GDPR (Regolamento europeo 2016/679) e Direttiva NIS (Direttiva UE 2016/1148) sono due provvedimenti sicuramente molto diversi fra loro, sia nei contenuti che nelle finalità; sono, tuttavia, complementari e richiedono strategie unitarie da parte delle imprese.
Ci siamo spesso soffermati sul primo, che si occupa delle nuove regole sulla protezione dei dati personali, ma esaminiamo la seconda Direttiva - la cui attuazione è passata con decreto al Consiglio dei Ministri il 16 maggio scorso, in G.U. dal 9 giugno ed è andata in vigore il 26 giugno – non meno importante, che rappresenta il primo insieme di regole sulla sicurezza informatica univoco a livello europeo.
L’obiettivo della Direttiva NIS (Network and Information Security) è la tutela delle reti e dei sistemi informativi e si rivolge agli operatori di servizi essenziali e ai fornitori di servizi digitali.
I punti fondamentali della direttiva NIS sono:
- Migliorare la sicurezza informatica dei singoli Stati dell’Unione;
- Aumentare il livello di cooperazione tra gli Stati dell’Unione;
- Obbligare gli operatori di servizi essenziali e i fornitori di servizi digitali alla gestione dei rischi.
In merito al primo punto, secondo la Direttiva, ogni Stato dovrà dotarsi di una strategia nazionale che espliciti obiettivi, priorità, governance, stakeholder, individuazione di misure specifiche di recovery, campagne di sensibilizzazione, formazione ed istruzione.
Il secondo punto prevede un gruppo di cooperazione composto da rappresentati degli Stati membri che faciliti i rapporti tra gli Stati membri che si occuperà di pianificare, segnalare e condividere ogni eventuale criticità.
Per quanto riguarda il terzo punto, la Direttiva obbliga gli operatori di servizi essenziali (identificati da ciascun Stato membro all’interno dei seguenti ambiti: acqua, banche, salute, trasporti, infrastrutture digitali, energia) a dotarsi di misure di sicurezza per la prevenzione dei rischi, a garantire la sicurezza dei sistemi e delle informazioni, a gestire gli incidenti e notificare all’autorità nazionale competente quelli più gravi.
Anche i fornitori di servizi digitali (i negozi on-line, i servizi di cloud e i motori di ricerca) dovranno attuare misure di sicurezza adeguate e comunicare incidenti significativi, garantire la sicurezza dei sistemi, la continuità operativa e la conformità alle norme internazionali. Non rientrano in questa categoria le piccole e medie imprese.
E’ importante mettere in luce come, sia il GDPR che la NIS, rientrano nella logica dell’accountability, ovvero, gli attori coinvolti, per essere esonerati da responsabilità, dovranno dimostrare di aver previsto nel proprio modello organizzativo, e aver conseguentemente adottato, le misure idonee ad impedire la commissione dei reati.