registrazione presso la piattaforma ACN. Gli obblighi si estendono fino alla rendicontazione e alla supervisione delle azioni correttive post-incidente. Le responsabilità degli organi direttivi sono quindi sia strategiche che operative.
3. Sistemi documentali, verifiche e audit
Entrambe le normative impongono l’adozione di sistemi documentali strutturati. Il GDPR richiede, ad esempio, il mantenimento del registro dei trattamenti, la redazione della DPIA (Valutazione d’Impatto sulla Protezione dei Dati) e la formalizzazione delle politiche di sicurezza.
La NIS2 rafforza questo approccio, prevedendo la redazione di documentazione tecnica e organizzativa, audit interni ed esterni, e piani di gestione del rischio informatico con indicatori di efficacia misurabili.
È previsto anche un monitoraggio continuo e la redazione di politiche tematiche (es. controllo accessi, cifratura, risposta agli incidenti). L’approccio della direttiva è fortemente orientato alla misurabilità, con un’attenzione crescente alla rendicontazione degli investimenti e alla cultura della trasparenza organizzativa.
Gestione integrata di GDPR e NIS2: sinergie operative e casi pratici
Nei settori regolamentati, come l’energia, la sanità, i trasporti e le infrastrutture digitali, i soggetti devono confrontarsi simultaneamente con obblighi GDPR e NIS2. Questo comporta la necessità di sviluppare procedure operative integrate, che consentano di gestire un incidente informatico in modo coerente rispetto a entrambe le normative.
Un data breach, ad esempio, può configurarsi anche come incidente significativo ai sensi della NIS2, attivando una doppia catena di notifica: al Garante per la protezione dei dati (entro 72 ore) e al CSIRT Italia (entro 24 ore per la pre-notifica e 72 per la notifica completa).
Una governance integrata riduce i tempi di risposta, evita sovrapposizioni e favorisce la coerenza tra comunicazioni interne, legali e tecniche. Inoltre, in scenari cross-border, il coordinamento con altri Stati membri e con l’ENISA (Agenzia dell’Unione Europea per la cybersicurezza) rappresenta un ulteriore elemento di complessità da gestire proattivamente.
DPO e CISO: un’alleanza strategica
L’evoluzione normativa ha reso sempre più importante la collaborazione tra il Data Protection Officer (DPO) e il Chief Information Security Officer (CISO). Le due figure, pur avendo compiti distinti, condividono obiettivi e responsabilità complementari.
Il DPO è garante della compliance privacy e dell’esercizio dei diritti degli interessati. Il CISO ha la responsabilità della cybersicurezza dei sistemi informativi.
Per affrontare in modo efficace le sfide poste da GDPR e NIS2, è essenziale che queste due figure:
- collaborino nella valutazione congiunta dei rischi
- definiscano in sinergia le misure tecniche e organizzative da adottare
- condividano piani di gestione degli incidenti e test congiunti
- contribuiscano a un unico programma di formazione sulla sicurezza dei dati e dei sistemi.
- siano coinvolte nei processi di continuità operativa e disaster recovery
In molte realtà organizzative, questo significa formalizzare ruoli, responsabilità e flussi di comunicazione tra DPO, CISO e vertici aziendali, creando un sistema di governance sinergico e orientato al miglioramento continuo. L’introduzione di comitati interfunzionali o task force congiunte può rappresentare una buona prassi per garantire reattività e coerenza nella risposta alle crisi.
Scadenze e adempimenti per la conformità alla Direttiva NIS2
Le scadenze e gli adempimenti previsti per i soggetti obbligati alla Direttiva NIS2 sono i seguenti:
- entro il 28 febbraio 2025 tutti i soggetti che rientrano nell’ambito del D.lgs. 138/2024 devono completare la registrazione sulla piattaforma ACN
- entro il 30 aprile 2025 l’ACN adotterà le determinazioni sui requisiti minimi delle misure di sicurezza
- entro gennaio 2026 decorrono i termini per l’adempimento degli obblighi in materia di notifica di incidenti significativi
- entro ottobre 2026 devono essere attuate le misure di sicurezza tecnica e organizzativa, secondo quanto previsto dalla direttiva e dalle determinazioni ACN
Le aziende dovrebbero dunque avviare tempestivamente la valutazione del proprio stato di conformità e la pianificazione delle attività necessarie per rispettare tali scadenze, inclusa la formazione del personale e l’eventuale adeguamento dei contratti con fornitori ICT. È raccomandabile impostare un piano pluriennale di adeguamento alla Direttiva NIS2, che preveda verifiche periodiche, aggiornamenti della documentazione sulla gestione dei rischi informatici e momenti formativi per il personale ICT.
Integrare GDPR e NIS2 per una governance digitale efficace
Il GDPR e la NIS2 non vanno letti come normative isolate o concorrenti, ma come componenti integrabili di una strategia di governance digitale moderna e resiliente. La loro attuazione congiunta può sembrare inizialmente onerosa, ma è la chiave per affrontare le sfide di un contesto sempre più connesso, regolamentato e vulnerabile.
Investire in un approccio coordinato, basato su valutazione del rischio, responsabilità condivise e coinvolgimento del top management, consente alle organizzazioni non solo di rispettare la legge, ma anche di rafforzare la fiducia, migliorare la capacità di risposta agli incidenti e valorizzare l’asset strategico rappresentato dai dati e dai sistemi digitali.
L’integrazione tra GDPR e NIS2 rappresenta quindi non un obbligo burocratico, ma un’opportunità di innovazione, efficienza e competitività per le imprese e le amministrazioni pubbliche europee. Le scadenze del 2025 e 2026 devono essere viste come stimoli a evolversi e a costruire una sicurezza digitale strutturata, trasparente e sostenibile. In ultima analisi, la convergenza tra sicurezza informatica e protezione dei dati costituisce la base per una governance del rischio realmente integrata, capace di sostenere la trasformazione
Vuoi sapere se la tua azienda è pronta per la NIS2?
