NIS2, GDPR, CyberSecurity Act, DORA: orientarsi in un dedalo di normative

Al momento stai visualizzando NIS2, GDPR, CyberSecurity Act, DORA: orientarsi in un dedalo di normative

Cybersecurity UE: NIS2, GDPR, CyberSecurity Act e DORA. Tutto ciò che devi sapere sulla sicurezza informatica e protezione dei dati.

NIS2: la nuova direttiva sulla sicurezza informatica UE

Se ne fa, adesso, un gran parlare. La Direttiva NIS2, che ha abrogato la precedente, è stata adottata il 14 ottobre 2022 ed è stata recepita entro il 17 ottobre 2024 da tutti gli Stati membri. La NIS2 si pone l’obiettivo di rafforzare il quadro normativo previsto dalla NIS 1. Mira quindi a rafforzare gli obblighi di sicurezza informatica, aumentare la cooperazione tra gli Stati e ampliare il numero di settori coinvolti. Tutto ciò grazie all’introduzione di protocolli di sicurezza più rigorosi, maggior rigore negli obblighi di segnalazione delle violazioni e quadri di governance più solidi.

L’Italia ha già recepito la nuova Direttiva, con il Decreto 138/2024 (pubblicato in Gazzetta Ufficiale).

Rispetto alla NIS1, la NIS 2:

  • si applicherà a più soggetti;
  • richiederà l’analisi dei rischi;
  • prevede sì stringenti misure di sicurezza, ma adeguate al contesto (quindi anche la capacità di spesa dei soggetti sottoposti alla sua applicazione).

L’autorità italiana di riferimento per la NIS2 sarà l’ACN, il “braccio operativo” lo CSIRT.

Per approfondire > L’Italia ha recepito la NIS2: quali tempistiche per enti e aziende?

NIS2, GDPR, ePrivacy e le altre normative in materia di resilienza e sicurezza informatica

La NIS2, per i campi che va a regolamentare, intercetta e interagisce con diverse altre normative europee il cui scopo comune è quello di creare un ecosistema di sicurezza informatica nell’UE che sia robusto e integrato. Infatti nell’UE sono in vigore diverse normative sulla sicurezza informatica, ognuna delle quali si concentra su un preciso aspetto.

NIS2 e GDPR: l’ arte della “Data Protection”

La NIS2 specifica già nel Considerando 14, che qualsiasi trattamento di dati personali deve rispettare quanto previsto dalla normativa europea in fatto di protezione dei dati e tutela della vita personale dei cittadini. In particolare la NIS2 riferisce al GDPR (Regolamento 2016/679) e alla e-Privacy (Direttiva 2002/58/CE). I richiami poi al GDPR sono numerosi nel testo della NIS2.

Inutile, forse, specificare che il combinato disposto da quanto previsto da GDPR e NIS2 norma, in particolare, il campo della data protection. Le due normative hanno diversi punti in comune:

  • valutazione del rischio e misure di sicurezza:
    sia GDPR che NIS2 sottolineano l’importanza della valutazione dei rischi per la sicurezza e, di conseguenza, l’implementazione preventiva di misure tecniche ed organizzative appropriate. Ovviamente differisce il campo di riferimento: il GDPR affronta il tema dal punto di vista dei rischi per i diritti e le libertà dei cittadini UE, la NIS dal punto di vista della sicurezza delle reti e dei sistemi;
  • notifica di data breach / incidente informatico:
    entrambe le normative prevedono l’obbligo di notifica degli incidenti di sicurezza. Il GDPR prevede l’obbligo di notifica in caso di data breach / data leak occorsi a dati personali all’autorità garante. La NIS2 richiede la notifica di tutte le tipologie di incidente occorsi a reti e sistemi informatici che abbiamo impatto significativo;
  • la violazione dei dati personali:
    NIS2 e GDPR entrano in stretta correlazione quando l’incidente comporta violazione di dati personali. L’Art 31 paragrafo 3 della NIS2 è chiarissimo e prevede l’espressa cooperazione tra autorità di controllo ai sensi del GDPR (garante protezione dei dati personali) e le autorità competenti per la gestione degli incidenti informatici quando vengono violati dati personali. I riferimenti al GDPR compaiono poi, nuovamente, nell’art 35 della NIS2.

NIS2 Cybersecurity act: la sicurezza informatica

Cybersecurity Act è il nome “giornalistico” del Regolamento UE 2019/881 ed è una componente essenziale della strategia complessiva dell’UE per la sicurezza informatica. Mira a rafforzare la resilienza dell’UE agli attacchi informaici così come a creare un mercato unico della sicurezza informatica (prodotti, servizi e processi).

A grandi linee, il Cybersecurity ACT prevede:

  • gli obiettivi, i compiti così come l’assetto organizzativo conseguente dell’ENISA, l’Agenzia UE per la sicurezza informatica;
  • introduce un sistema unico di certificazione della sicurezza informatica a livello UE che ricomprenda tutti i dispositivi connessi ad internet, prodotii e servizi digitali così come i processi IT.

I punti di intersezione tra il Cybersecurity Act e la NIS2 sono:

  • obiettivi comuni:
    anzitutto entrambe le normative mirano a migliorare uil livello di sicurezza informatica dell’UE, proteggendo cittadini, infrastrutture critiche e imprese;
  • complementarietà:
    se la NIS2 si concentra su resilienza e sicurezza informatica, il Cybersecurity Act concentra la propria azione sul sistema di certificazione della sicurezza informatica dei prodotti ITC e dei servizi digitali;
  • cooperazione:
    l’ENISA, nella versione rafforzata che ne esce dall’applicazione del Cybersecurity ACT, diventa un ente fondamentale nell’attuazione e nel supporto della NIS2. Condivisione delle informazioni e cooperazione tra Stati Membri saranno la stella polare di queste normative.

NIS2 e DORA: la resilienza operativa per il settore finanziario

Il DORA è un regolamento UE (2022/2554) che mira in particolare alla resilienza operativa digitale del settore finanziario. Entrato in vigore nel Gennaio 2023, diviene operativo e vincolante dal 17 Gennaio 2025. Il DORA obbliga all’implementazione di sistemi di gestione dei rischi, concentrando il suo campo di applicazione in particolare sulle tecnologie IT e della comunicazione. Il DORA introduce quindi una serie di obblighi di governance e sicurezza per le entità del settore finanziario (banche, imprese di investimento, intermediari assicurativi, fornitori di servizi di crowdfunding, criptovalute ecc…).

I legami tra NIS2 e DORA sono stati esplicitati dalla Commissione Europea, che ha emanato gli “Orientamenti della Commissione sull’applicazione dell’articolo 4, paragrafo 1 e (2) della direttiva (UE) 2022/2555 (direttiva NIS 2). Il testo regola i rapporti tra NSI2 e “altri atti giuridici settoriali dell’Unione” tra i quali, appunto, anche il Regolamento DORA.

La particolarità del DORA però, va detto, è che è l’unico atto giuridico settoriale in UE. Si applica cioè solo al settore finanziario ed è previsto esplicitamente che, per quel settore, si possa applicare al posto della NIS2 in quanto prevede “misure che sono almeno equivalenti a quanto previsto dalla Direttiva NIS2”.


Vuoi chiarirti le idee sulla NIS2? Non sai se la tua azienda sarà soggetta alla sua applicazione? Siamo esperti di sicurezza informatica (dei dispositivi, delle reti, dei dati) e ci occupiamo di privacy e GDPR. I nostri consulenti sono a tua disposizione.