La questione dell’integrazione tra la Direttiva NIS 2 e il GDPR sta sollevando, in tempi recenti, degli interrogativi circa il ruolo del Data Protection Officer, soprattutto in relazione alla protezione delle informazioni personali e alla sicurezza informatica. Se da un lato alcuni sostengono che la NIS 2 e il GDPR abbiano ambiti distinti, separando quindi il compito del DPO a una conoscenza meramente informativa della normativa, dall’altro si evidenziano connessioni che potrebbero trasformarlo in un protagonista di un sistema di protezione integrato. Infatti, malgrado il fatto che la NIS 2 sia focalizzata principalmente sulla sicurezza delle infrastrutture critiche e dei servizi essenziali, e il GDPR sulla tutela dei dati personali, effettivamente i due ambiti sono interconnessi: il miglioramento della sicurezza complessiva delle informazioni aziendali, di fatto, sta impattando positivamente anche sulla protezione dei dati personali.

In questo contesto, pur non essendo direttamente responsabile per l’implementazione delle misure di sicurezza imposte dalla NIS 2, la figura del DPO può beneficiare del rafforzamento delle difese informatiche introdotte dalla Direttiva. La protezione dei dati personali, infatti, non può prescindere da una gestione efficace della sicurezza informatica e della resilienza operativa. In effetti, l’adozione di misure avanzate come i backup e i piani di continuità aziendale richiesti dalla NIS 2 non solo elevano la protezione generale dell’organizzazione, ma migliorano anche la qualità della difesa dei dati personali, senza necessitare interventi aggiuntivi.

Un nuovo punto di contatto tra le due normative riguarda la gestione dei rischi e degli incidenti informatici: mentre il GDPR definisce le modalità per gestire le violazioni dei dati, la NIS 2 impone procedure più strutturate e tempestive per la gestione degli incidenti di sicurezza e questo implica sia la definizione di protocolli chiari per la risposta agli incidenti, che la notifica obbligatoria agli enti competenti e l’analisi post-incidente per evitare il ripetersi di situazioni critiche. In questo scenario, il DPO ha un ruolo di coordinamento, garantendo che le misure per la protezione dei dati personali siano integrate nelle procedure di gestione degli incidenti di sicurezza, in modo da proteggere adeguatamente anche le informazioni personali.

Inoltre, la NIS 2 sta introducendo il concetto di business continuity, ossia una misura che nel GDPR è solo accennata, ma non esplicitamente richiesta. Le organizzazioni sono obbligate a sviluppare strategie operative per garantire la continuità dei servizi in caso di attacchi informatici, e questo rappresenta un’opportunità per il DPO, che può rafforzare la protezione dei dati attraverso l’adozione di queste strategie. In questo modo, la sicurezza informatica diventa parte integrante della protezione delle informazioni personali, creando un approccio più globale alla gestione della sicurezza aziendale.

Un altro aspetto che merita attenzione riguarda la formazione della NIS 2 che la prevede obbligatoriamente in merito alla cyber security per i dipendenti, ossia un elemento che rappresenta un passo importante rispetto al GDPR, che invece non impone esplicitamente la formazione, pur suggerendola come buona prassi. L’introduzione di programmi di formazione strutturati, infatti, non solo migliora la capacità dell’organizzazione di rispondere agli attacchi informatici, ma contribuisce anche a una maggiore consapevolezza e attenzione nella gestione delle informazioni, comprese quelle personali. Per il DPO, questo rappresenta un’occasione per promuovere una cultura della sicurezza integrata, in cui il personale acquisisca competenze non solo in materia di privacy, ma anche in cyber security, creando sinergie tra le due normative.

In definitiva, le misure introdotte dalla NIS 2 sono in procinto di offrire alla figura del DPO l’opportunità di evolvere il suo ruolo da semplice osservatore a protagonista attivo nella creazione di un ecosistema di sicurezza più solido e integrato. La protezione dei dati personali non può più essere vista come un compartimento separato, ma deve essere inserita in un sistema di difesa globale che riguardi tutte le informazioni trattate dall’organizzazione. Integrando le misure del GDPR con quelle della NIS 2, l’organizzazione sarà in grado di proteggere i dati personali in modo più efficace, garantendo al contempo la continuità operativa e la sicurezza delle proprie infrastrutture.

Visualizzazioni: 8