La gestione degli incidenti informatici non è più un tema soltanto tecnico. La convergenza tra GDPR e NIS2 per passare dalla compliance alla resilienza
Con la maturità del GDPR e l’entrata a regime della Direttiva NIS2 (primo obbligo da gennaio 2026, notifica incidenti informatici), ogni evento cyber ha un doppio riflesso: tutela dei diritti delle persone e continuità dei servizi essenziali. Per questo le organizzazioni – soprattutto nei settori critici – stanno convergendo verso un unico processo operativo che integra triage, valutazione del rischio e notifiche regolatorie. È un passaggio culturale prima ancora che procedurale: significa far lavorare come un’unica squadra SOC/IT, DPO, Ufficio Legale e vertici aziendali, traducendo in decisioni rapide ciò che le norme già chiedono.
Nel linguaggio comune si confonde “incidente” con “data breach”. In realtà il data breach è la violazione che coinvolge dati personali ed è quindi nel perimetro del GDPR. Mentre l’incidente di cybersicurezza in NIS2 è più ampio e include ogni evento che compromette disponibilità, autenticità, integrità o riservatezza di dati o servizi, fino a includere i quasi‑incidenti (“near miss”) da cui imparare prima del danno.
Parlare la stessa lingua accelera il coordinamento e riduce gli errori di classificazione nelle prime ore. La governance integrata è il cuore della convergenza. Il DPO e l’Ufficio Legale/Privacy valutano se l’evento costituisce data breach e, se del caso, gestiscono notifica al Garante e comunicazioni agli interessati. L’Incident Response Team/CISO guida contenimento, eradicazione e ripristino; il Crisis Management Team si attiva solo per impatti gravi. Il triage deve guardare lo stesso fatto con due lenti. Lente Privacy: probabilità e gravità dell’impatto su diritti e libertà delle persone fisiche, che orienta la notifica al Garante e la comunicazione agli interessati. Lente NIS2: impatto su continuità del servizio, estensione geografica, durata e potenziali effetti a catena lungo la supply chain per la comunicazione al CSIRT Italia (Computer Security Incident Response Team).
Una singola scheda di valutazione con due colonne – “persone” e “servizi” – evita rielaborazioni e mismatch tra flussi. Qui gli orologi vanno sincronizzati. GDPR: notifica all’Autorità entro 72 ore da quando si viene a conoscenza del data breach; comunicazione agli interessati “senza ingiustificato ritardo” se il rischio è elevato. NIS2: le aziende devono notificare gli incidenti “significativi” entro 24 ore dalla scoperta, con una relazione completa entro 72 ore e una finale entro un mese.
Il playbook unificato può seguire dieci passi essenziali: rilevazione e ingaggio (SOC/IT avvisano IRT e Privacy); contenimento rapido; conservazione delle evidenze (forensics‑ready); classificazione (security incident vs data breach); doppia valutazione del rischio; decisione sulle notifiche (Garante/ACN/CSIRT e stakeholder esterni); comunicazioni coordinate; ripristino (BCP/DR); post‑incident review; documentazione e registro.
La supply chain è un moltiplicatore di rischio: un incidente può propagarsi rapidamente, impattando al tempo stesso continuità del servizio (NIS2) ed esposizione di dati personali (GDPR). Le fragilità più comuni? Visibilità parziale sui subfornitori, gap contrattuali su tempi di notifica, accessi privilegiati non gestiti, shadow IT, ambienti cloud multi‑tenant senza chiavi sotto controllo del Titolare. Le contromisure combinano governance e sicurezza tecnica: contratti con flow‑down, SLA di preallarme entro 24 ore e notifica entro 72, obbligo di riportare i quasi‑incidenti, Data Processing Agreement dettagliati e conformi all’art. 28, tiering dei vendor in base al livello di rischio, KPI e tabletop congiunti.
Infine, persone e board. La NIS2 attribuisce responsabilità dirette agli organi di gestione: formazione mirata, simulazioni con scenari “misti” e sponsorship del vertice sono la leva per passare dalla compliance alla resilienza. Programmi di board training aiutano a decidere in ore, non in giorni, quando l’incidente bussa alla porta. La convergenza tra Privacy e NIS2 non è un adempimento in più: è un vantaggio competitivo che riduce l’impatto, accelera il ripristino e rafforza la fiducia dell’ecosistema.
Luca Seravalli CIO di Duferco Energia
