NIS2: gli adempimenti da svolgere in sinergia con il GDPR

Il GDPR (Regolamento UE 2016/679) e la Direttiva NIS2, recepita in Italia con il D.Lgs. 138/2024 impongono entrambi obblighi stringenti, ma con logiche profondamente diverse in tema di responsabilità. Molti degli adempimenti richiesti dalla nuova disciplina sulla cybersicurezza si sovrappongono – e in parte coincidono – con quelli già previsti dal GDPR. Eppure, nella pratica, le due normative rischiano di essere gestite come compartimenti stagni, con duplicazione di costi, documenti e processi.

L’approccio basato sul rischio

Sia il GDPR sia la NIS2 adottano un approccio fondato sulla valutazione del rischio, dinamico e proporzionato. Ad esempio, una struttura sanitaria che tratta dati particolari ex art. 9 GDPR e al contempo eroga servizi essenziali, l’analisi del rischio può e deve essere unica. Una DPIA condotta ai sensi dell’art. 35 GDPR, se correttamente strutturata, copre già gran parte della valutazione richiesta dall’art. 24, comma 1, del D.Lgs. 138/2024, purché venga integrata con la dimensione della continuità del servizio e della resilienza operativa.

Questo è particolarmente rilevante per i fabbricanti di dispositivi medici, i quali – ai sensi dell’Allegato I, punto 17.2, del Regolamento MDR – devono già garantire la sicurezza informatica dei propri prodotti. Integrare la cybersecurity risk analysis richiesta dalla NIS2 con quella imposta dal MDR e con la DPIA GDPR è da un lato efficiente, dall’altro dal punto di vista della coerenza del sistema di gestione.

Le misure di sicurezza

L’art. 24, comma 2, del D.Lgs. 138/2024 elenca dieci ambiti di misure minime, tra cui cifratura, gestione degli accessi, continuità operativa e sicurezza della catena di approvvigionamento. Chi conosce il GDPR riconoscerà in questo elenco presidi già familiari. La cifratura dei dati a riposo e in transito è tanto una misura “adeguata” ex art. 32 GDPR quanto un requisito delle specifiche di base ACN. Lo stesso dicasi per l’autenticazione multifattore (MFA), la segmentazione della rete e la gestione dei log.

La Determina ACN n. 379907/2025 struttura queste misure secondo il Framework Nazionale per la Cybersecurity e la Data Protection (edizione 2025), già nato con l’intento di unificare la prospettiva security e quella privacy. Utilizzare questo framework come riferimento unico per la documentazione interna consente di evitare la proliferazione di policy, procedure e registri distinti per NIS2 e GDPR.

Le notifiche di incidente

Questo è forse il punto più critico: un incidente informatico che coinvolge dati personali attiva simultaneamente due obblighi di notifica: quello verso il CSIRT Italia ai sensi dell’art. 25 del D.Lgs. 138/2024 (pre-notifica entro 24 ore, notifica completa entro 72 ore, relazione finale entro un mese) e quello verso il Garante per la protezione dei dati personali ai sensi dell’art. 33 GDPR (notifica entro 72 ore dalla conoscenza della violazione).

Le tempistiche sono simili ma non coincidenti, i destinatari sono diversi, i criteri di qualificazione dell’evento differiscono (“incidente significativo” per la NIS2, “violazione dei dati personali” per il GDPR). È pertanto opportuno disporre di un’unica procedura integrata di incident & data breach management che preveda: un flusso di classificazione congiunto dell’evento, un’analisi simultanea dell’impatto sui servizi (NIS2) e dell’impatto sui dati personali (GDPR), e un coordinamento tra il Referente CSIRT (figura designata obbligatoriamente entro il 31 dicembre 2025 ai sensi della Determina ACN n. 333017/2025) e il DPO, se nominato.

Se poi l’incidente coinvolge un dispositivo medico connesso, si attiverà anche l’obbligo di vigilanza del fabbricante ai sensi degli artt. 87-92 del Regolamento MDR, con segnalazione all’Autorità competente (Ministero della Salute) tramite il sistema Eudamed. Per un unico evento vige quindi un obbligo di tre notifiche a tre autorità differenti: senza un processo integrato, il rischio di ritardi e incoerenze è concreto.

Gestione della supply chain

La gestione della catena di approvvigionamento è un punto di convergenza particolarmente rilevante. L’art. 24, comma 2, lett. d) del D.Lgs. 138/2024 include espressamente la sicurezza della supply chain tra le misure obbligatorie. Parallelamente, l’art. 28 del GDPR impone al titolare del trattamento di ricorrere unicamente a responsabili che presentino “garanzie sufficienti” in termini di misure tecniche e organizzative.

Nel contesto sanitario, la distinzione va approfondita. Ad esempio, il fornitore del LIS (Laboratory Information System) o del RIS/PACS è tipicamente sia responsabile del trattamento ex art. 28 GDPR, sia fornitore critico ai fini NIS2. In questi casi, il contratto già in essere per la nomina a responsabile può essere integrato con un addendum specifico NIS2, evitando la redazione di due strumenti contrattuali distinti. Diversamente, per fornitori che non trattano dati personali ma da cui dipende la continuità delle cure (si pensi alla manutenzione dei gas medicali o agli impianti HVAC delle sale operatorie), la NIS2 richiede presidi contrattuali che il GDPR, da solo, non copre.

Governance e responsabilità degli organi direttivi

L’art. 23 del D.Lgs. 138/2024 introduce un obbligo che non ha precedenti nel panorama della cybersicurezza italiana: gli organi di amministrazione e direttivi devono approvare le modalità di implementazione delle misure, sorvegliarne l’attuazione e rispondere personalmente in caso di violazione. Devono, inoltre, completare una formazione specifica in materia di cybersicurezza entro ottobre 2026.

Questo regime di responsabilità richiama, per struttura e finalità, il modello già sperimentato con il GDPR in tema di accountability (art. 5, par. 2, e art. 24 GDPR), dove il titolare del trattamento deve essere in grado di dimostrare la conformità. L’integrazione tra i due sistemi di governance è necessaria e, ad esempio, nelle strutture sanitarie dove già opera un DPO designato ai sensi dell’art. 37 GDPR, è opportuno un raccordo tra DPO, CISO e Referente CSIRT.