NEWS

27/05/2021

Parere dello European Data Protection Supervisor sulla direttiva NIS2.0

di Nicolò Giuli e Giuseppe D'Agostino

Parere dello European Data Protection Supervisor sulla direttiva NIS2.0      

Ribadita l’esigenza di integrare la nuova strategia europea in ambito cybersecurity con la prospettiva della protezione dei dati dei cittadini europei

 

Lo scorso 11 maggio è stato pubblicato nella Gazzetta Ufficiale dell’Unione Europea il parere dello European Data Protection Supervisor (di seguito “l’EDPS”) - il Garante europeo della protezione dei dati - sulla proposta di “Strategia dell’UE in materia di cybersicurezza per il decennio digitale”, presentata dalla Commissione europea e dall’alto rappresentante dell’Unione per gli affari esteri e la politica di sicurezza il 16 dicembre dello scorso anno, ossia pochi giorni dopo l’attacco informatico contro l’Agenzia Europea del Farmaco (EMA) che comportò la temporanea esposizione di informazioni sensibili legate al vaccino anti-Covid prodotto da Pfizer-Biontech.

Tale episodio confermò nuovamente la necessità di aggiornare le misure esistenti finalizzate alla protezione dalle minacce dello spazio cibernetico delle infrastrutture a supporto dei servizi essenziali erogati da operatori pubblici e privati all’interno dell’Unione Europea.

L’attuale normativa in materia, infatti, rappresentata in particolar modo dalla Direttiva (UE) 2016/1148 recante “misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione”, comunemente nota come Direttiva NIS (Network and Information Security) ha mostrato negli anni le proprie carenze e i propri limiti strutturali con riferimento non solo alle minacce correnti e alla crescente digitalizzazione del mercato interno, ma altresì in termini di campo di applicazione, risultato finora eccessivamente limitato.

In tale contesto, risultava (e risulta tuttora) evidente l’esigenza di integrare la prospettiva della vita privata e dei dati personali dei cittadini europei nelle misure incluse nella strategia in materia di cybersicurezza, abilitando le relative sinergie tra la gestione della sicurezza dello spazio cibernetico e la protezione delle informazioni personali trattate.

A tale scopo, l’EDPS ha espresso le proprie raccomandazioni specifiche per assicurare che la nuova Direttiva NIS 2.0 integri correttamente la normativa in materia di protezione dei dati personali. Vediamo le principali suddivise per macro-ambiti:

  • strategia in materia di cybersicurezza:si ricorda l’importanza di:
    • applicare i “requisiti” in materia di data protection fin dalla fase di progettazione e per impostazione predefinita (“privacy by design & by default” ex art. 25, GDPR) per mitigare i rischi connessi all’utilizzo di nuove tecnologie, come l’Intelligenza Artificiale;
    • investire in politiche e strumenti in cui la prospettiva della protezione della vita privata sia integrata nella gestione tradizionale della sicurezza dello spazio cibernetico      prevedendo garanzie efficaci in materia di protezione dei dati personali nell’ambito delle attività di cybersicurezza;
  • rapporto tra la Direttiva NIS2.0 e la normativa europea vigente in materia di protezione dei dati personali: l’EDPS ribadisce che quest’ultima (composta, in particolare, dal regolamento generale sulla protezione dei dati (GDPR) e dalla direttiva relativa alla vita privata e alla comunicazioni elettroniche) si applica a qualsiasi trattamento di dati personali con la conseguenza che la  proposta di modifica della Direttiva NIS2.0 non deve in alcun modo incidere sull’applicazione delle disposizioni in materia di data protection né su compiti e poteri delle autorità di controllo competenti a vigilarne il rispetto;
  • definizione di cybersicurezza: l’EDPS invita a distinguere tra tale termine, da utilizzare in generale, e la locuzione “sicurezza delle reti e dei sistemi informativi” da usare in contesti tecnici, senza tener conto degli impatti sugli utenti dei sistemi;
  • esternalizzazione dei servizi e supply chain: si raccomanda di rispettare i princìpi di “privacy by design & by default” nella valutazione delle catene di approvvigionamento delle tecnologie e dei sistemi di trattamento dei dati personali;
  • giurisdizione e territorialità: l’EDPS ricorda l’esigenza di identificare una base giuridica adeguata alla base della cooperazione e dello scambio di informazioni tra autorità competenti e autorità di controllo, ciascuna nel rispettivo campo di azione.
  • cifratura: l’EDPS accoglie con favore l’invito a promuovere l’uso della cifratura ribadendone      l’importanza come tecnologia critica e insostituibile per un’efficace protezione dei dati e della vita privata.

Non rimanere che attendere fiduciosi la nuova bozza di direttiva NIS2.0, certi che la protezione dei dati personali avrà il ruolo che merita nel panorama normativo europeo in materia di sicurezza dello spazio cibernetico.

Cyber
Vai all'archivio