Protezione dei dati e cybersecurity 2025: gli obblighi aggiornati per le aziende

La protezione dei dati personali e la cybersecurity sono ormai inseparabili, soprattutto con la crescente dipendenza delle aziende dai software e dalle infrastrutture digitali. Il GDPR ha introdotto obblighi chiari sulla gestione dei dati, ma oggi non basta più: la Direttiva NIS 2, in vigore dal 16 ottobre 2024, impone nuovi requisiti per la sicurezza delle reti e dei sistemi informativi. Per evitare sanzioni importanti, le aziende devono adottare misure di gestione del rischio, notifica degli incidenti e protezione avanzata. Il controllo è affidato al Garante Privacy per la tutela dei dati e all’Agenzia per la Cybersicurezza Nazionale (ACN) per la sicurezza digitale. Privacy e cybersecurity non possono più essere affrontate separatamente: questo articolo fornisce un recap essenziale sugli obblighi aggiornati al 2025.

Quali sono le principali normative sulla protezione dei dati in Italia?

La protezione dei dati personali in Italia è regolata da un quadro normativo articolato che parte dal GDPR e dal Codice della Privacy, ma che oggi si estende anche alle leggi sulla cybersicurezza, rendendo sempre più centrale per le imprese la gestione sicura dei dati e delle infrastrutture.

Il Regolamento (UE) 2016/679 (GDPR), in vigore dal 25 maggio 2018, ha uniformato le normative sulla privacy nei paesi dell’Unione Europea, imponendo a imprese e professionisti obblighi chiari sulla gestione, protezione e trattamento dei dati personali. Per adeguarsi al GDPR, l’Italia ha modificato il Codice della Privacy con il Decreto Legislativo 10 agosto 2018, n. 101, aggiornandolo ai nuovi principi europei. Inoltre, il quadro normativo italiano integra la Direttiva ePrivacy (Direttiva 2002/58/CE), che disciplina la tutela dei dati nelle comunicazioni elettroniche, in attesa del regolamento europeo ePrivacy.

Un principio chiave del GDPR è l’approccio basato sul rischio, che impone alle aziende di adottare misure di sicurezza adeguate per proteggere i dati personali. Tra gli obblighi principali ci sono:

• La nomina del DPO (Data Protection Officer) per specifiche categorie di aziende
• La gestione dei data breach, con obbligo di notifica in caso di violazioni
• La tenuta del registro dei trattamenti per le imprese sopra determinate soglie.

Tuttavia, con l’aumento degli attacchi informatici, la sola conformità al GDPR non basta: la cybersicurezza è ormai parte integrante della protezione dei dati. Ecco perché negli ultimi anni sono state introdotte nuove normative, come la Direttiva NIS 2 e il Perimetro di Sicurezza Nazionale Cibernetica, che impongono obblighi stringenti sulla sicurezza delle infrastrutture digitali. Ma in che modo queste normative si intrecciano con la protezione dei dati personali? Lo approfondiamo nel prossimo capitolo.

Protezione dei dati e cybersecurity: due facce della stessa medaglia

Oggi, protezione dei dati personali e cybersicurezza sono inseparabili. Senza adeguate misure di sicurezza informatica, la conformità normativa diventa un’illusione. Un attacco informatico può compromettere dati personali, segreti aziendali e continuità operativa, causando gravi conseguenze legali e finanziarie. Ecco perché il GDPR e le nuove normative sulla sicurezza informatica, come la Direttiva NIS 2, devono essere lette insieme.

L’articolo 32 del GDPR impone alle aziende di adottare misure tecniche e organizzative per proteggere i dati personali da perdite, accessi non autorizzati e alterazioni. Ma cosa significa in concreto? Non bastano policy e informative: oggi una vera conformità al GDPR richiede:

• Firewall e sistemi di difesa avanzati
• Autenticazione multi fattore per limitare accessi non autorizzati
• Crittografia dei dati, per proteggerli anche in caso di furto
• Monitoraggio continuo delle minacce informatiche

Se il GDPR tutela la privacy dei dati personali, la Direttiva NIS 2 (recepita in Italia con il Decreto Legislativo 4 settembre 2024, n. 138) stabilisce obblighi specifici sulla sicurezza delle reti e dei sistemi informativi. Entrata in vigore in Italia il 16 ottobre 2024, ha esteso il numero di aziende coinvolte: non solo infrastrutture critiche (energia, sanità, trasporti), ma anche settori come alimentare, chimico, farmaceutico e telecomunicazioni (cfr. Ambito – ACN).

L’Italia ha rafforzato ulteriormente la strategia nazionale con il Perimetro di Sicurezza Nazionale Cibernetica (Legge n. 105/2019), introducendo obblighi ancora più stringenti per le aziende strategiche. In questo scenario, protezione dei dati e cybersecurity non possono più essere considerate discipline separate: le imprese devono adottare un approccio integrato per essere conformi sia al GDPR che alle nuove norme sulla sicurezza informatica.

Ma quali sono, concretamente, gli obblighi che le aziende italiane devono rispettare?

Quali sono gli obblighi per le aziende italiane?

Le aziende italiane devono conformarsi a una serie di obblighi per garantire la sicurezza delle reti e dei sistemi informativi, in linea con la Direttiva NIS 2 e le normative nazionali.

Quali aziende sono coinvolte? La Direttiva NIS 2 distingue tra due categorie di imprese, in base alla loro rilevanza strategica:

• Soggetti essenziali ovvero infrastrutture critiche come energia, trasporti, sanità, fornitura e distribuzione di acqua, servizi bancari e finanziari, infrastrutture digitali e pubblica amministrazione.
• Soggetti importanti ovvero aziende di settori considerati ad alto rischio per la sicurezza informatica, tra cui alimentare, chimico, farmaceutico, manifatturiero e telecomunicazioni.

Quali obblighi devono rispettare? Le aziende coinvolte devono adottare misure tecniche e organizzative per la protezione delle proprie infrastrutture digitali. Tra le principali:

• Politiche di gestione del rischio, per identificare e mitigare le minacce informatiche,
• Formazione del personale, per aumentare la consapevolezza sui rischi e le misure di sicurezza.
• Autenticazione multifattore, per proteggere l’accesso ai sistemi sensibili.
• Crittografia dei dati, per impedire la lettura delle informazioni riservate in caso di violazione.
• Monitoraggio e risposta agli incidenti, per individuare e neutralizzare tempestivamente le minacce.

In caso di attacchi informatici significativi, le aziende devono notificare l’evento al CSIRT Italia seguendo una procedura ben definita:

• Entro 24 ore: inviare una comunicazione preliminare, indicando se l’incidente potrebbe derivare da atti malevoli o avere impatti transfrontalieri.
• Entro 72 ore: fornire una valutazione iniziale con dettagli su gravità, impatto stimato e indicatori di compromissione.
• Su richiesta del CSIRT Italia, aggiornare l’evoluzione della situazione.
• Entro un mese: presentare una relazione dettagliata su cause, misure adottate e possibili impatti transfrontalieri.

Quali sono le sanzioni previste? Il mancato rispetto degli obblighi comporta sanzioni significative:

– Soggetti essenziali: fino a 10 milioni di euro o al 2% del fatturato mondiale annuo.
– Soggetti importanti: fino a 7 milioni di euro o all’1,4% del fatturato mondiale annuo.

Per evitare queste sanzioni e garantire la continuità operativa, le aziende devono valutare la propria conformità e adeguarsi tempestivamente alle nuove norme.

Chi controlla la protezione dei dati e la sicurezza informatica in Italia?

In Italia, la protezione dei dati personali e la sicurezza informatica sono sorvegliate da due autorità principali:

• Il Garante per la Protezione dei Dati Personali (GPDP), responsabile della vigilanza sul rispetto del GDPR e del Codice della Privacy.
• L’Agenzia per la Cybersicurezza Nazionale (ACN), che sovrintende alla cybersecurity delle infrastrutture critiche e all’applicazione della Direttiva NIS 2.

Questi due enti operano in ambiti distinti ma complementari, garantendo che aziende e pubbliche amministrazioni adottino misure adeguate per proteggere i dati personali e i sistemi informatici.

Il Garante Privacy è un’autorità amministrativa indipendente con il compito di assicurare che il trattamento dei dati personali avvenga nel rispetto delle normative vigenti. Come previsto dall’articolo 154 del Codice in materia di protezione dei dati personali, le sue principali funzioni sono:

• Vigilare sul rispetto del GDPR e del Codice della Privacy, effettuando controlli e ispezioni su aziende e enti pubblici.
• Gestire reclami e segnalazioni da parte di cittadini che ritengono violato il loro diritto alla privacy.
• Imporre sanzioni amministrative, che possono arrivare fino a 20 milioni di euro o il 4% del fatturato annuo globale, per le aziende che non rispettano il GDPR.
• Promuovere codici di condotta e buone pratiche, per aiutare le imprese a conformarsi alle normative in modo efficace.

Il Garante opera in coordinamento con le altre autorità europee, attraverso il Comitato Europeo per la Protezione dei Dati (EDPB), per garantire un’applicazione uniforme del GDPR in tutta l’UE.

L’Agenzia per la Cybersicurezza Nazionale (ACN), istituita con il D.L. 82/2021, è il principale ente italiano per la sicurezza delle reti e dei sistemi informativi. Il suo compito è quello di garantire la resilienza delle infrastrutture digitali del Paese, proteggendo le aziende e le istituzioni dagli attacchi informatici.

Le sue principali responsabilità sono:

• Monitorare e gestire gli incidenti di sicurezza attraverso il CSIRT Italia, raccogliendo segnalazioni di attacchi informatici e fornendo supporto alle aziende per il contenimento dei danni.
• Supervisionare l’applicazione della Direttiva NIS 2, verificando che le aziende dei settori critici rispettino gli obblighi di cybersecurity.
• Definire standard di sicurezza e certificazioni, per garantire che i fornitori di servizi digitali adottino misure adeguate di protezione.
• Coordinare la risposta nazionale alle minacce cibernetiche, collaborando con le istituzioni europee e internazionali per rafforzare la sicurezza del cyberspazio italiano.

Anche se operano su piani diversi, il Garante e l’ACN devono collaborare per garantire un’adeguata protezione dei dati e della sicurezza informatica. La GDPR e la Direttiva NIS 2 impongono alle aziende un approccio integrato: non basta più preoccuparsi solo della privacy, bisogna investire anche nella sicurezza informatica per evitare sanzioni e rischi operativi.