La gestione degli incidenti nella NIS 2 e nel GDPR: due facce della stessa moneta

Facebook
Twitter
LinkedIn

La sicurezza delle reti e dei sistemi informativi ha uno stretto legame con la protezione dei dati personali. Vediamo quindi brevemente come vengono gestiti gli incidenti in base a quanto previsto nella direttiva NIS 2 e nel GDPR.

La direttiva NIS 2 (Network and Information Security) è stata adottata dalla Commissione Europea per rafforzare il livello di sicurezza delle reti e dei sistemi informativi nell’Unione Europea, in un contesto di crescenti minacce e vulnerabilità cyber.

In particolare, la NIS 2, che ha sostituito la precedente direttiva NIS del 2016, introduce nuove categorie di operatori essenziali e di fornitori di servizi importanti, che dovranno rispettare una serie di obblighi di tipo tecnologico e organizzativo per garantire la protezione dei propri asset digitali e la resilienza dei servizi correlati.

Uno degli aspetti più rilevanti della direttiva NIS 2 riguarda la gestione degli incidenti, ovvero gli eventi che possono compromettere la disponibilità, l’integrità, l’autenticità o la confidenzialità dei dati o dei servizi. Si prevede infatti che i soggetti destinatari della norma debbano segnalare alle autorità competenti gli incidenti che abbiano un impatto significativo o sostanziale sul funzionamento dei servizi essenziali o importanti. È previsto un processo di segnalazione dell’evento rilevante entro 24 ore (la norma definisce tale segnalazione preallarme), con successiva notifica dell’incidente entro 72 ore.

Inoltre, la direttiva stabilisce che questi soggetti debbano adottare misure per prevenire, rilevare, gestire e mitigare gli incidenti, nonché per ripristinare la normalità il prima possibile.

La gestione degli incidenti ha anche un’importante connessione con il Regolamento UE 2016/679 (GDPR), che disciplina la protezione dei dati personali nell’Unione Europea.

Il GDPR prevede infatti che i titolari del trattamento dei dati personali debbano notificare alle autorità di controllo le violazioni dei dati personali, ovvero gli incidenti che comportano una distruzione, una perdita, una modifica, una divulgazione o un accesso non autorizzato ai dati personali, entro 72 ore dalla loro scoperta.

Inoltre, il GDPR impone ai responsabili del trattamento dei dati personali di adottare misure tecniche e organizzative adeguate per garantire un livello di sicurezza appropriato al rischio.

È bene chiarire che, sebbene le norme abbiano scadenze simili in fatto di notifica, quello che cambia sono le metriche di misurazione della gravità dell’evento: nel caso della direttiva NIS 2 ci si focalizza sull’interruzione del pubblico servizio, mentre nel caso del GDPR l’attenzione viene posta sui potenziali rischi che l’evento potrebbe comportare per diritti e le libertà degli individui.

Può pertanto accadere che vi siano eventi rilevanti per il contesto data protection ma non cyber security (o viceversa): ad esempio, una errata pubblicazione di dati on line sul portale di un ente pubblico potrebbe comportare una rilevante violazione di dati personali ai sensi del GDPR, ma sicuramente non sarebbe oggetto di attenzione in ambito NIS 2.

Un altro tema è la procedura di notifica: trattandosi di autorità competenti diverse e differenti informazioni da notificare, si dovrà intervenire con modus operandi differenti, in cui potrebbero variare i soggetti operanti all’interno dell’organizzazione.

La convivenza di questi aspetti si preannuncia quindi piuttosto strutturata, per cui le organizzazioni dovranno predisporre idonee procedure operative per adempiere correttamente ai differenti obblighi di legge.

Questa tematica sarà approfondita nel corso del webinar a partecipazione gratuita sulla gestione degli incidenti informatici in base alle normative attuali, che si terrà il prossimo venerdì 23 febbraio, dalle 11.00 alle 12.30.

Per maggiori informazioni e per iscriverti al webinar clicca sul seguente link: “La gestione degli incidenti tra direttiva NIS 2, GDPR e DDL Cybersicurezza”

Per informazioni sull’offerta di SI.net Servizi Informatici per accompagnarti nelle continue sfide legate alla trasformazione digitale, scrivi a comunicazione@sinetinformatica.it o telefona allo 0331.576848.

Per ricevere aggiornamenti sulle tematiche relative all’innovazione nell’ICT iscriviti alla nostra newsletter.

Segui SI.net anche su Twitter, Facebook, YouTube, LinkedIn, Telegram, Instagram