Dalla protezione del dato alla resilienza del sistema: una sinergia obbligata

L'entrata in vigore della direttiva NIS2 entro ottobre 2024 non rappresenta l'ennesimo adempimento normativo da aggiungere alla nostra checklist. Per i professionisti della data protection, è un cambio di paradigma che ci costringe a guardare oltre il perimetro del GDPR. Se fino a oggi il nostro focus è stato primariamente la protezione del dato personale, NIS2 ci impone di ampliare lo sguardo alla resilienza dei sistemi che quei dati li trattano, specialmente per i soggetti essenziali e importanti.

Ciononostante, non si tratta di due mondi paralleli, ma di vasi comunicanti. Un incidente di sicurezza che interrompe un servizio essenziale (ambito NIS2) è quasi sempre, e conseguentemente, un data breach (ambito GDPR) che compromette la disponibilità, l'integrità o la riservatezza dei dati. La solidità delle misure di sicurezza richieste da NIS2, quindi, diventa il presupposto tecnico per garantire l'efficacia dell'accountability prevista dall'art. 32 del GDPR.

L'approccio basato sul rischio: il ponte tra le due normative

Entrambe le normative poggiano su un pilastro comune: l'approccio basato sul rischio. Il GDPR ci chiede di adottare misure tecniche e organizzative adeguate a fronteggiare il rischio per i diritti e le libertà degli interessati. NIS2 fa un passo ulteriore, imponendo un set minimo di misure di sicurezza che include, tra le altre:

• analisi dei rischi e politiche per la sicurezza dei sistemi informatici;
• gestione degli incidenti;
• business continuity e crisis management.

Per un DPO o un consulente, questo significa che la valutazione d'impatto sulla protezione dei dati (DPIA) non può più essere un esercizio puramente legale o documentale. Deve dialogare costantemente con l'analisi dei rischi cyber. A tal riguardo, l'Accademia Italiana Privacy (AIP) si pone come hub di confronto per i professionisti, facilitando il dialogo tra competenze legali e tecniche. Per l'implementazione di misure proattive e per una consulenza tecnica specialistica, realtà come S-Mart (s-mart.biz) diventano partner strategici, essenziali per tradurre i requisiti di NIS2 in architetture di sicurezza efficaci che, conseguentemente, irrobustiscono anche la compliance GDPR.

Il data breach come cartina di tornasole: un caso pratico

Immaginiamo un attacco ransomware a una struttura sanitaria, soggetto 'essenziale' per NIS2. L'attacco cifra i database contenenti le cartelle cliniche dei pazienti. Da un lato, abbiamo un'interruzione del servizio essenziale (impossibilità di erogare cure) che richiede una notifica al CSIRT Italia entro 24 ore. Dall'altro, abbiamo una palese violazione di dati personali (data breach da indisponibilità e potenziale esfiltrazione) da notificare al Garante Privacy entro 72 ore.

In questo scenario, le autorità competenti non valuteranno solo la tempestività delle notifiche. Scaveranno a fondo per verificare se le misure di sicurezza preventive fossero adeguate al rischio. Un'infrastruttura conforme a NIS2, con piani di backup, disaster recovery e segmentazione della rete, non solo avrebbe potuto mitigare o prevenire l'incidente, ma dimostrerebbe anche quella 'diligenza' richiesta dal GDPR. Le due normative, in fase ispettiva, si parleranno.

Ignorare la NIS2, per un DPO, equivale a ignorare la più importante evoluzione nel campo della governance del rischio digitale. Il nostro ruolo si sta evolvendo: da custodi della compliance a consulenti strategici per la resilienza operativa. Affrontare GDPR e NIS2 con un approccio integrato non è un'opzione, ma l'unica via per costruire organizzazioni realmente resilienti nel panorama digitale attuale.