norppa.io
Guide

Guida NIS2 · 9 min

GDPR vs NIS2: sovrapposizioni, differenze e quando un incidente attiva entrambi

GDPR e NIS2 toccano entrambi la sicurezza e comportano entrambi sanzioni pesanti, perciò vengono confusi, ma proteggono cose diverse e rispondono ad autorità diverse. Il rischio non è scegliere quello sbagliato; è non accorgersi che un singolo incidente può attivare entrambi, con tempistiche diverse. Questa guida traccia il confine, mostra le sovrapposizioni, spiega l'interazione (cooperazione e nessuna doppia sanzione) e dà una risposta netta ai team che servono clienti soggetti a entrambi.

Punti chiave

  • Il GDPR protegge i dati personali e si applica a quasi ogni organizzazione; NIS2 protegge la resilienza informatica e si applica solo ai soggetti essenziali e importanti designati.
  • Un incidente può richiedere due notifiche: una notifica di violazione dei dati personali alla vostra autorità di controllo entro 72 ore (GDPR art. 33) e una relazione al vostro CSIRT a 24h/72h/un mese (NIS2 art. 23).
  • Sono pensati per integrarsi: le autorità cooperano (NIS2 art. 35) e non si è sanzionati due volte per la stessa condotta, ma valutate e notificate comunque secondo ciascuno dove si applica.

Cosa regola ciascuno

GDPR e NIS2 sono entrambi atti dell'UE che toccano la sicurezza, e vengono confusi, ma proteggono cose diverse. Il GDPR protegge i dati personali; NIS2 protegge la continuità e la sicurezza dei servizi essenziali. Un'organizzazione può facilmente essere soggetta a entrambi insieme.

La distinzione più netta: il GDPR chiede «proteggete i dati personali delle persone?» e si applica a quasi ogni organizzazione che li tratta. NIS2 chiede «la vostra organizzazione è resiliente sul piano operativo e informatico?» e si applica solo ai soggetti essenziali e importanti designati in settori specifici.

GDPR: dati personali, quasi tutti

Regolamento (UE) 2016/679, applicabile dal 2018. Disciplina il trattamento dei dati personali da parte di titolari e responsabili: base giuridica, diritti degli interessati e sicurezza del trattamento (art. 32). Applicato dalle autorità di protezione dei dati.

NIS2: cybersicurezza, soggetti designati

Direttiva (UE) 2022/2555, recepita nel diritto nazionale (termine 17 ottobre 2024). Disciplina la gestione del rischio di cybersicurezza (art. 21) e la notifica degli incidenti (art. 23) per i soggetti essenziali e importanti. Applicata dalle autorità nazionali di cybersicurezza e dai CSIRT.

La trappola: un incidente, due notifiche

Una sola violazione può attivare entrambi i regimi: ad autorità diverse, con tempistiche diverse. Conoscete entrambi:

GDPR art. 33

Se un incidente di sicurezza riguarda dati personali, notificate alla vostra autorità di controllo senza ingiustificato ritardo e, ove possibile, entro 72 ore dalla conoscenza: a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone.

NIS2 art. 23

Se è un incidente significativo, inviate al vostro CSIRT un preallarme entro 24 ore, una notifica entro 72 ore e una relazione finale entro un mese.

Entrambi insieme

Un attacco ransomware che cifra dati personali è, simultaneamente, un incidente significativo NIS2 e una violazione di dati personali GDPR: due adempimenti, due autorità, due tempistiche.

Dove si sovrappongono

Attuatene bene uno e parti dell'altro seguono. Entrambi richiedono:

  • Sicurezza del trattamento / misure di gestione del rischio: controlli tecnici e organizzativi proporzionati.
  • Notifica di incidente o violazione entro tempistiche definite, con documentazione di cosa è accaduto e di come avete risposto.
  • Responsabilità: la dirigenza deve farsene carico, ed entrambi i regimi comportano sanzioni amministrative significative.
  • Registri e prove: dovete poter dimostrare, non solo affermare, che i controlli esistono e funzionano.
  • Garanzia sulle terze parti: GDPR tramite contratti con i responsabili (art. 28), NIS2 tramite sicurezza della supply chain (art. 21(2)(d)).

L'interazione chiave: cooperazione e nessuna doppia sanzione

NIS2 è stato scritto per integrarsi con il GDPR, non per duplicarlo. Ai sensi dell'articolo 35 di NIS2, quando un'autorità di cybersicurezza viene a conoscenza che un incidente presso un soggetto può comportare una violazione di dati personali notificabile ai sensi dell'art. 33 del GDPR, deve informare l'autorità di protezione dei dati senza ingiustificato ritardo. Le due autorità cooperano e si scambiano informazioni.

Fondamentale: non si è sanzionati due volte per la stessa condotta. Quando un'autorità di protezione dei dati impone una sanzione GDPR per una violazione, l'autorità NIS2 non può imporre anche una sanzione NIS2 (art. 34) derivante dalla stessa condotta. Ma è una tutela contro la doppia sanzione per un atto: non fonde i due obblighi. Continuate a valutare, documentare e notificare secondo ciascun regime dove si applica.

Quali obblighi si applichino dipende dai fatti: erano coinvolti dati personali, e siete un soggetto essenziale o importante? Confermate i dettagli presso la vostra autorità di protezione dei dati, la vostra autorità nazionale di cybersicurezza e una consulenza qualificata.

Quale si applica a voi?

La maggior parte delle organizzazioni risponde a uno; molte a entrambi:

Trattate dati personali ma non siete un soggetto essenziale/importante

Il GDPR si applica; NIS2 non si applica direttamente: sebbene la due diligence sulla supply chain di un cliente NIS2 possa comunque raggiungervi tramite i vostri contratti.

Siete un soggetto essenziale/importante che tratta pochi dati personali

NIS2 si applica integralmente; il GDPR si applica ai dati personali che trattate (dipendenti, clienti).

Siete soggetti a entrambi (il caso comune)

Gestite un unico processo di risposta agli incidenti che soddisfi entrambe le tempistiche: la vostra autorità di protezione dei dati entro 72 h per le violazioni di dati, il vostro CSIRT sul binario 24h/72h/un mese per gli incidenti significativi.

Siete fornitori o responsabili del trattamento

Aspettatevi sia clausole GDPR per i responsabili (art. 28) sia esame NIS2 della supply chain (art. 21(2)(d)) dai vostri clienti: questionari, richieste di prove e monitoraggio continuo.

Fonti: Regolamento (UE) 2016/679 (GDPR) e direttiva (UE) 2022/2555 (NIS2), in particolare l'art. 35 sull'interazione con il GDPR. Confermate come entrambi si applicano alla vostra situazione presso la vostra autorità di protezione dei dati e la vostra autorità nazionale di cybersicurezza.

Come aiuta norppa.io

Entrambi i regimi ora si attendono una garanzia continua e supportata da prove su fornitori e responsabili del trattamento: GDPR tramite la vigilanza sui responsabili (art. 28), NIS2 tramite la sicurezza della supply chain (art. 21(2)(d)). norppa.io monitora ogni dominio fornitore su più di cento punti di controllo ogni giorno, con ogni rilievo associato all'articolo NIS2 interessato ed esportabile per i vostri registri.

I questionari di autovalutazione colgono i controlli contrattuali e di processo che né un'autorità di protezione dei dati né un revisore di cybersicurezza vedono dall'esterno, e ogni risposta viene affiancata al profilo tecnico in tempo reale: così che, sia che la domanda arrivi dal lato protezione dei dati sia da NIS2, possiate mostrare prove attuali e corroborate anziché affermazioni.

Un'unica fonte di prove sui fornitori per entrambi i regimi

Guardate un rapporto fornitore di esempio (rilievi, mappatura degli articoli e prove) in circa due minuti.

Vedi rapporto di esempio
Guarda la dashboard di esempio

Guide correlate

Come conformarsi a NIS2: una roadmap passo dopo passo

I passi verso la conformità NIS2 in ordine: confermare l'ambito, registrarsi, responsabilità della dirigenza (art. 20), le misure dell'art. 21(2), sicurezza della supply chain, notifica degli incidenti (art. 23) e garanzia continua e dimostrata.

Chi rientra nell'ambito di NIS2? Soggetti essenziali e importanti, settori e soglie dimensionali

Stabilisci se NIS2 ti riguarda: i due livelli, i settori degli allegati I/II, le soglie dimensionali, le eccezioni indipendenti dalla dimensione e come la supply chain ti coinvolge anche senza designazione.

NIS2 e il requisito della supply chain: cosa significa nella pratica

NIS2 obbliga i soggetti essenziali e importanti a valutare i rischi informatici della loro supply chain. Classificazione dei fornitori, rischio di quarta parte, notifica Art. 23 e cosa cercano i revisori.

Valutazione del rischio informatico dei fornitori: cosa verifica il monitoraggio NIS2 automatizzato

Tutte le categorie di controllo spiegate: ransomware, fughe dark web, TLS/DNSSEC, sicurezza dei cookie, CVE/EPSS, sanzioni, blacklist MX e SAQ. Ciclo di vita dei risultati e mappatura degli articoli NIS2.

NIS2 Art. 21(2): checklist di sicurezza per fornitori

Checklist per i team di approvvigionamento e sicurezza: cosa chiedere, quali prove raccogliere e come rispondere quando un fornitore non soddisfa i requisiti. Include documenti di prova suggeriti.

Questionario fornitori NIS2 (SAQ): cosa chiedere, come valutarlo e un modello gratuito

Cosa chiedere ai fornitori ai sensi dell'art. 21(2)(d), come valutare le risposte e gestire le lacune, perché l'autodichiarazione va verificata, e un modello gratuito.

Notifica degli incidenti NIS2: le scadenze di 24 e 72 ore spiegate

Cosa è un incidente significativo, il calendario dell'articolo 23 (preallarme a 24 h, notifica a 72 h, relazione finale a un mese) e quando l'incidente di un fornitore diventa il tuo obbligo.

NIS2 e la responsabilità della dirigenza: cosa devono sapere consiglio e vertici

Cosa si aspetta NIS2 dall'organo di gestione: doveri di approvazione e vigilanza, responsabilità personale (art. 20), formazione, KPI di reporting al consiglio e sanzioni dell'art. 34.

ISO 27001 e NIS2: cosa copre già il tuo SGSI, e le lacune che restano

Se hai la ISO 27001: cosa si riporta su NIS2 e cosa no (notifica di legge, responsabilità della dirigenza, registrazione e assicurazione continua) e come colmare la lacuna.

NIS2 vs DORA: differenze, sovrapposizioni e quale si applica a te

In cosa differiscono e si sovrappongono i due regimi UE, perché DORA è lex specialis per i soggetti finanziari, quale si applica a te, e cosa significano entrambi per il rischio terze parti.

Il Cyber Resilience Act dell'UE (CRA): ambito, calendario e cosa significa per la vostra supply chain

Cosa richiede il CRA, le sue date scaglionate (in vigore 2024, notifica set 2026, piena conformità dic 2027), chi rientra nell'ambito e perché il SaaS puro spesso no, come integra NIS2 e cosa significa per gli acquisti e la due diligence sui fornitori.

Il regolamento UE sull'IA: livelli di rischio, calendario e cosa devono fare i deployer (articolo 26)

Cosa richiede il regolamento UE sull'IA: i livelli di rischio, le date scaglionate (in vigore 2024, vietato feb 2025, GPAI ago 2025, alto rischio ago 2026), gli obblighi del deployer dell'art. 26, come si combina con NIS2 e il GDPR, e cosa significa per l'acquisto di IA.