Se il GDPR protegge i dati personali, la NIS2 protegge le reti e i sistemi informativi. Due normative europee, due obiettivi diversi ma strettamente collegati. Perche se i tuoi sistemi vengono compromessi, con ogni probabilita anche i dati personali lo saranno. E le notifiche da fare, le autorita da contattare e le sanzioni da rischiare si moltiplicano.
Per le aziende italiane, gestire entrambe le compliance puo sembrare un incubo burocratico. In realta, le sinergie sono enormi: molte misure servono per entrambe. La chiave e un approccio integrato, non due percorsi paralleli.
Le sovrapposizioni tra GDPR e NIS2
| Aspetto | GDPR | NIS2 |
|---|---|---|
| Oggetto della protezione | Dati personali | Reti e sistemi informativi |
| Autorita competente | Garante Privacy | ACN |
| Misure di sicurezza | Art. 32 - misure tecniche e organizzative adeguate | Art. 21 D.Lgs. 138/2024 - misure di gestione rischio |
| Notifica incidenti | 72 ore al Garante per data breach | 24h pre-notifica + 72h notifica al CSIRT |
| Sanzioni | Fino a 20M o 4% fatturato | Fino a 10M o 2% fatturato |
| DPO/CISO | DPO obbligatorio per alcuni soggetti | Punto di contatto NIS2 obbligatorio |
| Risk assessment | DPIA per trattamenti ad alto rischio | Risk assessment cybersecurity obbligatorio |
Doppia notifica in caso di data breach
Ecco lo scenario peggiore: un ransomware cripta i server e vengono esfiltrati dati personali. Devi notificare sia il CSIRT Italia (entro 24 ore la pre-notifica NIS2) sia il Garante Privacy (entro 72 ore la notifica GDPR). E se il breach comporta un rischio elevato per gli interessati, devi comunicarlo anche a loro. Tre notifiche diverse, tre destinatari, tre set di informazioni, tempi parzialmente diversi.
Come integrare le due compliance
L'approccio piu efficiente e costruire un framework integrato che copra entrambe le normative. Ecco come:
- Risk assessment unificato — un unico processo che valuta rischi per dati personali e per sistemi informativi
- Misure di sicurezza condivise — cifratura, controllo accessi, MFA, backup servono per entrambe
- Procedura incidenti integrata — un unico flusso che attiva le notifiche appropriate (CSIRT, Garante, interessati)
- Registro unico — un registro trattamenti GDPR esteso con informazioni sui sistemi NIS2
- Formazione combinata — sessioni che coprono privacy e cybersecurity insieme
- Audit congiunti — verifiche che controllano sia la compliance GDPR che NIS2
DPO e CISO: collaborazione necessaria
Il DPO (Data Protection Officer) e il CISO (Chief Information Security Officer) hanno competenze complementari. Il DPO conosce la normativa privacy, il CISO conosce la sicurezza tecnica. Per la NIS2, il punto di contatto puo essere il CISO, il DPO o un'altra figura — ma chiunque sia, deve coordinarsi strettamente con l'altro. In molte PMI, i due ruoli sono ricoperti dalla stessa persona, il che semplifica il coordinamento ma richiede competenze trasversali.
Sanzioni cumulative: il rischio reale
Le sanzioni GDPR e NIS2 non si escludono a vicenda. Un singolo incidente puo generare sanzioni da entrambe le autorita: il Garante per la violazione del GDPR, l'ACN per la violazione della NIS2. In teoria, un'azienda potrebbe affrontare sanzioni fino al 4% del fatturato (GDPR) piu il 2% (NIS2) = 6% del fatturato per un singolo evento. Un motivo in piu per investire seriamente nella protezione.
La buona notizia e che l'art. 35 della NIS2 prevede un coordinamento tra autorita per evitare la doppia sanzione per lo stesso fatto. Ma e un principio, non una garanzia — e le autorita hanno ampia discrezionalita.