Cybersecurity e gestione dei dati: NIS2, Data Act e gli obblighi per imprese e professionisti

di Andrea Onori

La disciplina europea su dati, cybersecurity e AI si fonda su diversi regolamenti (tra cui DORA, NIS2, Data Act e AI Act), che integrano e completano la tutela generale prevista dal GDPR. La Direttiva NIS2 e il D.Lgs. 138/2024 rafforzano la sicurezza informatica in stretta connessione con la protezione dei dati personali, prevedendo cooperazione tra autorità, obblighi di gestione del rischio e coordinamento nelle notifiche di incidenti.

Come già evidenziato nel precedente contributo (“Tutela dei dati e sistemi informativi: i fondamenti normativi tra GDPR, cybersecurity e AI”), dedicato all’architettura normativa della tutela del trattamento dei dati mediante l’uso dei sistemi informativi, dell’Intelligenza Artificiale, dei provvedimenti relativi alla Cyber Security, nonché della gestione dei Big Data, tale architettura trova le sue fondamenta nei seguenti principali provvedimenti normativi europei e italiani:

  • GDPR 679/2016 e D.Lgs. n. 196/2003;
  • il Regolamento UE 2554/2022 “DORA”;
  • la Direttiva UE 2055/2022 “NIS2” e il D.Lgs. n. 138/2024;
  • il Regolamento UE 2854/2023 “Data Act”;
  • il Regolamento UE 1689/2024 “AI Act” e la Legge n. 132/2025;
  • il Regolamento UE 1772/2024 “Integrazione DORA”.

In questo contesto, ci concentriamo, ora, solo sui provvedimenti di natura più tecnica, tralasciando quindi quelli di carattere generale, come il GDPR e il D.Lgs. n. 196/2003, rilevando e sottolineando, comunque, la primaria importanza di questi ultimi nonché la loro necessaria conoscenza per un corretto inquadramento e trattamento di qualsiasi dato personale.

Nell’ambito dei rapporti tra Cyber Security e GDPR

Si ricorda come la Direttiva (UE) 2022/2555 (NIS 2) stabilisce un quadro rigoroso per la Cyber Security mantenendo un legame stretto e complementare con la normativa sulla protezione dei dati personali.

Qui di seguito se ne riportano i punti salienti:

  • base giuridica del trattamento: il trattamento dei dati personali per garantire la sicurezza dei sistemi informatici è considerato lecito se necessario per adempiere a un obbligo legale o per perseguire il legittimo interesse dei soggetti essenziali e importanti. Questo include attività di prevenzione, rilevamento e risposta agli incidenti;
  • cooperazione tra Autorità: in caso di incidenti che comportino violazioni di dati personali, le autorità NIS devono informare senza ritardo le autorità competenti ai sensi del GDPR;
  • semplificazione delle notifiche: gli Stati membri sono incoraggiati a istituire un “punto di ingresso unico” per le notifiche degli incidenti, che possa essere utilizzato anche per segnalare violazioni dei dati personali ai sensi del GDPR, al fine di ridurre gli oneri amministrativi per le imprese;
  • protezione dei dati nel DNS (Domain Name System): la Direttiva impone ai registri dei nomi di dominio (come i TLD – Top-Level Domain, o dominio di primo livello (es. .com, .it, .org)) di raccogliere dati accurati (“dati WHOIS” – database pubblico contenente informazioni sui titolari, i registrar e le date di scadenza dei nomi a dominio registrati), ma specifica che tale raccolta deve avvenire con la dovuta diligenza e in conformità con la normativa sulla protezione dei dati personali;
  • riservatezza e CSIRT (Computer Security Incident Response Team): i gruppi di intervento per la sicurezza informatica (CSIRT) devono garantire la riservatezza e l’affidabilità delle loro operazioni, specialmente quando trattano grandi volumi di dati sensibili durante la gestione di un incidente.

Altro pilastro giuridico dei rapporti tra Cyber Security e GDPR è il D.Lgs. n. 138/2024, che rappresenta l’atto di recepimento nazionale della Direttiva (UE) 2022/2555 (NIS2) e mira a innalzare il livello di sicurezza informatica in Italia, stabilendo un legame operativo e giuridico tra la protezione delle reti e la tutela della Privacy.

Qui di seguito i punti salienti del provvedimento:

  1. rapporto con il GDPR e la Privacy:
    • limiti al trattamento: l’Agenzia per la cyber sicurezza nazionale (ACN), le autorità di settore e i soggetti obbligati (essenziali e importanti) possono trattare dati personali solo nella misura strettamente necessaria agli scopi del decreto, ovvero la gestione dei rischi e la notifica degli incidenti;
    • dati WHOIS e nomi di dominio: i gestori di registri di nomi di dominio (come i TLD) hanno l’obbligo di raccogliere dati accurati sui titolari per garantire la resilienza del sistema DNS, ma tale raccolta e l’eventuale accesso di terzi devono avvenire in piena conformità con il diritto dell’Unione sulla protezione dei dati;
  2. cooperazione tra Autorità: un punto cardine è il coordinamento tra la cyber sicurezza e la protezione dei dati:
    • collaborazione con il Garante: il Decreto impone una stretta collaborazione tra l’Autorità nazionale competente NIS (l’Agenzia per la cyber sicurezza nazionale) e il Garante per la protezione dei dati personali;
    • gestione degli incidenti: qualora un incidente informatico comporti anche una violazione di dati personali (data breach), le autorità devono coordinarsi per assicurare che il soggetto interessato adempia agli obblighi di notifica previsti sia dalla NIS2 che dal GDPR;
  3. Implementazione della Direttiva NIS2: il Decreto traspone gli obiettivi della Direttiva 2555/2022 attraverso:
    • nuova Governance: conferma l’Agenzia per la cyber sicurezza nazionale (ACN) come Autorità nazionale NIS e “Punto di contatto unico” per il raccordo transfrontaliero con gli altri Stati membri dell’UE;
    • ampliamento dei soggetti: introduce una distinzione tra “soggetti essenziali” e “soggetti importanti” in base alla loro criticità per l’economia e la società, assoggettandoli a obblighi di gestione del rischio e notifica di incidenti significativi;
    • strategia nazionale: prevede l’adozione di una strategia nazionale di cyber sicurezza per definire obiettivi e priorità a livello di sistema.

Nell’ambito del trattamento dei dati

Si rammenta come il Regolamento (UE) 2023/2854, noto come Data Act, stabilisca norme armonizzate per garantire un accesso equo ai dati generati da “prodotti connessi” e “servizi correlati”, mantenendo un legame di stretta subordinazione e integrazione con la normativa sulla protezione dei dati personali.

Per “Prodotti connessi (IoT)” si devono intendere beni che ottengono, generano o raccolgono dati relativi al loro utilizzo o ambiente, capaci di comunicare tali dati tramite connessione fisica, elettronica o su dispositivo (es. elettrodomestici smart, macchinari industriali, veicoli).

Per “Servizi correlati” si devono intendere servizi digitali, inclusi software, integrati o connessi al prodotto al momento dell’acquisto/noleggio, senza i quali il prodotto non funzionerebbe correttamente.

Di seguito, sono sintetizzati i punti più importanti del Regolamento:

  1. diritti dell’utente e dell’interessato:
    • se l’utente di un “prodotto connesso” è anche l’interessato (la persona a cui si riferiscono i dati), ha il diritto di accedere a tutti i dati generati, sia personali che non personali;
    • se l’utente non è l’interessato (ad esempio un’azienda), i dati personali possono essere messi a sua disposizione solo se esiste una valida base giuridica conforme al GDPR (come il consenso dell’interessato o l’esecuzione di un contratto);
  2. minimizzazione e Privacy by Design: il Regolamento sottolinea l’importanza dei principi di minimizzazione dei dati e della protezione dei dati fin dalla progettazione. Le parti coinvolte devono attuare misure tecniche e organizzative, come la pseudonimizzazione o la cifratura, per tutelare i diritti degli interessati;
  3. limitazioni all’uso dei dati: i dati ottenuti non possono essere utilizzati per la profilazione degli individui, a meno che ciò non sia strettamente necessario per fornire il servizio richiesto dall’utente. Inoltre, i dati personali devono essere cancellati non appena non sono più necessari per la finalità concordata;
  4. accesso per necessità eccezionali da parte di enti pubblici: gli enti pubblici possono richiedere dati in casi di “necessità eccezionale” (es. emergenze pubbliche). In tali casi, se la richiesta riguarda dati personali, l’ente deve specificare le misure tecniche (come l’anonimizzazione o la pseudonimizzazione) adottate per proteggere la Privacy;
  5. cooperazione tra Autorità: le autorità competenti per l’applicazione del Data Act devono collaborare strettamente con le autorità di controllo della protezione dei dati (come il Garante Privacy) per garantire la coerenza tra le normative.

Potrebbe interessarti anche...

Il ruolo vicario del Collegio sindacale: tempistiche di attivazione tra efficacia del presidio e ragionevolezza dell’intervento

Tutela dei dati e sistemi informativi: i fondamenti normativi tra GDPR, cybersecurity e AI

Le criticità dell’attività di vigilanza del Collegio sindacale

I nuovi verbali del collegio sindacale: novità e punti di attenzione

La riscrittura dell’art. 2407 c.c. e 25-octies CCII – criticità interpretative e applicative

La fase della pianificazione nella revisione legale

Area fiscale

Articoli del giorno

Patent Box e R&S: i chiarimenti su modalità e termini di restituzione dei crediti

La cancellazione dei crediti dal bilancio secondo i Principi contabili e la loro deducibilità fiscale

Cybersecurity e gestione dei dati: NIS2, Data Act e gli obblighi per imprese e professionisti

Rimborso del credito IVA 2025

Vedi tutti gli articoli di EC News

Corsi in evidenza

Bilancio di sostenibilità

Il corso di propone di fornire il quadro della normativa comunitaria in vigore in tema di rendicontazione di sostenibilità e di analizzare i principi di rendicontazione. A partire dal 25/02/2026

Fiscalità internazionale in pratica 2026

Il programma è stato aggiornato alla luce del D.Lgs. 209/2023, del D.L. 84/2025 e delle più recenti novità normative, con particolare attenzione ai temi emergenti del diritto tributario internazionale. A partire dal 17/03/2026

Masterclass fiscalità immobiliare

Il percorso è articolato in cinque giornate in cui sono affrontati ed approfonditi gli aspetti fiscali connessi alla gestione ed al trasferimento degli immobili. A partire dall’11/03/2026

Mondo professione

Protezione delle e‑mail negli Studi Professionali: SPF, DKIM e DMARC spiegati in modo operativo

Scenario delle Professioni: l’AI entra nel perimetro normativo delle professioni

Euroconference e Task S.r.l.: un ponte tra innovazione industriale e consulenza evoluta

La trasformazione degli studi professionali: quando la competenza non basta più

Euroconference NEWS è una testata registrata al Tribunale di Verona Reg. n. 1993 del 05/09/2013
Direttore responsabile Sandro Cerato
Copyright 2016 © Gruppo Euroconference S.p.A. v2.31.3
Via E. Fermi, 11 - 37135 Verona - info@ecnews.it
Capitale Sociale € 300.000,00 i.v. C.F. P.IVA Iscrizione Registro Imprese di Verona 02776120236

Torna in alto