Il ruolo del DPO nella NIS2 nasce dalla sovrapposizione tra sicurezza informatica e protezione dei dati: anche se la direttiva non lo definisce formalmente, le misure richieste sulle informazioni digitali (personali e non) rendono naturale il suo coinvolgimento accanto a IT, legale e compliance.
Indice degli argomenti
NIS2 e GDPR: differenze, sovrapposizioni e perché coinvolgono il DPO
La “Direttiva sulla Sicurezza delle Reti e dei Sistemi di Informazione” (meglio nota come NIS2) si concentra sulla sicurezza delle reti e delle informazioni digitali, quindi includendo tra le informazioni anche i dati personali.
Il “Regolamento Generale sulla Protezione dei Dati” (di seguito per brevità NIS2) si focalizza sulla protezione dei dati personali informatici e non.
Il “Data Protection Officer” (di seguito per brevità DPO) è un ruolo ormai noto e formalmente definito nel GDPR, ma non nella NIS2. Entrambi i regolamenti mirano a proteggere le informazioni, ma in contesti diversi. Il GDPR si focalizza sulla protezione dei dati personali informatici e non, la NIS2 si occupa della sicurezza complessiva dei dati personali e non personali nelle infrastrutture informatiche. Quindi fra le due norme c’è una notevole sovrapposizione che porta al naturale coinvolgimento del DPO nella NIS2.
Il GDPR in sintesi
L’obiettivo principale del GDPR è proteggere la privacy, o meglio la protezione dei dati, delle “persone”. Questo garantendo che i loro dati, digitali e non digitali (p.e. su supporti cartacei) siano trattati in modo sicuro e trasparente. In particolare il GDPR protegge i diritti degli “interessati” (individui persone fisiche). Essi hanno il diritto di accedere ai propri dati, chiederne la rettifica, la cancellazione e la portabilità.
Le aziende devono ottenere un consenso chiaro e inequivocabile dagli interessati prima di trattare i loro dati personali.
Le aziende devono informare gli interessati su come vengono raccolti e utilizzati i dati. Le aziende devono adottare misure tecniche e organizzative adeguate per proteggere i dati e, soprattutto, devono essere le aziende in grado di dimostrare la loro conformità al GDPR. In altre parole teoricamente si inverte il c.d. “onere della prova”, come si usa dire in giurisprudenza. Quest’ultimo è un aspetto molto importante e troppo spesso sottovalutato dalle aziende; quando non addirittura contestato dai loro legali.
La NIS2 in sintesi
La NIS2 si concentra principalmente sulla sicurezza delle reti e dei sistemi informativi e, pertanto, le sue disposizioni riguardano principalmente i dati (personali e non) e le informazioni in formato digitale. La norma si applica a sistemi informatici, reti e servizi essenziali che trattano dati digitali. Include misure di sicurezza informatica per prevenire e gestire incidenti informatici. Sebbene la NIS2 possa indirettamente influenzare la gestione complessiva della sicurezza, non prevede norme specifiche per i dati fisici o su carta, come invece specificatamente previsto dal GDPR.
Anche la NIS2 prevede per le organizzazioni alcuni obblighi molto simili, che quindi si sovrappongono a quelli del GDPR.
Obblighi di sicurezza: le organizzazioni devono adottare misure di sicurezza adeguate al fine di prevenire incidenti e mitigare le conseguenze in caso di attacchi informatici. Richiede alle aziende di informare le autorità competenti su incidenti significativi in tempi rapidi, molto simili a quelli del GDPR. A differenza del GDPR, che specificatamente prevede la figura del DPO, la NIS2 non prevede una figura strettamente equivalente. Tuttavia, essa prevede, anzi richiede, che le organizzazioni nominino un responsabile della sicurezza informatica per gestire le misure di sicurezza IT.
Secondo quanto suggerito da varie “best practice”, i due ruoli di “IT Manager” e “IT Security Manager” andrebbero distinti. Questo per varie ragioni che non possono essere approfondite in questo articolo. Tuttavia, è comprensibile che organizzazioni più piccole possano avere difficoltà ad adottare questa “best practice”. Nel seguito di questo documento, leggete “IT Security” sia come “IT” sia come “IT Security” (e viceversa).
Le sovrapposizioni fra GDPR e NIS2
La NIS2 si concentra sulla sicurezza delle reti e delle informazioni digitali, includendo tra le informazioni i dati personali e non personali. Il GDPR si focalizza sulla protezione dei dati personali, informatici e non informatici (per esempio, cartacei). Questo porta a una notevole sovrapposizione tra GDPR e NIS2. In contesti diversi, entrambi i regolamenti mirano a proteggere le informazioni.
Sebbene il DPO sia un ruolo formalmente definito solo dal GDPR, la sua importanza si estende ben oltre la semplice protezione dei dati personali. Con l’introduzione della NIS2, il DPO è chiamato a svolgere un ruolo cruciale anche nella gestione della sicurezza informatica e delle informazioni, personali e non personali, all’interno delle organizzazioni. Questo sia per ragioni concettuali che operative.
L’importanza della coerenza
Per gestire efficacemente le sovrapposizioni tra GDPR e NIS2, il DPO deve collaborare con altre funzioni aziendali, come l’IT, l’area legale e quella di compliance.
Questo coordinamento è essenziale per garantire che le politiche di protezione delle informazioni, personali e non personali, siano in linea con quelle di sicurezza informatica, riducendo il rischio di conflitti normativi e operativi e migliorando la protezione complessiva delle informazioni, personali e non.
Il DPO e la NIS2
La NIS2 impone obblighi di sicurezza informatica che mirano a ridurre il rischio di violazioni dei dati, personali e non personali, e a migliorare la gestione di eventuali incidenti. Questo è un aspetto centrale della competenza del DPO.
È richiesto, infatti, che le organizzazioni valutino i rischi associati alla protezione dei dati e alla sicurezza delle informazioni. Il DPO può svolgere un ruolo cruciale in questo processo. Il processo include, fra l’altro, l’identificazione dei rischi, le analisi di impatto in caso di violazione e lo sviluppo di strategie di mitigazione (inclusa la notifica di incidenti).
Notifica delle violazioni e gestione del “databreach”
Entrambi i regolamenti prevedono la notifica delle violazioni (c.d. “databreach”), anche se ad autorità solitamente diverse, in tempi relativamente stretti, solitamente entro 72 ore dall’identificazione della violazione. Questo rappresenta una sfida significativa per le organizzazioni, che devono implementare politiche chiare e snelle per la gestione delle notifiche.
Il DPO può svolgere il ruolo di “ponte” tra le diverse funzioni aziendali, facilitando un approccio integrato alla gestione delle violazioni. La creazione di una politica unificata per le notifiche può semplificare il processo e rendere l’organizzazione più reattiva di fronte a potenziali eventi di violazione.
Valutazione dei rischi e politiche di sicurezza
Sia il GDPR che la NIS obbligano alla c.d. “Valutazione dei Rischi”. Il DPO deve condurre un’accurata valutazione dei rischi, considerandoli da diversi punti di vista: tecnologia, comprendere il panorama tecnologico e le vulnerabilità specifiche dei sistemi informatici utilizzati; processo, analizzare i flussi di dati e come questi vengano gestiti all’interno dell’organizzazione; organizzazione e persone, considerare il fattore umano e le competenze del personale coinvolto nella gestione dei dati.
Il DPO ha un ruolo chiave nella definizione e implementazione di politiche di sicurezza adeguate. Le politiche devono tenere conto delle normative vigenti e delle “best practice” nel settore, assicurando che le procedure siano chiare e di facile applicazione, adeguatamente diffuse a tutti i livelli dell’organizzazione, monitorate e aggiornate regolarmente. Pertanto, la formazione del personale è cruciale per garantire la compliance sia al GDPR che alla NIS2. Il DPO deve promuovere, di concerto con le altre funzioni aziendali, la consapevolezza riguardo alla protezione dei dati personali e non personali e alla sicurezza delle informazioni. Questo tramite workshop e seminari, e-learning e corsi di formazione specifici, comunicazioni regolari e tempestive sugli aggiornamenti normativi.
Riferimenti
Il Ruolo del DPO nell’applicazione della Direttiva NIS2
https://www.assodpo.it/2024/07/24/Il-ruolo-del-DPO-nellapplicazione-della-Direttiva-NIS2/
NIS2 Technical Implementation Guidance
https://www.enisa.europa.eu/publications/nis2-technical-implementation-guidance
Cybersecurity roles and skills for NIS2 Essential and Important Entities
https://www.enisa.europa.eu/publications/cybersecurity-roles-and-skills-for-nis2-essential-and-important-entities
La governance dei flussi di dati tra Direttiva NIS 2 e responsabilità penale omissiva
https://www.redhotcyber.com/post/la-governance-dei-flussi-di-dati-tra-direttiva-nis-2-e-responsabilita-penale-omissiva/
