NIS2 e GDPR non sono alternativi: sono due normative distinte che spesso si applicano alla stessa organizzazione, allo stesso tempo. Il GDPR protegge i dati personali; la NIS2 protegge la sicurezza delle reti e dei sistemi informativi. Le autorità sono diverse — il Garante per il GDPR, l’ACN per la NIS2 — così come i tempi di notifica e i criteri sanzionatori. Ma nel punto in cui si toccano, la sicurezza informatica, un solo buon programma può soddisfare entrambe. Capire dove divergono e dove convergono evita di duplicare gli sforzi.
Questa guida mette a confronto i due regimi per i team di compliance italiani che devono rispettarli entrambi.
Key Takeaways
- Il GDPR tutela i dati personali; la NIS2 la sicurezza di reti e sistemi: oggetti diversi.
- Autorità diverse: Garante per il GDPR, ACN per la NIS2.
- Notifiche diverse: 72 ore al Garante (art. 33), 24/72 ore all’ACN.
- Il punto di sovrapposizione è la sicurezza: l’art. 32 GDPR e l’art. 21 NIS2 condividono molte misure.
- Un unico programma di sicurezza ben documentato serve entrambe le normative.
Oggetto e finalità: cosa proteggono
La differenza di fondo sta nell’oggetto della tutela. Il Regolamento (UE) 2016/679 protegge le persone fisiche rispetto al trattamento dei loro dati personali: nome, contatti, dati sanitari, comportamenti. La Direttiva (UE) 2022/2555 protegge la continuità e la sicurezza dei servizi essenziali e importanti contro le minacce cibernetiche, indipendentemente dal fatto che siano coinvolti dati personali.
Un guasto che blocca una rete elettrica è un problema NIS2 anche se non tocca alcun dato personale. Una mail inviata al destinatario sbagliato è un problema GDPR anche senza alcuna violazione di sicurezza informatica. Nel mezzo — un attacco che cifra i sistemi e sottrae dati dei clienti — scattano entrambi.
Ambito soggettivo: chi è tenuto
Il GDPR si applica a chiunque tratti dati personali: dal libero professionista alla multinazionale, senza soglie dimensionali. La NIS2 si applica invece ai soli soggetti in ambito, individuati per settore e dimensione (di norma oltre 50 dipendenti o 10 milioni di euro), con la distinzione tra essenziali e importanti. Il perimetro NIS2 è quindi molto più selettivo, come spiega la guida ai soggetti essenziali e importanti.
Il confronto in tabella
| Profilo | GDPR | NIS2 |
|---|---|---|
| Oggetto | Dati personali | Sicurezza di reti e sistemi |
| Fonte | Reg. (UE) 2016/679 + Codice Privacy | Dir. (UE) 2022/2555 + D.Lgs. 138/2024 |
| Autorità | Garante privacy | ACN – CSIRT Italia |
| Ambito | Chiunque tratti dati personali | Soggetti essenziali/importanti per settore e dimensione |
| Notifica | 72 ore al Garante (art. 33) | 24h pre-allarme + 72h all’ACN |
| Governance | DPO ove obbligatorio (art. 37) | Responsabilità degli organi di amministrazione |
| Sanzioni | Fino a 20 mln € o 4% del fatturato | Fino a 10 mln € o 2% (essenziali) |
| Misure di sicurezza | Art. 32 (misure adeguate al rischio) | Art. 21 (misure a base di rischio) |
Dove si sovrappongono: la sicurezza
Il vero terreno comune è la sicurezza. L’art. 32 del GDPR impone misure tecniche e organizzative adeguate al rischio: cifratura, riservatezza, integrità, disponibilità, resilienza, capacità di ripristino, test periodici. L’art. 21 della NIS2 richiede, in modo più dettagliato ma sovrapponibile, analisi dei rischi, gestione degli incidenti, continuità operativa, sicurezza della catena di fornitura, crittografia, controllo degli accessi e formazione.
In pratica, un’organizzazione soggetta a entrambi non deve costruire due programmi di sicurezza: deve costruirne uno solo, mappato su entrambe le norme. La gestione degli incidenti, il backup, la crittografia e il controllo degli accessi servono contemporaneamente l’art. 32 GDPR e l’art. 21 NIS2. Le misure tecniche vanno documentate nel registro dei trattamenti lato GDPR e nel registro delle misure NIS2, ma la sostanza è la stessa.
Il caso dell’incidente combinato
L’esempio più istruttivo è l’incidente informatico che coinvolge dati personali. Qui i due regimi corrono in parallelo: notifica al Garante entro 72 ore ex art. 33 e pre-allarme all’ACN entro 24 ore. Le due catene di notifica non si assorbono. La procedura interna deve prevedere una doppia valutazione al momento della scoperta, come spiegano in dettaglio la notifica degli incidenti ad ACN e la notifica di violazione dei dati al Garante.
Come gestire entrambi senza duplicare
L’approccio efficiente parte da un inventario unico dei sistemi e dei dati, da cui derivare sia il registro dei trattamenti sia la mappatura NIS2. Su questa base si costruisce un solo programma di sicurezza, una sola procedura di incident response con doppio binario di notifica e un’unica governance del rischio. Chi cerca strumenti per unificare la documentazione può confrontare il software per la conformità GDPR e quello per la conformità NIS2; piattaforme come Legiscope permettono di gestire i due perimetri in un unico ambiente. Per il quadro completo del recepimento italiano resta il riferimento la guida alla NIS2 in Italia (D.Lgs. 138/2024).
Differenze di governance e responsabilità
Oltre all’oggetto, i due regimi divergono su chi risponde. Il GDPR costruisce la responsabilità attorno al titolare del trattamento e, dove obbligatorio, al DPO, figura indipendente con funzione consultiva e di controllo. La NIS2 sposta invece l’accento sugli organi di amministrazione: il board approva le misure di gestione del rischio, ne sorveglia l’attuazione e segue formazione specifica, con una responsabilità che non è delegabile del tutto alle funzioni tecniche.
Questa differenza ha conseguenze pratiche. Un’organizzazione può avere un DPO efficiente e restare comunque scoperta sul fronte NIS2 se il vertice non è coinvolto nella governance della cybersicurezza. Viceversa, la maturità raggiunta sull’accountability del GDPR — documentazione, valutazioni del rischio, procedure — è un capitale che accelera la conformità NIS2.
Un solo incidente, due orologi
Vale la pena ribadire l’immagine operativa più utile: di fronte a un incidente informatico che coinvolge dati personali partono due orologi contemporaneamente. Quello NIS2 scatta a 24 ore per il pre-allarme all’ACN; quello GDPR corre verso le 72 ore per la notifica al Garante. Le soglie sono diverse — «incidente significativo» per la NIS2, «rischio per i diritti e le libertà» per il GDPR — e vanno valutate separatamente. Una procedura interna ben costruita esegue le due valutazioni in parallelo, così che nessuna delle due scadenza venga persa mentre il team è concentrato sulla risposta tecnica.
FAQ
La NIS2 sostituisce il GDPR?
No. Sono due normative distinte con oggetti diversi: il GDPR tutela i dati personali, la NIS2 la sicurezza di reti e sistemi. Convivono e possono applicarsi contemporaneamente alla stessa organizzazione, con autorità e obblighi di notifica separati.
Se rispetto il GDPR sono già conforme alla NIS2?
No, ma parte del lavoro è comune. Le misure di sicurezza dell’art. 32 GDPR si sovrappongono in buona parte a quelle dell’art. 21 NIS2, quindi un programma di sicurezza già maturo copre molti requisiti. La NIS2 aggiunge però obblighi specifici — sicurezza della catena di fornitura, governance del board, registrazione presso l’ACN e notifiche a 24 ore — che il GDPR non prevede.
Un incidente informatico va notificato sia al Garante sia all’ACN?
Sì, quando coinvolge dati personali ed è un incidente significativo per la NIS2. Vanno adempiuti entrambi gli obblighi: la notifica al Garante entro 72 ore ex art. 33 GDPR e il pre-allarme all’ACN entro 24 ore. Le due catene non si sostituiscono.
Quali autorità vigilano su GDPR e NIS2 in Italia?
Sul GDPR vigila il Garante per la protezione dei dati personali; sulla NIS2 l’Agenzia per la Cybersicurezza Nazionale (ACN), che opera anche come CSIRT Italia per la ricezione delle notifiche di incidente. Sono autorità distinte con poteri e procedure proprie.
Fonti ufficiali: Garante per la protezione dei dati personali · Agenzia per la Cybersicurezza Nazionale · Direttiva (UE) 2022/2555 su EUR-Lex
Automate your GDPR compliance
Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.
Discover Legiscope