Direttiva NIS2 — Cosa devono sapere i DPO

La NIS2 si applica a due categorie di soggetti: soggetti essenziali e soggetti importanti. I soggetti essenziali includono settori come energia, trasporti, banche, infrastrutture dei mercati finanziari, sanita, acqua potabile, acque reflue, infrastrutture digitali, gestione dei servizi ICT e pubblica amministrazione. I soggetti importanti coprono settori quali servizi postali, gestione dei rifiuti, manifattura, produzione alimentare, chimica e fornitori digitali. Le soglie dimensionali sono chiare: le organizzazioni con 50+ dipendenti o un fatturato annuo di 10+ milioni di EUR in questi settori rientrano automaticamente nel campo di applicazione. Tuttavia, alcuni soggetti vi rientrano indipendentemente dalle dimensioni — come i fornitori di servizi DNS, i registri TLD e i fornitori di reti di comunicazione elettronica pubblica. Per i DPO, questo significa che molti dei Suoi clienti esistenti potrebbero ora avere obblighi NIS2 in aggiunta ai requisiti GDPR. Identificare proattivamente quali clienti rientrano nella NIS2 La posiziona come un consulente strategico di valore, non solo un adempimento formale.

La NIS2 richiede alle organizzazioni interessate di implementare un insieme completo di misure di gestione del rischio di cybersecurity. Queste includono: politiche di analisi dei rischi e sicurezza dei sistemi informativi, procedure di gestione degli incidenti, continuita operativa e gestione delle crisi, sicurezza della catena di fornitura, sicurezza nell'acquisizione, sviluppo e manutenzione dei sistemi informatici, politiche per la valutazione dell'efficacia delle misure di cybersecurity, pratiche di igiene informatica di base e formazione, politiche sull'uso della crittografia, sicurezza delle risorse umane, controllo degli accessi e gestione degli asset. Le organizzazioni devono inoltre segnalare gli incidenti significativi alla propria autorita nazionale entro 24 ore per un'allerta precoce, 72 ore per una notifica completa e un mese per un rapporto finale. Questo obbligo di segnalazione a tre livelli e piu rigoroso della notifica di violazione di 72 ore del GDPR e richiede procedure di risposta agli incidenti ben preparate. La sovrapposizione tra le misure di sicurezza NIS2 e l'Articolo 32 del GDPR (sicurezza del trattamento) e sostanziale. I DPO che gia consigliano i clienti sulle misure tecniche e organizzative ai sensi del GDPR sono ben posizionati per estendere questa consulenza alla conformita NIS2.

Il cambiamento piu significativo introdotto dalla NIS2 e la responsabilita personale della dirigenza. L'Articolo 20 richiede che gli organi direttivi approvino e supervisionino l'implementazione delle misure di cybersecurity. Devono inoltre seguire formazioni sulla cybersecurity. Aspetto importante: gli organi direttivi possono essere ritenuti personalmente responsabili per le violazioni. Le sanzioni previste dalla NIS2 sono consistenti: fino a 10 milioni di EUR o il 2% del fatturato annuo globale per i soggetti essenziali, e fino a 7 milioni di EUR o l'1,4% del fatturato globale per i soggetti importanti. Queste si aggiungono — non sostituiscono — le sanzioni GDPR. Questo aspetto della responsabilita personale e cio che genera urgenza tra i dirigenti. Come DPO, puo utilizzare questo argomento per ottenere budget e attenzione per progetti di conformita che altrimenti verrebbero deprioritizzati. I membri del consiglio di amministrazione che prima consideravano il GDPR come un centro di costo sono improvvisamente molto interessati alla conformita quando i loro beni personali sono a rischio.

Come DPO esterno, Lei ha gia una conoscenza approfondita del panorama di trattamento dei dati dei Suoi clienti, delle misure di sicurezza e della struttura organizzativa. Questo La rende il consulente naturale per la conformita NIS2 — non deve partire da zero. Inizi mappando la sovrapposizione tra i requisiti GDPR e NIS2. Molte delle misure tecniche e organizzative che i Suoi clienti hanno gia per il GDPR (crittografia, controlli degli accessi, procedure di risposta agli incidenti) soddisfano direttamente i requisiti NIS2. Documenti questa sovrapposizione per mostrare ai clienti che non partono da zero. Offra valutazioni di preparazione NIS2 come servizio aggiuntivo. Una checklist strutturata che copre tutti gli obblighi NIS2, confrontata con cio che il cliente ha gia in atto, fornisce valore immediato e La posiziona per il monitoraggio continuo della conformita. Utilizzi uno strumento che supporti sia GDPR che NIS2 in un dashboard unificato. Mantenere sistemi separati per la conformita GDPR e la preparazione NIS2 raddoppia il Suo carico di lavoro e rende piu difficile identificare le sinergie. Trustee.eu combina entrambi in un'unica vista, cosi puo fornire consulenza olistica.