La gestione degli incidenti secondo la NIS2 in relazione ai dati personali

La gestione degli incidenti secondo la Direttiva NIS2 presenta diverse complessità. Questo tema è stato affrontato ed è in continuo aggiornamento in numerose comunicazioni pubblicate sotto forma di linee guida, FAQ e deliberazioni dell’Autorità competente. L’ultima deliberazione ad oggi disponibile è quella del 19 dicembre 2025: “Determinazione del Direttore Generale dell’Agenzia per la cybersicurezza nazionale di cui all’articolo 31, commi 1 e 2, del decreto legislativo 4 settembre 2024, n. 138, adottata secondo le modalità di cui all’articolo 40, comma 5, lettera l), che, ai sensi dell’articolo 42, comma 1, lettera c), in fase di prima applicazione, stabilisce le modalità e le specifiche di base”.

A partire dal 1° gennaio 2025, tutti gli incidenti rilevanti devono essere notificati secondo quanto previsto dalla normativa. Sebbene alcune comunicazioni lascino margine interpretativo sui tempi, la delibera sopracitata specifica in calce, dopo aver riportato la disamina delle tipologie di incidente che “…le previsioni transitorie inerenti all’obbligo di notifica per gli operatori di servizi essenziali e per gli operatori telco rimangono in vigore fino al 14 gennaio 2026, per poi essere abrogate dalla disciplina generale dell’obbligo di notifica che si applica dal 15 gennaio 2026” e la stessa “…aggiorna e sostituisce la determinazione ACN n. 164179 del 14 aprile 2025…”.

A pochi giorni quindi dall’obbligo di notificare gli incidenti secondo quanto definito, il tema rimane di grande attualità anche per gli operatori nel perimetro della NIS 2 che trattano dati personali. In questo articolo analizziamo come la procedura per la classificazione, gestione e notifica degli incidenti, può essere impostata anche in relazione ai dati personali considerando che le aziende già dovrebbero disporre per soddisfare quanto previsto dal considerando 88 del GDPR. La notifica, per le aziende che rientrano nel perimetro della NIS 2 è obbligatoria per gli incidenti “significativi” ovvero volontaria sulla base di quanto previsto dall’art. 26 del Dlgs 138/2024.

Distinzione tra notifica NIS2 e notifica GDPR - Non tutti gli incidenti significativi nel contesto della NIS2 devono necessariamente essere notificati anche al Garante per la protezione dei dati personali e viceversa.

Ad esempio, in una struttura sanitaria un attacco che altera il la piattaforma SW per la gestione della farmacia centrale interna può essere rilevante ai fini della NIS2 (incidente significativo per i servizi essenziali), ma presumibilmente non ha alcun impatto sui dati personali. Invece, un attacco che compromette i dati del personale gestiti dal fornitore di servizi di gestione amministrativa ha un impatto sui dati personali, ma non influisce sui prodotti o servizi essenziali, forniti dall’organizzazione, nell’ambito NIS2.

Per proseguire la lettura di questo articolo, di Monica Perego - Membro del Comitato Scientifico di Federprivacy, docente qualificato TÜV Italia e docente del Master per Esperto Privacy e del Corso di alta formazione per Data Manager - questo è il link