Ok definitivo dal Consiglio dei Ministri al decreto legislativo che recepisce la direttiva NIS 2

Privacy e cibersicurezza a braccetto. Ma si applica il ne bis in idem delle sanzioni in caso di data breach. Le imprese e le pubbliche amministrazioni, tenute agli adempimenti di cibersicurezza, devono anche osservare gli obblighi del Gdpr, tra cui la notifica del data breach al Garante della privacy.

Ma in caso di illeciti non c’è doppia punizione: per la trasgressione delle misure di gestione dei rischi informatici, qualificabile come data breach, si applicano solo le sanzioni irrogate dal Garante privacy. È quanto prevede il decreto legislativo di recepimento della direttiva (UE) 2022/2555 (NIS 2), relativa a misure per un livello comune elevato di cibersicurezza nell’Unione europea, approvato in via definitiva dal Consiglio dei Ministri del 7 agosto 2024.

Disciplina ferma – In effetti, l’articolo 2 del decreto legislativo cibersicurezza è perentorio nell’affermare che resta ferma la disciplina in materia di protezione dei dati personali prevista dal regolamento (UE) 2016/679 e dal codice della privacy (d.lgs. 196/2003). Le imprese e pubbliche amministrazioni, obbligate agli adempimenti disposti dal d.lgs. cibersicurezza, sono, dunque, sottoposte a un duplice regime di condotte vincolanti, che rischiano di sovrapporsi in più punti: dalla valutazione e gestione dei rischi alla notificazione di incidenti informatici. Da un punto di vista generale, tuttavia, i due settori possono essere distinti per il fatto che il Gdpr e il codice della privacy si occupano dei dati personali (cioè delle informazioni riferite o riferibili a persone fisiche identificate o identificabili), mentre il sistema della cibersicurezza riguarda la funzionalità di servizi e reti in maniera complessiva e, quindi, non solo limitatamente ai dati personali. I due comparti sono comunque connessi, come dimostra lo stesso articolato del d.lgs. cibersicurezza.

La clausola di salvezza – Innanzi tutto, si consideri la clausola di salvezza del citato articolo 2, dalla quale discende che imprese e PA devono produrre l’apparato documentale richiesto dal Gdpr e ciò in aggiunta con i compiti loro assegnati dal d.lgs. cibersicurezza. Certamente ci sarà, di fatto, un collegamento tra i vari adempimenti e quanto elaborato per la cibersicurezza potrà essere usato anche per la produzione dei documenti in attuazione della normativa sulla privacy. Il successivo art. 14 del d.lgs. cibersicurezza fornisce alcune regole di coordinamento tra Garante privacy e Autorità nazionale competente NIS (Network and Information Security).

Profili di coordinamento – Un primo profilo del coordinamento concerne la cooperazione tra le citate autorità nei casi di incidenti che comportano violazioni di dati personali, ai sensi del Gdpr e ciò senza pregiudicare la competenza e i compiti di controllo disciplinati dal Gdpr stesso. L’articolo 14, poi, prescrive che quando l’Autorità nazionale competente NIS, in sede di vigilanza o di esecuzione, viene a conoscenza del fatto che la violazione degli obblighi di predisporre misure di gestione dei rischi per la sicurezza informatica (art. 24 d.lgs, in commento) da parte di un soggetto essenziale o importante possa comportare una violazione dei dati personali, da notificare ai sensi dell’art. 33 del Gdpr, e cioè quando possa comportare un data breach, l’autorità cibersicurezza deve informare senza indebito ritardo il Garante della privacy.

Ne bis in idem – Il risultato di questo corpo normativo è l’esposizione di imprese e PA a una doppia vigilanza. Peraltro, lo stesso art. 14 citato chiarisce che qualora il Garante della privacy imponga una sanzione amministrativa pecuniaria ai sensi del Gdpr, l’Autorità nazionale competente NIS non irrogherà le sanzioni amministrative pecuniarie previste dell’art. 38 d.lgs. cibersicurezza per una violazione relativa alla gestione dei rischi per la sicurezza informatica, imputabile al medesimo comportamento. L’Autorità NIS potrà, tuttavia, intervenire per ripristinare una situazione adeguata di gestione dei rischi.

Fonte: Italia Oggi