Il ruolo del DPO nell’applicazione della Direttiva NIS2

La Direttiva europea NIS2 “relativa a misure per un livello comune elevato di cibersicurezza nell'Unione”, in vigore dal 17 gennaio 2023, si appresta a divenire applicabile negli Stati membri dell’UE. In Italia, lo scorso 10 giugno il Consiglio dei Ministri ha approvato lo schema di Decreto Legislativo di recepimento, facendo seguito alle iniziative legislative di Belgio, Francia e Germania. Entro il 17 ottobre 2024 tutti gli Stati membri dovranno conformarsi alla Direttiva e applicare le relative disposizioni a decorrere dal 18 ottobre 2024. A partire da tale data, i nuovi obblighi introdotti dalla NIS2 impatteranno sull’attività di migliaia di enti ed imprese, nonché sul ruolo dei Data Protection Officer.

Il diritto come risposta alle sfide emergenti

La Direttiva (UE) 2022/2555, c.d. “NIS2” (Network and Information Security), rappresenta la riposta dell’Unione Europea alle principali sfide emergenti per la sicurezza informatica di enti ed imprese di tutta Europa. Stiamo parlando, in particolare, dei rischi correlati alla digitalizzazione dei dati, all’avvento di forme avanzate di intelligenza artificiale, all’espansione del panorama di minacce informatiche, all’impatto delle più recenti violazioni di sicurezza sull’attività delle organizzazioni. Lo scorso 3 luglio, Pasquale Stanzione, presidente del Garante per la protezione dei dati personali, in occasione della presentazione della relazione annuale, ha ricordato che, di fronte ai progressi della tecnologia, il diritto ha il compito di fornirci “gli strumenti per capire come porre realmente al servizio dell’uomo ciò che può rappresentare tanto uno straordinario fattore di sviluppo, benessere, promozione del pubblico interesse quanto anche, se non ben governato, una fonte di rischi tutt’altro che trascurabili, per la persona, la società, la democrazia”.

La Direttiva mira proprio ad accrescere il livello complessivo di consapevolezza di enti ed imprese nei confronti di tali minacce, attraverso l’introduzione di specifiche misure volte ad incrementare la sicurezza e la resilienza dei settori di mercato più critici.

Ambito di applicazione della norma e adempimenti

Affinché si realizzi lo scopo della Direttiva, è essenziale che si diffonda su larga scala la cultura della gestione dei rischi e che si crei un clima di responsabilità condivisa. L’ambito di applicazione della norma risulta conseguentemente esteso ad un’ampia gamma di medie imprese, nonché a tutte le realtà, pubbliche e private, individuate all’articolo 2.

Gli obblighi previsti sono differenziati in base alla qualificazione di tali realtà (l’articolo 3 della Direttiva distingue fra “soggetti essenziali” e “soggetti importanti”) e dei servizi erogati dalle stesse. In particolare, l’articolo 20 introduce una serie di misure tecniche, operative e organizzative in materia di gestione dei rischi per la cibersicurezza dei sistemi informatici e di rete. Fra queste vi rientrano, a titolo esemplificativo:

politiche di analisi dei rischi e di sicurezza dei sistemi informatici;
misure di continuità operativa, come la gestione del backup e il ripristino in caso di disastro;
misure per garantire la sicurezza della catena di approvvigionamento;
pratiche di igiene informatica di base e formazione del personale;
strategie e procedure per valutare l'efficacia delle misure implementate.

In aggiunta, l’articolo 23 introduce degli obblighi di segnalazione degli incidenti definiti “significativi” alle Autorità competenti. Il considerando 108 chiarisce che “In molti casi gli incidenti compromettono i dati personali. In tale contesto, le autorità competenti dovrebbero cooperare e scambiarsi informazioni su tutte le questioni pertinenti con le autorità di cui al regolamento (UE) 2016/679”.

GDPR vs NIS2

Dall’analisi dei principali obblighi si ricava una considerazione importante: le interazioni fra GDPR e NIS2 sono molteplici. Più nello specifico, emergono alcuni evidenti punti di contatto:

in primo luogo GDPR e NIS2 richiedono la notifica degli incidenti di sicurezza e, come abbiamo visto, un incidente significativo è molto probabile che comporti una violazione dei dati personali. L’articolo 35 della Direttiva mira proprio a favorire la cooperazione fra Autorità in queste casistiche;
sia il GDPR che la NIS2 sono normative caratterizzate dall’approccio basato sul rischio (“risk based approach”), che enfatizza l’importanza del processo di valutazione del rischio al fine di prevenire il verificarsi delle minacce mediante l’implementazione di adeguate contromisure;
il principio di accountability è un altro degli elementi che accomunano le due norme: ove non specificato, infatti, la valutazione dell’adeguatezza delle misure tecniche, operative e organizzative è in capo alle stesse organizzazioni;
i principi di accuratezza e di minimizzazione dei dati, di equità e di trasparenza, di sicurezza dei dati, nonché di protezione dei dati fin dalla progettazione e per impostazione predefinita vengono esplicitamente richiamati dalla NIS2, in particolare in relazione all’utilizzo di tecnologie innovative, compresa l’intelligenza artificiale;
rispetto al ruolo delle Autorità competenti ed ai controlli svolti dalle stesse, la NIS2 introduce disposizioni volte a favorire la massima cooperazione e lo scambio di informazioni (pensiamo all’interazione fra gli CSIRT nazionali e le Autorità di controllo in materia di protezione dei dati personali, soprattutto in caso di incidenti informatici).

Le organizzazioni tenute ad applicare la NIS2, pertanto, devono tenere conto di queste sinergie fra GDPR e NIS2, in modo da implementare processi interni e misure specifiche adeguate a soddisfare i requisiti di entrambe le norme. Tale attività dovrebbe svolgersi sotto il presidio del Data Protection Officer, ove nominato.

Il coinvolgimento del DPO per un approccio integrato fra privacy e cybersecurity

Come anticipato, enti ed imprese soggette alla Direttiva non possono prescindere dal coinvolgimento del DPO, in considerazione dell’impatto delle azioni da intraprendere per la conformità alla NIS2 sulla protezione dei dati personali.

In tale contesto, le competenze trasversali di natura tecnico-giuridica che caratterizzano il DPO, insieme ai compiti a questi assegnati dal GDPR, gli conferiscono un ruolo centrale nel coordinare l’applicazione delle due norme in modo da garantire la conformità. È bene precisare che tale considerazione si estende anche alle altre fonti del diritto applicabili che richiedono un approccio integrato fra sicurezza informatica e data protection. Il DPO deve orientare e guidare i titolari del trattamento nel valutare l’applicazione e gli impatti di tutte le disposizioni in materia di cybersecurity che costituiscono e che costituiranno l’ecosistema europeo di sicurezza cibernetica (per citarne alcune: il Cyber Resilience Act, la Legge sulla cibersicurezza, la Legge sulla solidarietà cibernetica, il Regolamento DORA - Digital Operational Resilience Act, etc.).

Un addendum ai compiti del DPO

Nel caso in cui i titolari del trattamento si trovino a dover applicare la NIS2 (e/o eventuali altre fonti in materia di sicurezza cibernetica), ai compiti esplicitamente citati ed assegnati ai DPO dall’articolo 39 del GDPR, si dovrebbero aggiungere anche quelli riportati a seguire:

la valutazione degli adempimenti richiesti dalla NIS2 che impattano sulla compliance al GDPR;
la valutazione degli adempimenti richiesti dal GDPR già implementati e che già soddisfano i requisiti della NIS2;
la promozione dell’equilibrio fra sicurezza IT e protezione dei dati personali, mediante il bilanciamento fra le esigenze di sicurezza d’impresa e di tutela dei diritti delle persone;
la consulenza nella definizione delle politiche in materia di cibersicurezza che siano integrate con le procedure in essere in materia di protezione dei dati personali;
il coinvolgimento nella fase di realizzazione della valutazione dei rischi cibernetici;
il coinvolgimento nella fase di implementazione delle misure tecniche, operative e organizzative adeguate alla gestione dei rischi;
il coinvolgimento nella fase di revisione e controllo periodico delle politiche e delle misure implementate, nonché di valutazione delle vulnerabilità dei sistemi;
la diffusione di migliori prassi in materia di cybersecurity e igiene informatica, anche attraverso l’attività di formazione al personale.

In conclusione, dal momento in cui le organizzazioni si troveranno ad applicare le altre fonti europee in materia di sicurezza cibernetica, la figura del DPO di consoliderà come la principale (se non l’unica) risorsa dotata di competenze trasversali tali da favorire il coordinamento ottimale nell’implementazione dei requisiti normativi richiesti.

Sarebbe, quindi, auspicabile che anche le realtà non soggette alla designazione obbligatoria del DPO, ma rientranti nell’ambito di applicazione della NIS2, procedessero con la designazione del Data Protecion Officer su base volontaria. Ciò sia nell’ottica di accountability, ovvero per dimostrare la propria responsabilizzazione ed impegno nel conformarsi agli obblighi normativi, sia al fine di garantire la massima efficienza ed un coordinamento ottimale dei processi di compliance interni.

Fonti:

Altre news

Italia: Pubblicato in Gazzetta Ufficiale il Decreto Legislativo 4 settembre 2024, n. 138, per il Recepimento della Direttiva UE sulla Cibersicurezza

Il 1 ottobre 2024, con la pubblicazione nella Gazzetta Ufficiale Serie Generale n. 230, è entrato ufficialmente in vigore il Decreto Legislativo 4 [...]