La Direttiva NIS 2 (UE 2022/2555) rappresenta l'evoluzione del framework europeo per la cyber-resilienza, mirando a innalzare il livello di sicurezza delle reti e dei sistemi informativi in settori critici. In ambito privacy, essa agisce in sinergia con il GDPR, trasformando la sicurezza informatica in un presupposto tecnico per la protezione dei dati personali. La normativa impone alle entità (distinte in "essenziali" e "importanti") l'adozione di misure tecnico-organizzative basate sulla gestione del rischio, tra cui l'implementazione di sistemi di crittografia, l'autenticazione a più fattori (MFA) e la sicurezza della supply chain.
Dal punto di vista tecnico, la NIS 2 introduce obblighi stringenti di incident reporting, imponendo la notifica di minacce significative entro 24-72 ore, garantendo così una risposta coordinata alle violazioni che potrebbero compromettere l'integrità e la riservatezza dei dati. Questo approccio olistico non tutela solo il singolo dato, ma l'intero ecosistema digitale in cui esso transita, mitigando i rischi derivanti da attacchi sistemici e garantendo la business continuity attraverso procedure di backup, disaster recovery e monitoraggio continuo delle vulnerabilità.
Punti chiave della NIS 2 rispetto alla Privacy:
- Complementarità al GDPR: Mentre il GDPR si concentra sui diritti dell'interessato, la NIS 2 si focalizza sulla robustezza delle infrastrutture che ospitano i dati.
-Approccio Multilivello: Introduce standard tecnici minimi obbligatori per evitare "anelli deboli" nella catena di fornitura.
-Governance del Rischio: Sposta la responsabilità sui vertici aziendali, che devono approvare e supervisionare le misure di sicurezza adottate.
-Cyber Hygiene: Promuove pratiche fondamentali come l'aggiornamento software costante, la formazione del personale e la segmentazione delle reti.