DIRETTIVA NIS 7 - Confronto con il GDPR: commenti e valutazioni

Lunedì, 24 Giugno 2019

Emessi nello stesso periodo, il GDPR e la direttiva NIS sono molto diversi ma possono risultare nella pratica parzialmente sovrapponibili. Di seguito elenchiamo alcune similarità e differenze.

  • Il GDPR si occupa di regolamentare il trattamento di dati personali, intesi come riguardanti persone fisiche (non giuridiche) identificate o identificabili.
  • La Direttiva NIS stabilisce misure volte a conseguire un livello comune elevato di sicurezza della rete e dei sistemi informativi nell'Unione così da migliorare il funzionamento del mercato interno; riguarda esclusivamente persone giuridiche.

E’ possibile, anzi frequente negli FSD, che attacchi ai sistemi critici di un paese possano provocare, fra gli effetti, violazioni di dati personali.

  • Ambito di applicazione territoriale:
    • Il GDPR si applica al caso in cui
      • il trattamento si effettua in Europa, dovunque sia ubicato il titolare o responsabile (anche extra UE)
      • il titolare o responsabile sia in Europa, dovunque sia effettuato il trattamento (anche extra UE)
      • il trattamento viene effettuatoin un qualsiasi luogo del mondo soggetto al diritto di uno Stato membro UE in virtù del diritto internazionale pubblico.
    • La direttiva NIS si applica ai soli OSE e FSD operanti in Europa. Un FSD che non è stabilito nell'Unione, ma offre servizi all'interno dell'Unione, ha l’obbligo di designare un rappresentate in un paese dell'Unione, alla cui giurisdizione viene considerato soggetto.
  • Misure di sicurezza. Entrambi richiedono impegni proporzionati ai rischi da affrontare ma con qualche peculiarità.
    • Il GDPR ritiene che il titolare e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.
    • La direttiva NIS richiede che gli operatori di servizi essenziali adottino misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza delle reti e dei sistemi informativi che usano nelle loro operazioni. Tenuto conto delle conoscenze più aggiornate in materia, dette misure assicurano un livello di sicurezza della rete e dei sistemi informativi adeguato al rischio esistente.

Considerato che stato dell’arte è paragonabile a conoscenze più aggiornate, si deduce che l’impegno richiesto per la sicurezza delle infrastrutture critiche possa essere superiore rispetto a quello per la salvaguardia dei dati personali, visto che quest’ultimo può essere mitigato dai costi di di attuazione.

  • Notifica delle violazioni. Esistono procedure parallele di notifica ma entrambe basate sull’obbligo.
    • Il GDPR richiede che il titolare del trattamento notifichi la violazione all'autorità di controllo competente (Garante per la protezione dei dati personali in Italia) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza.
    • La direttiva NIS richiede che gli OSE e FSD notifichino senza indebito ritardo all'autorità competente o al CSIRT qualsiasi incidente avente un impatto rilevante sulla fornitura dei propri servizi.
  • Estensione giuridica di applicazione:
    • Il GDPR si applica a tutti gli operatori economici, comprese le micro, piccole e medie imprese
    • Alcune misure della direttiva NIS non si applicano se gli FSD sono micro o piccole imprese, secondo la definizione della raccomandazione 2003/361/CE della Commissione
  • Sanzioni:
    • Il GDPR stabilisce, a seconda dei casi, due fasce per limiti massimi delle sanzioni amministrative
      • 10 M€ o il 2% del fatturato mondiale
      • 20 M€ o il 4% del fatturato mondiale

delegando alla legge di adeguamento la più dettagliata definizione degli importi

  • la direttiva NIS non stabilisce alcun importo delegando ogni dettaglio alla legge di recepimento.

Curiosità: la direttiva NIS, emessa il 6 luglio 2016, afferma che il trattamento di dati personali viene effettuato ai sensi della direttiva 95/46/CE, nonostante il nuovo GDPR (che abroga la direttiva 95/46/CE) sia stato emesso il 27 aprile 2016 ma andato in vigore il 25 maggio 2018. Lo stesso decreto legislativo 65 del 18 maggio 2018, di recepimento della direttiva NIS, fa riferimento, per il trattamento dei dati personali, al decreto legislativo 30 giugno 2003, n. 196, e successive modificazioni.

Conclusioni: luci ed ombre.

La direttiva NIS rappresenta un grande passo avanti nella difesa delle infrastrutture dei paesi dell’UE. Essa ci rende consapevoli che le possibili guerre del futuro, se dovessero verificarsi, non si combatteranno più con armi di terra, cielo o mare. Le infrastrutture potrebbero essere bombardate da attacchi informatici che le paralizzerebbero e con esse le popolazioni che ne usufruiscono dei servizi.

L’Italia è fra i primi paesi a dare concretamente seguito alla direttiva, insieme a Germania e Regno Unito.

Purtroppo ancora tanto rimane da fare.

Il sito del CSIRT è fermo da mesi senza alcuna implementazione e novità.

Inoltre si conosce dai giornali che sono stati identificati ben 465 OSE in Italia e che entro la fine di gennaio le imprese, pubbliche o private, interessate come OSE o FSD. Ma il nome di queste imprese non è stato reso pubblico in quanto la lista è stata secretata per ragioni di sicurezza. Questa decisione appare alquanto discutibile poichè riduce quella trasparenza che la direttiva ha di fatto sollevato.

Ultima considerazione, ma non di importanza, riguarda l’apparato della pubblica amministrazione. E’ vero che essa ha normative di protezione e sicurezza definite e separate ma se fosse stata inserita nel novero degli Operatori dei Servizi Essenziali degli stati UE si avrebbe avuto un quadro effettivo e completo delle strutture critiche su cui uniformare l’attenzione di una direttiva europea che si occupa di Network and Information Security.

Dove siamo

Sinergetica Consulting srl
Via Salaria, 292 - 00199 Roma
Informativa Privacy Sito
Cookie Policy
Note legali