E’ pacifico che il Regolamento europeo (2016/679) e la Direttiva NIS (Direttiva UE 2016/1148) siano due provvedimenti con contenuti e finalità differenti.
Il primo è dedicato alla protezione dei dati personali, mentre la seconda si propone la difesa delle reti e dei sistemi informativi.
Inoltre, il Regolamento pone obblighi di sicurezza ad una categoria ampia di soggetti, titolare e responsabile del trattamento, a differenza della Direttiva che si rivolge esclusivamente agli operatori di servizi essenziali ed ai fornitori di servizi digitali.
Le suddette diversità, che permangono anche nei decreti legislativi 101/2018 (“Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento” ) e 65/2018 ( “Attuazione della Direttiva 2016 /1148”), tuttavia, non devono trarre in errore, trattandosi di provvedimenti inevitabilmente collegati, considerato che uno tutela il “contenuto” e l’altro il “contenitore”. Entrambi prescrivono misure di sicurezza, mirando a realizzare legislazioni uniformi in materia con cooperazione tra autorità nazionali. Tale complementarietà è fondamentale che venga percepita dalle imprese al fine di evitare interventi mirati ad assolvere il singolo adempimento, piuttosto che a concepire una strategia unitaria in grado di rispettare la normativa nel suo complesso.
Il discorso, invero, non riguarda solo e tanto il rapporto del Regolamento con la Direttiva NIS, riferita a soggetti determinati, ma con tutta la normativa sulla cyber security che man mano sta prendendo corpo. A tal riguardo basta ricordare: il Decreto del Presidente del Consiglio dei Ministri 17 febbraio 2017 “Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica”; il Piano nazionale per la protezione cibernetica e la sicurezza informatica del maggio 2017; la Circolare Agid n.2/2017 sostitutiva della n.1/2017, recante misure minime di sicurezza ICT per le pubbliche amministrazioni.
A tale apparato normativo va aggiunto il Decreto legislativo 231/2001(Responsabilità amministrativa delle società e degli enti) che prevede la responsabilità delle imprese per reati informatici commessi dai vertici e dipendenti a seguito della legge 48/2008 ( Ratifica ed esecuzione della Convenzione del Consiglio d’Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell’ordinamento interno). E’ evidente , infatti, che l’impresa per tentare di essere esonerata da responsabilità, almeno rispetto ai computer crimes, dovrà dimostrare di aver previsto nel modello organizzativo, e di aver adottato nei fatti, tutte quelle misure, soprattutto informatiche, per impedire la commissione dei reati.
Di fronte al nuovo quadro normativo le imprese possono porsi con reazioni differenti:
- a) fatalismo/immobilismo (continuo a muovermi come ho sempre fatto e poi accada ciò che deve accadere ; b) fastidio, che porta a fare piccoli interventi giusto per…(logica del “rattoppare buche”); c) prendo spunto dalle nuove regole per ricreare lo stesso modello di impresa nella sua interezza in modo da trasformare gli obblighi e gli adempimenti in opportunità.
La prima impostazione, oltre che comportare il rischio concreto di andare incontro a sanzioni “pesanti”, non può che portare all’isolamento rispetto al mercato, trattandosi di regole in vigore in tutta l’Europa e con un ampio respiro internazionale.
La seconda, se consente su un piano meramente formale di mettersi in regola, potrebbe non rivelarsi efficace nel lungo periodo, considerato che le normative in parola sebbene differenti perseguono obiettivi che inevitabilmente finiscono con il coincidere.
Unica strada da seguire è quindi quella mirante ad una sicurezza globale dell’attività, creando modelli che pur nelle loro differenze consentano di rispondere alle esigenze di privacy e cybersecurity .
Strategia questa che deve partire dal superamento dell’idea della netta distinzione tra esperto in sicurezza e giurista. L’informatico non può ignorare le norme, il giurista non può ignorare le tecnologie. Conseguentemente le figure tecniche e giuridiche non possono più muoversi separatamente, ma devono andare a braccetto.
Solo partendo da questo primo, e non facile passo, si potrà concepire un rispetto della normativa che risponda anche alle esigenze delle imprese. In caso contrario norme e realtà imprenditoriale rimarranno distanti, con impossibilità di raggiungere gli obiettivi da entrambe perseguiti.
