NIS2 e GDPR: la sovrapposizione che non è una fusione
L'articolo 32 GDPR e l'articolo 21 NIS2 richiedono molte delle stesse misure di sicurezza. L'articolo 33 GDPR e l'articolo 23 NIS2 sono binari di segnalazione separati con orologi separati e autorità separate. Il considerando 14 NIS2 chiarisce che i due regimi si completano a vicenda. Non si fondono in un'unica presentazione.
La versione breve
Il GDPR (Regolamento (UE) 2016/679) protegge i diritti e le libertà delle persone fisiche i cui dati personali tratti. La NIS2 (Direttiva (UE) 2022/2555) protegge la continuità operativa dei sistemi informatici e di rete nei settori essenziali e importanti. Due regimi, due interessi tutelati, controlli tecnici e organizzativi in gran parte condivisi.
L'insieme dei controlli si sovrappone fortemente. L'articolo 32 GDPR richiede misure tecniche e organizzative adeguate per la sicurezza dei dati personali. L'articolo 21 NIS2 richiede misure di gestione del rischio per la sicurezza dei sistemi informatici e di rete. Un controllo degli accessi maturo, un backup funzionante, una procedura di risposta agli incidenti collaudata di solito servono entrambi al contempo.
I binari di segnalazione non si sovrappongono. L'articolo 33 GDPR invia una notifica di violazione dei dati personali all'autorità di controllo per la protezione dei dati entro 72 ore. L'articolo 23 NIS2 invia un preallarme allo CSIRT o all'autorità competente entro 24 ore, una notifica completa entro 72 ore e una relazione finale entro un mese. Destinatario diverso, contenuto diverso, orologio diverso. Non esiste una presentazione unificata.
Articolo 32(1) GDPR (Regolamento (UE) 2016/679)
Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.
La clausola di sicurezza del GDPR. Basata sul rischio, proporzionata, ancorata ai diritti e alle libertà delle persone fisiche. L'articolo 32(2) elenca la pseudonimizzazione, la cifratura, la riservatezza, l'integrità, la disponibilità, la resilienza e un processo periodico di test come il tipo di misure che il titolare e il responsabile del trattamento devono considerare. La formulazione è deliberatamente vicina a quella dell'articolo 21(2) NIS2.
Articolo 21 NIS2 + Considerando 14 (Direttiva (UE) 2022/2555)
Gli Stati membri provvedono affinché i soggetti essenziali e importanti adottino misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l'impatto degli incidenti per i destinatari dei loro servizi e per altri servizi. [Articolo 21(1)] / La presente direttiva lascia impregiudicato il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio. [Considerando 14]
L'articolo 21 fissa l'obbligo di sicurezza per i sistemi informatici e di rete. L'articolo 21(2) elenca poi le dieci aree di misure (politica del rischio, gestione degli incidenti, continuità operativa, catena di approvvigionamento, acquisizione e sviluppo sicuri, gestione delle vulnerabilità, formazione, crittografia, controllo degli accessi e gestione degli asset, autenticazione a più fattori). Il considerando 14 conferma che il GDPR non è scalzato. I due regimi si collocano fianco a fianco.
§30 + §32 BSIG vs Articolo 33 GDPR (Germania)
Il §30 BSIG traspone l'articolo 21 NIS2 nel catalogo delle misure di gestione dei rischi di cybersicurezza. Il §32 BSIG traspone l'articolo 23 NIS2 nella cascata di 24h / 72h / un mese verso il BSI. L'articolo 33 GDPR resta invariato nel Regolamento e si applica direttamente all'autorità di controllo per la protezione dei dati (BfDI per gli enti federali e taluni settori regolamentati, le autorità dei Länder per tutti gli altri).
Due raccolte di regole tedesche, due destinatari tedeschi. Il §30 BSIG e il §32 BSIG vanno al BSI. L'articolo 33 GDPR va al BfDI o al LfDI. Le due autorità cooperano ai sensi dell'articolo 23(11) NIS2 ma non fondono i loro fascicoli. Presenti due volte quando un incidente tocca entrambi i regimi.
Insieme di controlli condiviso
L'articolo 32 GDPR e l'articolo 21(2) NIS2 richiedono le stesse famiglie di misure: controllo degli accessi, cifratura, backup e ripristino, risposta agli incidenti, formazione, gestione delle vulnerabilità, sicurezza dei fornitori. Un unico insieme di misure tecniche e organizzative di solito soddisfa entrambi. La formulazione differisce, la sostanza no.
Due orologi di segnalazione
Articolo 33 GDPR: 72 ore all'autorità di controllo per la protezione dei dati una volta venuto a conoscenza di una violazione dei dati personali, con il contenuto definito all'articolo 33(3). Articolo 23 NIS2: preallarme di 24 ore, notifica completa di 72 ore, relazione finale entro un mese al BSI o allo CSIRT nazionale. Destinatario diverso, soglia diversa (violazione dei dati personali vs incidente significativo), modello diverso. Corrono in parallelo.
La documentazione deve reggersi da sola in ciascun fascicolo
Il BfDI o il LfDI leggerà il tuo fascicolo ai sensi degli articoli 32 e 33 GDPR. Il BSI leggerà il tuo fascicolo ai sensi del §30 e del §32 BSIG. Ciascuna autorità si aspetta che sia citata la propria base giuridica, documentata la propria tempistica, agli atti la propria evidenza. Un unico registro degli incidenti può alimentare entrambi, ma le due presentazioni restano separate.
Interessi tutelati complementari, non obblighi ridondanti
Il GDPR protegge i diritti e le libertà delle persone fisiche i cui dati personali sono trattati. La NIS2 protegge la continuità operativa dei sistemi da cui dipendono i soggetti essenziali e importanti. Le misure di sicurezza si sovrappongono perché entrambi i regimi necessitano dello stesso tipo di controlli. Gli obblighi non diventano ridondanti. Un attacco ransomware che blocca il sistema delle cartelle cliniche di un ospedale è sia una violazione dei dati personali ai sensi dell'articolo 33 GDPR sia un incidente significativo ai sensi dell'articolo 23 NIS2. Entrambi i fascicoli devono essere aperti.
Le autorità cooperano, le presentazioni non si fondono
L'articolo 23(11) NIS2 obbliga le autorità competenti ai sensi della NIS2 e le autorità di controllo per la protezione dei dati a cooperare quando un incidente coinvolge dati personali. Condividono informazioni, possono coordinare la loro gestione. Non conducono un'unica indagine combinata e non emettono un'unica decisione combinata. Il soggetto presenta due volte, su due orologi diversi, con due insiemi diversi di fatti a cui le autorità tengono.
BSI (autorità competente NIS2)
Il BSI gestisce il ciclo di vigilanza NIS2 in Germania. Misure del §30 BSIG, segnalazione degli incidenti del §32 BSIG, registrazione del §33 BSIG. Il BSI è il destinatario della cascata di 24h / 72h / un mese. Non esamina il tuo fascicolo ai sensi dell'articolo 32 GDPR e non coordina la tua notifica agli interessati ai sensi dell'articolo 34 GDPR.
BfDI e le autorità dei Länder (LfDI)
La vigilanza sulla protezione dei dati è ripartita. Il BfDI segue gli enti federali, gli operatori postali e di telecomunicazione e alcune altre aree regolamentate. Ogni Land ha la propria autorità per la protezione dei dati (LfDI Baden-Württemberg, LDI NRW, BlnBDI Berlin e così via) per tutti gli altri. L'autorità per la protezione dei dati è il destinatario della notifica dell'articolo 33 GDPR e il destinatario delle sanzioni ai sensi dell'articolo 83 GDPR.
ENISA e il Comitato europeo per la protezione dei dati
ENISA coordina il livello della cybersicurezza tra gli Stati membri nel quadro della NIS2. Il Comitato europeo per la protezione dei dati (EDPB) coordina il livello della protezione dei dati ai sensi del GDPR. I due lavorano fianco a fianco. Emanano linee guida separate: ENISA sulla segnalazione degli incidenti e la gestione del rischio, l'EDPB sugli articoli 33 e 34 GDPR. I due filoni non si fondono in un unico strumento UE.
RDI e Autoriteit Persoonsgegevens (Paesi Bassi)
La ripartizione olandese rispecchia quella tedesca. La Rijksinspectie Digitale Infrastructuur (RDI) e le autorità competenti settoriali seguono il binario NIS2. L'Autoriteit Persoonsgegevens (AP) segue il binario GDPR. Belgio, Francia e Austria seguono uno schema analogo. La struttura a due autorità è l'impostazione predefinita in tutta l'UE.
Siamo conformi al GDPR, quindi anche la NIS2 è coperta.
Il GDPR copre i dati personali. La NIS2 copre i sistemi informatici e di rete indipendentemente dal fatto che siano coinvolti dati personali. Sistemi di controllo di impianto, OT, un'interruzione che non tocca affatto i dati personali sono comunque incidenti NIS2. Un fascicolo GDPR pulito non presenta la tua notifica del §32 BSIG e non soddisfa il §30 BSIG sui sistemi che non contengono dati personali.
Siamo conformi alla NIS2, quindi anche il GDPR è coperto.
La NIS2 mette in sicurezza i sistemi. Il GDPR mette in sicurezza i diritti e le libertà delle persone i cui dati personali quei sistemi trattano. Un insieme di controlli del §30 BSIG ben costruito deve comunque essere documentato nel fascicolo dell'articolo 32 GDPR, nel registro delle attività di trattamento ai sensi dell'articolo 30 GDPR, nelle valutazioni d'impatto sulla protezione dei dati ai sensi dell'articolo 35 GDPR. Il BfDI o il LfDI legge la propria base giuridica, non il BSIG.
Un incidente, una segnalazione. Presentiamo al BSI e abbiamo finito.
Un incidente che riguarda dati personali attiva entrambi i regimi. L'articolo 33 GDPR corre verso l'autorità per la protezione dei dati sul proprio orologio di 72 ore. L'articolo 23 NIS2 corre verso il BSI sulla cascata di 24h / 72h / un mese. Le soglie non sono identiche e i destinatari non sono gli stessi. Apri due fascicoli in parallelo, con rimandi incrociati, non un'unica presentazione fusa.
Un unico insieme di controlli, due playbook di segnalazione. Un tipico soggetto essenziale di 200 persone non mantiene due cataloghi separati di misure tecniche e organizzative. La stessa policy di controllo degli accessi, lo stesso standard di cifratura, la stessa procedura di risposta agli incidenti compaiono nel fascicolo dell'articolo 32 GDPR e nel fascicolo del §30 BSIG con copertine diverse. Il lavoro si fa una volta sola. La base giuridica citata differisce.
Dove i due regimi divergono è l'esercitazione di segnalazione. Il runbook di risposta agli incidenti deve porre tre domande nella prima ora: c'è una violazione dei dati personali nel senso dell'articolo 4(12) GDPR, c'è un incidente significativo nel senso dell'articolo 23(3) NIS2, ci sono entrambi. Se la risposta è entrambi, partono due timer paralleli. Il responsabile della protezione dei dati e il CISO aprono fascicoli separati, condividono i fatti, non consolidano le presentazioni. La versione pulita di questo runbook sta su una pagina.
La piattaforma modella il registro degli obblighi NIS2: registrazione ai sensi dell'articolo 27, misure di gestione del rischio ai sensi dell'articolo 21, segnalazione degli incidenti ai sensi dell'articolo 23, formazione della direzione ai sensi dell'articolo 20. Non modella il registro dei trattamenti GDPR e non esegue le tue valutazioni d'impatto sulla protezione dei dati. Quelle restano nei tuoi strumenti per la protezione dei dati, gestite dal tuo responsabile della protezione dei dati, vigilate dalla tua autorità per la protezione dei dati.
Dove i due regimi condividono evidenze (misure tecniche e organizzative, clausole di sicurezza sui fornitori, registri della formazione) le esponiamo come artefatti esportabili che puoi allegare anche al tuo fascicolo dell'articolo 32 GDPR. La cascata di incidenti del §32 BSIG ha il proprio flusso di lavoro sulla piattaforma. La notifica dell'articolo 33 GDPR resta dove è sempre stata, nel tuo registro delle violazioni in materia di protezione dei dati.
- Regolamento (UE) 2016/679 (GDPR), Articoli 4(12), 32, 33, 34, 83 — eur-lex.europa.eu/eli/reg/2016/679/oj
- Direttiva (UE) 2022/2555 (NIS2), Articoli 20, 21, 23, 27 e Considerando 14 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- BSI Act (BSIG), §30 e §32 come modificato dal NIS2 Implementation and Cybersecurity Strengthening Act — gesetze-im-internet.de/bsig_2009
- Comitato europeo per la protezione dei dati, Linee guida 9/2022 sulla notifica delle violazioni dei dati personali — edpb.europa.eu
- ENISA, Technical Implementation Guidance sulle misure dell'articolo 21 NIS2 — enisa.europa.eu