Cybersecurity: la nuova direttiva NIS 2 e le interazioni con il GDPR

La nuova direttiva NIS 2

La direttiva (UE) 2022/2555 (“direttiva NIS 2”) è stata pubblicata il 27 dicembre 2022 e la sua entrata in vigore è stata fissata il 17 gennaio 2023.

Gli Stati membri hanno ventuno mesi per recepirla; allo stesso tempo, i soggetti interessati dovranno adeguarsi ai nuovi obblighi.

La nuova direttiva succede alla direttiva (UE) 2016/1148 (“direttiva NIS”), rispetto alla quale introduce misure più stringenti e specifiche, rivolgendosi anche a un novero di settori e soggetti più ampio.

1. Enti essenziali e importanti

La direttiva NIS 2 prevede una distinzione tra enti “essenziali” e “importanti”, con differenti regimi di vigilanza e applicazione per questi ultimi. Essa sfrutta inoltre i concetti legislativi generali dell'Unione Europea in materia di micro, piccole e medie imprese per aiutare a chiarire quali soggetti rientrano nel campo di applicazione.

1. Nuovi requisiti e responsabilità

Tutti gli enti essenziali e importanti sono soggetti agli stessi requisiti di gestione del rischio di cybersicurezza e agli obblighi di segnalazione degli incidenti ai sensi della direttiva NIS 2, fermo restando che tali obblighi vanno recepiti dagli Stati membri. Tuttavia, i requisiti di adeguatezza e proporzionalità implicano che i modi di adempimento di tali obblighi varieranno secondo l'esposizione al rischio, l'importanza e le dimensioni dell'entità.

1. Gestione del rischio di cybersecurity

I requisiti inerenti all'adozione di misure adeguate e proporzionate per gestire i rischi di cybersicurezza sono stati rafforzati nella direttiva NIS 2, con l'obbligo per le entità rientranti nel campo di applicazione di attuare delle politiche di base, comprendenti l'analisi del rischio, la risposta agli incidenti, la crittografia, la cifratura, la divulgazione delle vulnerabilità, la formazione e la sicurezza della catena di approvvigionamento.

1. La responsabilità della direzione

La direttiva NIS 2 impone agli organi di gestione degli enti rientranti nell'ambito di applicazione l'obbligo di approvare l'adeguatezza delle misure di gestione del rischio di cybersicurezza e di sorvegliarne l'attuazione. Gli Stati membri devono garantire che gli organi di gestione possano essere ritenuti responsabili in caso di violazione delle disposizioni relative a tali misure da parte dell'ente.

1. La segnalazione degli incidenti

Ai sensi della direttiva NIS 2, i soggetti che rientrano nel campo di applicazione devono presentare una prima segnalazione o un allarme tempestivo all'autorità nazionale competente o al gruppo di risposta agli incidenti di sicurezza informatica (“CSIRT”), senza ritardi ingiustificati ed entro ventiquattro ore dal momento in cui sono venuti a conoscenza di un incidente significativo.

1. Gli oneri di registrazione

Alcuni soggetti rientranti nell'ambito di applicazione della direttiva NIS 2 saranno tenuti a presentare determinate informazioni alle autorità competenti per consentire all'Agenzia dell'Unione Europea per la Cybersecurity (“ENISA”) di mantenere un registro di tali soggetti.

Il rapporto della direttiva NIS 2 con la normativa dell'Unione Europea in materia di protezione dei dati personali

La direttiva NIS 2 presenta rilevanti profili d'intersezione e integrazione con la vigente normativa dell'Unione Europea in materia di protezione dei dati personali e in particolare con il regolamento (UE) 2016/679 (“GDPR”) e la direttiva 2002/58/CE (“direttiva e-Privacy”).

Come a suo tempo osservato anche dal Garante Europeo della Protezione dei Dati nella propria “Opinion 5/2021 on the Cybersecurity Strategy and the NIS 2.0 Directive” dell'11 marzo 2021, in diverse parti la direttiva NIS 2 chiarisce come la stessa “non pregiudichi” l'applicazione del GDPR e della direttiva e-Privacy. Per esempio, clausole di salvaguardia di questo tenore sono previste dai considerando 43, 92, 106 e 108, nonché dall'art. 35 della direttiva in esame.

Per conformarsi alle disposizioni della direttiva NIS 2, i soggetti cui essa si applica dovranno attuare determinati controlli di sicurezza informatica, che molto probabilmente comporteranno il trattamento di dati personali e di dati sulle comunicazioni elettroniche. Pertanto, l'estensione del campo di applicazione della direttiva NIS 2 a una serie di attività e settori più ampia di quella coperta dall'attuale direttiva NIS determinerà un aumento delle attività di trattamento di dati personali svolte per perseguire finalità di sicurezza informatica.

Il tutto si traduce nella necessità di considerare attentamente i requisiti del GDPR e della direttiva e-Privacy in sede d'implementazione operativa della direttiva NIS 2; ciò tenuto conto del fatto che le organizzazioni operanti quali titolari e/o responsabili del trattamento a norma del GDPR non sempre appaiono pienamente consapevoli della circostanza per cui le informazioni raccolte e trattate per il tramite di servizi e sistemi di sicurezza informativa possono costituire dei dati personali (si pensi, per esempio, agli indirizzi IP, ai codici identificativi di dispositivi elettronici, ai file di log di rete, ai  file di log di controllo degli accessi, e così via). Una mancata attenzione alla tutela della privacy in sede di adeguamento alla direttiva NIS 2 potrebbe perciò condurre a fenomeni di non conformità al GDPR. Sarà quindi di cardinale importanza fare sì che i sistemi e servizi di cybersecurity coinvolti nella prevenzione, nell'individuazione e nella risposta alle minacce informatiche siano conformi all'attuale quadro normativo in materia di protezione dei dati e adottino conseguentemente delle pertinenti salvaguardie tecniche e organizzative.

In quest'ottica, l'art. 2, par. 12 della direttiva NIS 2 chiarisce in via generale come la stessa si applichi facendo salvi il GDPR e la direttiva e-Privacy. Per parte sua, il corrispondente considerando 14 sancisce che la medesima direttiva non intende incidere sull'applicazione delle vigenti norme dell'Unione Europea disciplinanti il trattamento dei dati personali.

Direttiva NIS 2 e violazione dei dati personali

Ai sensi dell'art. 23, par. 1 della Direttiva NIS 2, ogni Stato membro provvede affinché i soggetti essenziali e importanti notifichino senza indebito ritardo al proprio CSIRT o, se opportuno, alla propria autorità competente, eventuali incidenti significativi. L' art. 23, par. 3 definisce quando un incidente è considerato “significativo”: a questo riguardo, una possibilità è che l'incidente si sia ripercosso o sia in grado di ripercuotersi su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.

La previsione di questa ipotesi, disciplinata alla lettera b) del citato articolo 23, paragrafo 3 è da accogliere favorevolmente in termini di coordinamento tra la direttiva NIS 2 e la vigente normativa in materia di protezione dei dati personali, in quanto considera quale elemento caratterizzante la significatività di un incidente informatico gli impatti sui diritti e sulle libertà delle persone fisiche eventualmente colpite dall'incidente medesimo. Allo stesso tempo, tale definizione è in parte sovrapponibile a quella di violazione dei dati personali di cui all'art. 4, punto 12) del GDPR. Conseguentemente, in taluni casi gli obblighi di segnalazione di cui alla direttiva NIS 2 potrebbero sovrapporsi alla notifica di una violazione dei dati personali alla competente autorità di controllo effettuata a norma dell'art. 33 del GDPR. Cionondimeno, le definizioni delle circostanze che determinano l'obbligo, i termini massimi stabiliti e le autorità competenti per l'invio della segnalazione di cui alla direttiva NIS 2 e della notifica di cui al GDPR sono differenti.

In questo contesto di potenziale sovrapposizione tra previsioni di diverse normative, va accolta con particolare favore la previsione dell'art. 31, par. 3 della direttiva NIS 2, secondo cui le autorità competenti ai sensi della medesima direttiva operano in stretta cooperazione con le autorità di controllo competenti in materia di protezione dei dati personali ai sensi del GDPR nei casi d'incidenti comportanti violazioni di dati personali, senza pregiudicare la competenza e i compiti delle autorità di controllo stesse. Con analogo favore deve peraltro essere valutata la previsione di cui all'art. 35, par. 1 della direttiva NIS, che vincola le autorità competenti ai sensi della medesima direttiva a informare le autorità di controllo in materia di protezione dei dati personali ogniqualvolta abbiano indicazioni che la violazione degli obblighi di cui agli artt. 21 e 23 della direttiva da parte di un soggetto essenziale o importante possa comportare una violazione dei dati personali, quale definita all'art. 4, punto 12) del GDPR, da notificare a norma dell'art. 33 del medesimo regolamento. Peraltro, tale onere d'informazione previsto in capo alle autorità competenti di cui alla direttiva NIS 2 non fa in alcun caso venire meno l'obbligo di notifica della violazione dei dati personali posto in capo ai titolari del trattamento dall'art. 33 del GDPR.

In conclusione

La direttiva NIS 2 è un ulteriore importante tassello per l'implementazione della strategia dell'Unione Europea in materia di cybersicurezza per il decennio digitale descritta nella comunicazione congiunta della Commissione europea e dell'Alto Rappresentante dell'Unione Europea per gli Affari Esteri e la Politica di Sicurezza del 16 dicembre 2020.

In particolare, va favorevolmente salutato l'obiettivo della direttiva NIS 2 d'introdurre modifiche sistemiche e strutturali all'attuale direttiva NIS, per coprire un insieme più ampio di entità in tutta l'Unione Europea, con misure di sicurezza più forti, norme minime e disposizioni pertinenti in materia di controllo e applicazione.

In quest'ottica, è però fondamentale integrare i principi della privacy e della protezione dei dati nel contesto della definizione e dell'implementazione delle misure di cybersecurity , al fine di garantire un approccio olistico e di consentire sinergie tra la gestione della cybersicurezza e la protezione dei dati personali trattati. È altrettanto importante che ogni potenziale limitazione del diritto alla protezione dei dati personali e della privacy che tali misure comportano soddisfi i criteri stabiliti dall'art. 52 della Carta dei diritti fondamentali dell'Unione Europea.

Pertanto, anche nella fase attuativa, si dovrà fare sì che la direttiva NIS 2 non incida negativamente sull'applicazione dell'esistente normativa dell'Unione Europea e nazionale sul trattamento dei dati personali. Ciò significa che tutti i sistemi e i servizi di cybersicurezza coinvolti nella prevenzione, nell'individuazione e nella risposta alle minacce informatiche dovrebbero conformarsi all'attuale quadro giuridico di protezione della privacy e dei dati personali.

Altresì, affinché la direttiva NIS 2 integri correttamente ed efficacemente l'esistente legislazione dell'Unione Europea in materia di protezione dei dati personali, in particolare il GDPR e la direttiva e-Privacy, in fase attuativa andranno stabiliti meccanismi chiari per la collaborazione tra le autorità competenti dei diversi settori normativi.

Ancora, particolare attenzione andrà posta sui rischi di possibili trasferimenti di dati non conformi legati all'esternalizzazione di servizi di cybersicurezza o all'acquisizione di prodotti di cybersicurezza e alla loro catena di fornitura.

Invece, ulteriore elemento positivo della nuova normativa è costituito dalla promozione dell'uso della crittografia, in particolare la crittografia end-to-end, quale tecnologia critica e insostituibile anche per un'efficace protezione dei dati personali e della privacy.

Cerciello F., Direttiva NIS 2: ecco come prepararsi a recepire i nuovi obiettivi di cyber security, in cybersecurity360.it, 9 gennaio 2023;

Valentini A., Dentro la NIS 2, più obblighi e regole per la cybersecurity europea, in cybersecurity360.it, 20 dicembre 2022