1. Introduzione
Negli ultimi anni la cybersicurezza è divenuta uno dei principali ambiti di evoluzione della corporate compliance. La crescente digitalizzazione dei processi economici e l’interconnessione tra sistemi informativi hanno ampliato la superficie di attacco per minacce informatiche sempre più sofisticate, spingendo il legislatore europeo a intervenire con una pluralità di strumenti normativi volti a rafforzare la resilienza digitale e la tutela dei diritti fondamentali.
Questo sviluppo ha condotto alla formazione di un ecosistema regolatorio stratificato, nel quale discipline orizzontali e settoriali insistono su ambiti tra loro contigui, imponendo alle imprese obblighi di governance, sicurezza e gestione degli incidenti non sempre pienamente coordinati. Se da un lato tale proliferazione normativa risponde all’esigenza di elevare il livello di protezione dei sistemi e dei dati, dall’altro determina un significativo aumento della complessità dei processi di compliance, come evidenziato anche dalle imprese coinvolte in recenti indagini sul tema[1].
In questo contesto, il presente lavoro si concentra sulle intersezioni tra due pilastri dell’acquis digitale europeo – la Direttiva NIS 2 e il Regolamento GDPR – con l’obiettivo di mostrare come la sovrapposizione degli obblighi, in particolare in materia di gestione e notifica degli incidenti, generi criticità operative per le organizzazioni. L’analisi intende evidenziare come tali criticità rendano ormai necessario un approccio integrato alla compliance in tema di sicurezza informatica e alimentino il dibattito europeo sulla semplificazione e sul coordinamento del quadro normativo digitale.
2. La crescente minaccia cyber e la stratificazione normativa
Gli attacchi informatici risultano in costante crescita e sempre più gravi, con un incremento significativo degli incidenti e un aumento della loro sofisticazione tecnica[2]. Tale scenario ha spinto le istituzioni europee e nazionali a sviluppare strategie e normative sempre più articolate per garantire la resilienza digitale di imprese e pubbliche amministrazioni.
L’evoluzione della disciplina in materia di sicurezza informatica si è inizialmente sviluppata secondo un approccio prevalentemente repressivo, incentrato sulla tipizzazione dei reati informatici e sull’introduzione di strumenti sanzionatori. A partire dagli anni Novanta, anche l’ordinamento italiano ha progressivamente recepito le principali indicazioni europee e internazionali in materia di criminalità informatica[3].
Con il crescente aumento dei rischi e l’evoluzione delle tecniche di attacco, si è parallelamente affermato un approccio preventivo, orientato alla gestione del rischio e alla resilienza delle organizzazioni. In questa prospettiva, la cybersecurity è divenuta parte integrante dei sistemi di governance e dei modelli di organizzazione aziendale[4].
Uno dei primi esempi in Italia di legislazione sulla sicurezza informatica animata (anche) da un intento preventivo si rinviene nella Legge 18 marzo 2008, n. 48, con cui, nel recepire la Convenzione di Budapest del 2001 sulla criminalità informatica, è stato introdotto nel D.Lgs. 231/2001 l’art. 24-bis, rubricato «Delitti informatici e trattamento illecito di dati». In tal modo, le imprese italiane sono state chiamate a implementare presidi di controllo e a definire procedure di prevenzione del rischio informatico, seppur limitatamente all’angolo prospettico della responsabilità amministrativa degli enti, che sanziona la commissione di illeciti penali commessi nell’interesse o a vantaggio della società.
Successivamente, l’approccio preventivo ha guadagnato una centralità sempre maggiore e l’Unione europea ha costruito nel tempo un vero e proprio “ecosistema normativo” in materia di cybersicurezza, composto da direttive, regolamenti e strategie settoriali[5].
La moltiplicazione delle normative in ambito cybersecurity, oggetto di un costante processo di stratificazione nel corso del tempo, ha comportato e sta comportando significative difficoltà per le imprese, che devono districarsi in un vero e proprio labirinto popolato da adempimenti che insistono sugli stessi ambiti, ma con destinatari, tempi e autorità differenti.[6]
Per mettere in luce le difficoltà applicative che possono derivare dalla proliferazione normativa in tema di sicurezza informatica, si analizzeranno le intersezioni tra due pilastri del c.d. acquis digitale europeo: la Direttiva NIS 2 e il GDPR.
3. La Direttiva NIS 2: la disciplina europea della sicurezza delle infrastrutture digitali
La Direttiva (UE) 2022/2025, c.d. NIS 2, rappresenta il principale strumento europeo volto a garantire un livello elevato e uniforme di cybersicurezza nei settori essenziali e importanti, configurandosi come normativa di base del sistema europeo di cybersecurity, destinata a operare in coordinamento con discipline settoriali più specifiche.
La sua genesi è da ricondursi alla Direttiva (UE) 2016/1148, c.d. NIS (Network and Information Security), nata nell’ambito della strategia dell’Unione europea per la cybersicurezza, definita dalla Commissione Europea nel 2013[7]. Con tale direttiva, recepita dall’Italia con D.Lgs. 18 maggio 2018, n. 65, è stato adottato il primo strumento orizzontale dell’Unione europea volto a garantire un livello elevato e omogeneo di sicurezza delle reti e dei sistemi informativi negli Stati membri[8].
Un tratto saliente dell’intervento normativo è rappresentato dall’individuazione di alcune categorie di servizi valutati come essenziali per il mantenimento di attività sociali e/o economiche fondamentali (settori energetico, dei trasporti, bancario, sanitario, idrico, delle infrastrutture digitali e dei mercati finanziari), individuando a carico dei soggetti operanti in tali settori l’obbligo di adottare «misure tecniche ed organizzative adeguate e proporzionate alla gestione di rischi posti alla sicurezza delle reti e dei sistemi informativi che usano nelle loro operazioni» (art. 14, par. 1) nonché quello di notificare tempestivamente alle autorità competenti gli incidenti aventi un impatto rilevante sulla continuità dei servizi essenziali prestati (art. 14, par. 3). Medesimi obblighi sono stati altresì previsti per i fornitori di servizi digitali di particolare rilievo, quali motori di ricerca, servizi di cloud computing e piattaforme di e-commerce (art. 16).
Il mutato contesto della minaccia cyber e talune criticità applicative della Direttiva NIS hanno indotto il legislatore europeo a sostituirla con la Direttiva (UE) 2022/2025, c.d. NIS 2[9], adottata il 27 dicembre 2022 nell’ambito della nuova strategia dell’UE in materia di cybersicurezza per il decennio digitale[10] ed entrata in vigore il 17 gennaio 2023.
Con l’obiettivo di garantire una maggiore uniformità e resilienza a livello europeo la nuova direttiva ha ampliato l’ambito di applicazione soggettivo, passando alla previsione di soggetti essenziali e soggetti importanti (in cui rientrano anche le PMI), operanti nei settori originariamente inclusi nella NIS 1 nonché delle telecomunicazioni[11], ha rafforzato i requisiti di sicurezza, richiedendo in particolare l’adozione di misure di sicurezza “minime”[12], ha introdotto meccanismi di vigilanza, enforcement e reporting più rigorosi, richiedendo agli Stati di istituire autorità di gestione delle crisi informatiche e di adottare piani nazionali in materia di sicurezza informatica e imponendo agli enti rientranti nel perimetro obblighi di notifica secondo tempistiche definite[13].
Tra le novità più rilevanti dal punto di vista della compliance aziendale vi sono le norme volte a rafforzare la sicurezza informativa lungo la supply chain, imponendo agli Stati membri di adottare una strategia nazionale che tenga in considerazione le vulnerabilità dei fornitori, di adottare misure relative alla cybersecurity della supply chain dei servizi delle tecnologie dell’informazione (TIC) utilizzati dai soggetti essenziali e importanti (art. 7, par. 2, lett. a) e a provvedere affinché i soggetti essenziali e importanti adottino misure tecniche e organizzative adeguate per gestire i rischi di sicurezza relativi ai fornitori (art. 21, par. 2, lett. d).
L’Italia è stato uno dei primi stati membri dell’Unione a recepire la Direttiva NIS 2 mediante emanazione del D.Lgs. 4 settembre 2024, identificando nell’ACN (Agenzia per la cybersicurezza nazionale) l’Autorità italiana competente e punto di contatto unico NIS. Attualmente, per le aziende rientranti nel perimetro è già entrato in vigore l’obbligo di perfezionare l’iscrizione come soggetti NIS 2 nel portale ACN. Da gennaio 2026 è altresì in vigore l’obbligo di notifica degli incidenti significativi, con conseguente obbligo per le aziende di dotarsi di un piano di risposta adeguato, che va regolarmente testato. La scadenza di maggior rilievo è il 31 ottobre 2026, data entro cui tutte le misure di base dovranno essere implementate e rese operative.
4. Il GDPR: fondamento trasversale della tutela dei dati e della sicurezza informativa
Il Regolamento (UE) 2016/679, noto come GDPR, precede temporalmente la Direttiva NIS 2, ma continua a rappresentare il fondamento trasversale della disciplina europea della sicurezza digitale.
Tra le normative in materia digitale la disciplina sulla protezione dei dati è quella cha ha la portata più generale, trovando applicazione rispetto a qualsiasi attività che implica un trattamento di dati personali e, quindi, di fatto nei confronti della generalità delle imprese[14].
Nel disciplinare il trattamento dei dati personali, il GDPR ha segnato una significativa evoluzione, spostando il baricentro dalla protezione meramente formale dei dati alla tutela sostanziale dei diritti degli interessati secondo un approccio basato sul rischio (risk based approach).
Il principio di fondo è quello della data protection by design and by default, che impone di configurare sin dall’origine ogni trattamento dei dati perseguendo come obiettivo primario la salvaguardia della riservatezza e i diritti delle persone fisiche.
A questo scopo, il regolamento richiede l’adozione, anche in ambito di cybersicurezza, di misure tecniche, organizzative e operative, volte a ridurre al minimo i rischi di accesso non autorizzato, perdita o alterazione dei dati.
I principali strumenti di tutela consistono nella valutazione d’impatto sulla protezione dei dati (DPIA), la nomina di un Data Protection Officer (DPO) e l’adozione di politiche interne coerenti con il c.d. principio di accountability[15].
La protezione dei dati personali e la cybersecurity possono essere considerate due facce della stessa medaglia: la prima tutela direttamente i diritti individuali, la seconda garantisce la sicurezza delle infrastrutture e dei servizi da cui tali diritti dipendono[16].
Da questo punto di vista, pur adottando approcci differenti[17], le normative presentano sovrapposizioni che in alcuni casi possono rilevarsi particolarmente complicate da gestire per le aziende.
5. Sovrapposizioni e differenze tra NIS 2 e GDPR: il caso della gestione degli incidenti
La recente entrata in vigore, nel gennaio 2026, degli obblighi di notifica degli incidenti ai sensi della Direttiva NIS 2, se confrontata con la disciplina del GDPR in tema di data breach, offre l’occasione per evidenziare il rischio di sovrapposizioni tra le diverse normative in materia di cybersecurity.
La Direttiva NIS 2, così come recepita in Italia, pone in capo alle entità che rientrano nel suo perimetro di notificare all’ACN (e segnatamente al CSRIT Italia, articolazione interna che si occupa di monitoraggio preventivo e risposta agli incidenti informatici) qualsiasi incidente con impatto significativo sulla fornitura dei servizi mediante una sequenza articolata composta da: una notifica preliminare entro 24 dalla conoscenza dell’evento, una notifica completa entro 72 ore, una relazione intermedia se richiesta dall’autorità e una relazione finale entro un mese (art. 25 D.Lgs. 138/2024).
La Direttiva definisce incidente «un evento che compromette la disponibilità, l’autenticità, l’integrità o la riservatezza di dati conservati, trasmessi o elaborati o dei servizi offerti dai sistemi informatici e di rete o accessibili attraverso di essi» (art. 6 della Direttiva).
Prima di decidere se effettuare o meno la notifica l’impresa colpita è chiamata a svolgere una valutazione interna, atteso che, ai sensi dell’art. 25 D.Lgs. 138/2024, occorre notificare un incidente soltanto se comporta «un impatto significativo sulla fornitura», cioè quando «a) ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato; b) ha avuto ripercussioni o è idoneo a provocare ripercussioni su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli».
Per quanto riguarda la disciplina in tema di protezione dei dati personali, ai sensi dell’art. 33 GDPR, in caso di violazione di dati personali, i titolari del trattamento sono tenuti a notificare la violazione entro 72 ore all’autorità di controllo competente (per l’Italia, come noto, il Garante Privacy).
Anche in questo caso è riconosciuto un margine di discrezionalità al soggetto che ha subito la violazione, in quanto, secondo il principio di accountability, si può evitare la notifica nel caso in cui «sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche».
Ai sensi dell’art. 4 GDPR, la violazione dei dati personali consiste nella «violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati».
Dalla ricostruzione sopra sinteticamente tratteggiata risulta evidente che un singolo incidente può attivare obblighi di notifica diversi verso autorità differenti, come ad esempio nel caso di un attacco ransomware che compromette i dati personali e interrompe l’erogazione di un servizio critico.
È altresì evidente che il differente angolo prospettico delle valutazioni che il soggetto impattato è chiamato a svolgere alla luce delle due normative può creare ambiguità e complessità operative, rendendo complicato stabilire quando e come effettuare le notifiche[18].
In un caso simile, infatti, un’azienda deve eseguire valutazioni basate su criteri differenti, rivolgersi ad autorità distinte con modelli e canali diversi (la compilazione di specifici moduli per la segnalazione al Garante e l’utilizzo del portale CSIRT per la notifica degli incidenti all’ACN), rispettare tempistiche non allineate, riportare informazioni non perfettamente sovrapponibili e mantenere coerenza tra le informazioni trasmesse, evitando possibili incongruenze[19].
Tutto questo implica duplicazione delle attività con rischi di ritardi, notifiche incomplete o non coordinate e, di conseguenza, una maggiore esposizione a sanzioni o rilievi da parte delle autorità competenti.
Peraltro, nel D.Lgs. 138/2024 è presente una disposizione che complica il quadro sin qui descritto, rischiando di esporre a conseguenze pregiudizievoli un’impresa che, agendo secondo il principio di accountability, abbia deciso di evitare la notifica di un data breach.
Si tratta dell’art. 14, comma 2 lett. b) del D. Lgs. 138/2024, a mente del quale l’ACN, laddove venga a conoscenza del fatto che la violazione degli obblighi in materia di misure di gestione dei rischi per la sicurezza informatica da parte di un soggetto essenziale o importante possa comportare una violazione dei dati personali, che deve essere notificata ai sensi dell’art. 33 GDPR, «ne informa senza indebito ritardo il Garante per la protezione dei dati personali ai sensi dell’articolo 55 o 56 di tale regolamento».
Di fatto, quindi, questa disposizione consente all’ACN di mettere in discussione ex post una valutazione svolta da un’azienda nell’esercizio di una propria prerogativa espressamente riconosciutale dal GDPR[20].
6. Verso una cybercompliance integrata
Il ritmo e la complessità dei mutamenti normativi in tutti i campi dell’agire aziendale hanno da tempo posto al centro del dibattito in tema di compliance la rilevanza dell’integrazione dei diversi sistemi di gestione del rischio quale fattore di razionalizzazione e ottimizzazione dei processi, in grado di produrre notevoli benefici in seno alle organizzazioni[21].
L’esempio di intersezione tra NIS 2 e GDPR appena analizzato mette in evidenza come un modello di gestione integrata sia talmente essenziale anche con riferimento agli aspetti di conformità legati alla sicurezza informatica da potersi ritenere come l’unica risposta possibile per le imprese.
La coesistenza di più regimi normativi impone necessariamente l’adozione di processi armonizzati, che consentano una gestione trasversale e univoca delle tematiche di sicurezza informatica.
Questa esigenza è stata messa in luce dalla stessa ACN mediante una serie di pubblicazioni dell’ISAC (Information Sharing and Analysis Center) Italia, articolazione interna dell’autorità di settore, che ha sottolineato l’importanza di un approccio olistico alla cybersicurezza per una efficace gestione dei rischi connessi a tale ambito, suggerendo alle aziende di evitare di dotarsi di una struttura organizzativa a silos[22].
In dottrina sono stati messi in evidenza gli elementi chiave di un efficace compliance program in ambito cyber (gestione del rischio; protezione delle infrastrutture; segnalazione di incidenti; formazione e consapevolezza; supervisione e governance) che si articola secondo alcuni passaggi principali, quali il cyber risk assessment, la definizione delle politiche di sicurezza, l’adozione di misure tecniche, la formazione del personale e l’implementazione di processi di audit e monitoraggio[23].
Quanto alla configurazione del modello organizzativo, un’interessante proposta prevede per le strutture di media/alta complessità la presenza di un Data Governance Manager quale funzione apicale strategica a supporto del business, in grado di interagire con il Chief Information Security Officer (CISO), quale funzione di controllo di II livello, e con il Data Protection Officer (DPO), quale funzione di controllo di III livello. Per quanto riguarda specificamente il tema della notifica degli incidenti, è stato suggerito di costruire un processo unificato di gestione degli incidenti mediante la creazione di un unico punto o team di coordinamento (ad esempio, Incident Response Team)[24].
Naturalmente, nelle società dotate di modello organizzativo ai sensi del D.Lgs. 231/2001 un ruolo rilevante è rivestito anche dall’Organismo di Vigilanza, che, secondo le best practice di riferimento, è chiamato a: verificare l’esistenza e l’aggiornamento di policy di cybersicurezza coerenti con le normative nazionali ed europee; verificare la mappatura dei rischi informatici e la corretta implementazione di controlli organizzativi; accertarsi che il personale sia adeguatamente formato sui rischi cyber e sulle modalità di segnalazione di eventuali incidenti; monitorare gli aggiornamenti tecnologici e la resilienza dei sistemi, anche attraverso audit periodici e reportistica interna; segnalare carenze e raccomandare l’avvio di interventi da parte delle funzioni competenti[25].
7. Conclusione
L’analisi delle intersezioni tra Direttiva NIS 2 e GDPR evidenzia come la crescente stratificazione normativa europea in materia di cybersecurity, pur funzionale a rafforzare la resilienza digitale e la tutela dei diritti, comporti per le imprese un significativo aggravio dei processi di compliance. La coesistenza di obblighi paralleli – soprattutto in tema di gestione e notifica degli incidenti – impone alle organizzazioni di coordinare valutazioni, tempistiche e interlocutori istituzionali diversi, aumentando il rischio di incoerenze operative e di esposizione a responsabilità.
In tale contesto, la cyber compliance non può più essere gestita in modo settoriale o frammentato, ma richiede modelli organizzativi integrati, capaci di armonizzare i flussi informativi, le procedure di incident management e le funzioni aziendali coinvolte. L’adozione di un approccio olistico alla sicurezza informatica rappresenta oggi non solo una best practice, ma una condizione necessaria per garantire l’effettività degli obblighi normativi.
Le criticità emerse contribuiscono inoltre a spiegare la crescente attenzione delle istituzioni europee verso iniziative di semplificazione e coordinamento del quadro normativo digitale, tra cui il c.d. Digital Omnibus[26] e il Cybersecurity Act 2[27].
La sfida per il legislatore e per le imprese consiste nel trovare un equilibrio tra elevati standard di sicurezza e sostenibilità degli oneri di compliance, attraverso un progressivo allineamento tra discipline e lo sviluppo di modelli di governance integrata della sicurezza informatica.
[1] Empoli E. – Compagnucci S. – D’Amato A. (a cura di) e Carlucci E. – Compagnucci S. – D’Amato A. – Della Porta M. R. – Verolini G. (autori), Verso una cybersicurezza a portata di competitività, cit., pagg. 90 e ss.
[2] Si veda, ad esempio, Rapporto Clusit sulla Cybersecurity in Italia e nel mondo, edizione di ottobre 2025.
[3] Per una ricostruzione delle disposizioni normative sulla criminalità informatica fino al 2019 si rinvia a Romani J. – Palombella I. – Stranieri T. – De Masi S., La prevenzione dei reati informatici: rischi 231, data protection e misure di compliance, 2023, in aodv231.it.
[4] Per l’approfondimento della centralità della cybersecurity dal punto di vista della corporate governance si veda Piva D., Cybersecurity e corporate governance tra valutazioni top-down e tecniche bottom-up, in Rivista Corporate Governance, 4/2022, pag. 525 e ss.
[5] Tra i principali interventi normativi si possono menzionare i seguenti: Regolamento (UE) n. 910/2014 (eIDAS); Regolamento (UE) 2016/679 (GDPR); Regolamento (UE) 2019/881 (Cybersecurity Act); Regolamento (UE) 2022/868 (Data Governance Act); Regolamento (UE) 2022/1925 (Digital Markets Act); Direttiva (UE) 2022/2555 (direttiva NIS 2); Regolamento (UE) 2022/2554 (DORA); Direttiva (UE) 2022/2557 (direttiva CER); Regolamento (UE) 2023/2854 (Data Act); Regolamento (UE) 2024/1689 (AI Act); Regolamento (UE) 2024/2847 (Cyber Resilience Act).
[6] Si vedano, ad esempio, Marchiori R., Cybersecurity in Europa: un labirinto normativo da decifrare, in Agenda Digitale, 13 novembre 2024 e Orrù T., Cybersecurity Package UE: quando l’ambizione regolatoria si scontra con la sostenibilità, in Cybersecurity360, 23 gennaio 2026.
[7] Cfr. comunicazione congiunta della Commissione europea e dell’Alto rappresentante dell’Unione europea per gli affari esteri e la politica di sicurezza, del 7 febbraio 2013, dal titolo «Strategia dell’Unione europea per la cibersicurezza: un ciberspazio aperto e sicuro» (JOIN(2013)0001).
[8] Cfr. VOTA V., Cybersecurity e gestione del rischio informatico nella governance aziendale: evidenze della letteratura e strumenti operativi, in Economia Aziendale Online, volume 16, n. 3/2025, pag. 1038.
[9] Cfr. Iaselli M. – Caria G. B., Cybersecurity & Cyberwarfare, Diritto, Tecnologia e sicurezza, EPC Editore, 2023, pag. 80 e ss.
[10] Cfr. Comunicazione congiunta al Parlamento europeo e al Consiglio da parte della Commissione europea e dell’Alto rappresentante dell’Unione per gli affari esteri e la politica di sicurezza, «La strategia dell’UE in materia di cibersicurezza per il decennio digitale» JOIN(2020), 16 dicembre 2020.
[11] I criteri generali per la definizione dell’ambito di applicazione soggettivo sono costituiti dai settori di riferimento (ad alta criticità di cui all’allegato I e critici di cui all’allegato II) e dalle dimensioni aziendali, atteso che la direttiva si applica alle imprese di cui all’allegato I e II con almeno 50 dipendenti e che realizzano un fatturato annuo superiore a 50 milioni di euro oppure un totale di bilancio annuo superiore a 43 milioni di euro. In aggiunta, indipendentemente dalle dimensioni, sono assoggettai alla NIS 2 anche ulteriori particolari categorie di soggetti, tra cui i fornitori di reti di comunicazioni elettroniche pubbliche o di servizi di comunicazione elettronica accessibili al pubblico, gli operatori che forniscono servizi di registrazione dei nomi di dominio, taluni enti della pubblica amministrazione nonché i soggetti ritenuti critici ai sensi della Direttiva CER (n. 2022/2557).
[12] Ai sensi dell’art. 21 della Direttiva, tali misure devono basarsi su un approccio multirischio mirante a proteggere i sistemi informatici e di rete e il loro ambiente fisico da incidenti e comprendono almeno gli elementi seguenti: a) politiche di analisi dei rischi e di sicurezza dei sistemi informatici; b) gestione degli incidenti; c) continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e gestione delle crisi; d) sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi; e) sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità; f) strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cibersicurezza; g) pratiche di igiene informatica di base e formazione in materia di cibersicurezza; h) politiche e procedure relative all’uso della crittografia e, se del caso, della cifratura; i) sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi; j) uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso.
[13] In particolare, con riferimento alla gestione delle crisi la nuova Direttiva prevede che ogni Stato membro designi o istituisca una o più autorità di gestione delle crisi informatiche, adottando un piano nazionale per la risposta agli incidenti e alle crisi di cybersicurezza su vasta scala, da presentare alla Commissione e alla neocostituita EU-CyCLOne (artt. 9-16).
Per quanto riguarda gli obblighi di reporting a carico delle imprese destinatarie, mentre la NIS 1 prevedeva la notifica senza ritardo degli incidenti aventi un impatto rilevante, la NIS 2 prevede la notifica degli incidenti significativi alle autorità competenti secondo differenti finestre temporali: un preallarme entro 24 ore, una notifica entro 72 ore, un report intermedio se richiesto dall’autorità e una relazione finale entro un mese dalla notifica.
[14] Ai sensi dell’art. 4 GDPR per dato personale si intende «qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale».
[15] Cfr. Vota V., Cybersecurity e gestione del rischio informatico nella governance aziendale: evidenze della letteratura e strumenti operativi, cit., pag. 1039.
[16] Lisi A., Data Breach tra privacy e security: una proposta di sopravvivenza normativa, etica, logica e organizzativa in caso di violazioni nel trattamento dei dati, in Rivista Elettronica di Diritto, Economia, Management, n. 1/2025, pag. 26 e ss.
[17] Se il GDPR richiede ai titolari e ai responsabili del trattamento di adottare misure tecniche e organizzative adeguate al rischio, lasciando alle aziende un significativo margine di discrezionalità purché le scelte siano motivate e documentate, la NIS 2 si spinge invece su un piano più prescrittivo, individuando, come visto, una serie di ambiti specifici da presidiare e indicando una serie di misure minime da adottare obbligatoriamente.
[18] Cfr. Ricchiuto P., Data breach: gli incroci pericolosi tra Gdpr e NIS2, in Agenda Digitale, 25 ottobre 2024.
[19] Sul punto si veda Casamassima S., Cybersecurity e rapporti con le Autorità, in DB – Non Solo Diritto Bancario, 21 luglio 2025.
[20] Ricchiuto P., Data breach: gli incroci pericolosi tra Gdpr e NIS2, cit.
[21] Si veda, ad esempio, Mannino F. – Bifano S., I modello di gestione integrata e la valutazione del rischio aziendale, in Libutti L. (a cura di), La compliance aziendale, Approcci, metodi e strumenti per la funzione Compliance, Lefebvre Giuffrè, 2025, pag. 59 e ss.
[22] Si vedano le pubblicazioni disponibili al seguente link: https://www.acn.gov.it/portale/isac-italia/cybersecurity-governance.
[23] Razzante R., Cybersicurezza e impatto sulla governance delle aziende, in La responsabilità amministrativa delle società e degli enti, 1/2025.
[24] Casamassima S., Cybersecurity e rapporti con le Autorità, cit.
[25] Linee Guida per lo svolgimento delle funzioni dell’Organismo di vigilanza ex D.lgs. 231/2001, elaborato dall’Osservatorio Nazionale sul D.Lgs. 231/2001 istituito dal CNDCEC.
[26] Proposta di Regolamento del 19 novembre 2025, redatto dalla Commissione europea e avente ad oggetto la modifica dei regolamenti (UE) 2016/679, (UE) 2018/1724, (UE) 2018/1725 e (UE) 2023/2854 e le direttive 2002/58/CE, (UE) 2022/2555 e (UE) 2022/2557 per quanto riguarda la semplificazione del quadro legislativo nel settore digitale, con abrogazione dei regolamenti (UE) 2018/1807, (UE) 2019/1150 e (UE) 2022/868 e la direttiva (UE) 2019/1024.
[27] Si tratta di un pacchetto comprendente: (i) proposta di Regolamento del 19 novembre 2025 (c.d. Cybersecurity Act 2), redatto dalla Commissione europea e avente ad oggetto l’Agenzia dell’Unione europea per la sicurezza informatica (ENISA), il quadro europeo di certificazione della sicurezza informatica e la sicurezza della catena di fornitura ICT, con abrogazione del regolamento (UE) 2019/881; (ii) proposta di Direttiva che modifica la direttiva (UE) 2022/2555 per quanto riguarda le misure di semplificazione e l’allineamento con il Cybersecurity Act 2.