Comprendere il GDPR e la direttiva NIS-2 e integrare la protezione dei dati nella tua vita lavorativa quotidiana
Perché la protezione dei dati è più importante che mai
In un mondo sempre più connesso, esposto a minacce informatiche e rischi per la privacy, la protezione dei dati non è più opzionale. Proteggere i dati della tua azienda è essenziale e garantire la conformità alle leggi sulla protezione dei dati è più importante che mai.
Regolamenti come il GDPR e la direttiva NIS-2 aggiornata richiedono alle aziende di salvaguardare i dati sensibili e personali in modo responsabile – sia fisicamente che digitalmente. La non conformità può comportare multe elevate, danni alla reputazione e persino responsabilità personali per i dirigenti.
Questa guida offre una panoramica di entrambe le normative, aiutandoti a comprendere i tuoi obblighi e a intraprendere azioni consapevoli per garantire la conformità.
Rafforza la tua sicurezza. Proteggi la tua azienda.
Rimani conforme.
I dati personali sono tutte le informazioni relative a una persona fisica identificata o identificabile, direttamente o indirettamente, ad esempio: Cosa sono i dati personali?
Nomi Indirizzi
Codici fiscali / numeri di previdenza sociale
Filmati di videosorveglianza (CCTV)
Proteggere i dati significa proteggere sia le informazioni digitali che cartacee – una violazione dei dati può verificarsi in entrambe le forme.
COS’È NIS-2?
Rafforzare la cybersecurity in Europa
La direttiva sulla sicurezza delle reti e delle informazioni 2 (NIS-2) è l’ultima normativa dell’UE per migliorare la sicurezza informatica e la resilienza dei settori critici. È entrata in vigore nel 2023 e tutti gli Stati membri dell’UE devono implementarla entro ottobre 2024.
NIS-2 riconosce che le economie moderne dipendono dall’infrastruttura digitale e che le interruzioni causate da incidenti informatici possono avere conseguenze devastanti. Si applica quindi sia alle entità essenziali sia alle entità importanti.
NIS-2 si applica alla tua azienda?
Se la tua organizzazione svolge un ruolo chiave nell’economia o nella società, anche indirettamente, è probabile che rientri nella NIS-2. La direttiva si applica a prodotti e servizi classificati come settori “essenziali” o “importanti”.
ICT
Entità essenziali: Entità importanti:
Energia
Pubblica amministrazione
Trasporti
Spazio
Banche
Servizi postali e corrieri
Infrastrutture dei mercati finanziari
Gestione dei rifiuti
Salute
Produzione industriale
Acqua potabile
Produzione chimica
Acque reflue
Produzione alimentare
Infrastrutture digitali Fornitori digitali
Gestione
I due principi fondamentali di NIS-2
Le aziende soggette a NIS-2 devono adottare sia misure preventive sia meccanismi di risposta.
Dovere di diligenza (Duty of Care):
Le organizzazioni devono implementare misure tecniche, operative e organizzative proporzionate per garantire la sicurezza digitale e la continuità. Questo può includere la protezione dei sistemi IT, la valutazione delle vulnerabilità, la gestione dei rischi della catena di fornitura e la responsabilità a livello dirigenziale.
Obbligo di notifica (Duty to Report):
Le organizzazioni devono informare l’autorità nazionale competente in caso di incidenti significativi. Gravi interruzioni devono essere segnalate entro 24 ore, altri incidenti entro 72 ore. Un rapporto finale dettagliato deve essere presentato entro un mese.
Sanzioni in caso di non conformità:
Il mancato rispetto della NIS-2 può comportare gravi conseguenze finanziarie e operative:
SANZIONI 10 milioni € €
fino a o 2 % del fatturato annuo globale per le entità essenziali
fino a
SANZIONI 7
milioni € €
o 1,4 % del fatturato annuo globale per le entità importanti
I dirigenti possono essere ritenuti personalmente responsabili, inclusi divieti temporanei o permanenti di operare in determinati settori.
Il rischio nascosto: violazioni di dati cartacei
Sebbene NIS-2 si concentri sulla resilienza digitale, i rischi legati ai dati fisici non devono essere ignorati. Qualsiasi incidente in cui i dati personali vengano persi, rubati o divulgati in modo improprio è incluso – compresi documenti cartacei non distrutti in modo sicuro. Pensate a contratti gettati nei rifiuti, fogli di calcolo lasciati sulle scrivanie, fascicoli HR in armadi non chiusi a chiave o fatture nei bidoni di riciclo aperti. Ognuno di questi scenari può esporre la tua azienda a multe e danni alla reputazione.
COS’È IL GDPR?
Proteggere i dati personali
Il Regolamento Generale sulla Protezione dei Dati (GDPR) regola dal 2018 la protezione dei dati nell’UE e nel Regno Unito. Garantisce che i dati personali siano trattati in modo lecito, trasparente e sicuro.
I 6 principi della protezione dei dati
Questi sei principi devono costituire il cuore di qualsiasi strategia di protezione dei dati:
1. Trattamento lecito, corretto e trasparente
2. Raccolta per finalità specifiche, esplicite e legittime, senza successivo trattamento contrario a tali finalità
3. Adeguati, pertinenti e limitati a quanto necessario
4. Corretti e aggiornati; le inesattezze devono essere corrette o cancellate senza ritardo
5. Conservati non più a lungo del necessario
6. Trattamento sicuro
Quando segnalare una violazione dei dati?
Le violazioni devono essere comunicate all’autorità di controllo entro 72 ore e, in alcuni casi, anche agli interessati.
Il mancato rispetto del GDPR può comportare gravi conseguenze finanziarie: Sanzioni in caso di non conformità: SANZIONI
20 milioni € € fino a o 4 % del fatturato mondiale, a seconda di quale sia maggiore
NIS-2 vs GDPR
Comprendere le differenze
Ecco un riepilogo sintetico delle differenze tra i due regolamenti:
ASPETTO NIS-2
Focus
Ambito
Cybersecurity e resilienza digitale nei settori essenziali e importanti
GDPR
Protezione dei dati personali (digitali e cartacei) per tutte le organizzazioni che trattano dati di cittadini UE/UK
Entità essenziali e importanti (energia, trasporti, banche, salute, infrastrutture digitali, ecc.)
Principi chiave Duty of Care & Duty to Report
Segnalazione violazioni
Autorità entro 24h per interruzioni, 72h per altri casi
Qualsiasi organizzazione che raccoglie, memorizza o tratta dati personali
Sanzioni
Fino a 10M € o 2% (entità essenziali), fino a 7M € o 1,4% (entità importanti)
Sei principi di protezione dei dati (liceità, limitazione della finalità, minimizzazione, accuratezza, limitazione della conservazione, integrità e riservatezza)
Autorità entro 72h, talvolta anche agli interessati
Fino a 20M € o 4% del fatturato mondiale
Responsabilità dirigenti
Responsabilità personale possibile, incluso divieto di operare nel settore
L’organizzazione viene multata, la responsabilità può estendersi a DPO o manager
Azioni pratiche
Rafforzare la conformità
Per la maggior parte delle organizzazioni, conformarsi a NIS-2 e GDPR significa combinare politiche solide, tecnologia sicura e consapevolezza quotidiana dei dipendenti.
1 Confermare i propri obblighi
Verificare se la tua organizzazione è classificata come entità essenziale o importante ai sensi di NIS-2
Rivedere le responsabilità GDPR e capire quali dati si possiedono e perché
2 Rafforzare le pratiche di sicurezza
Implementare e aggiornare regolarmente firewall, crittografia e piani di risposta agli incidenti
Non trascurare i rischi fisici – controllo delle stampe non sorvegliate, archiviazione e smaltimento sicuro
3 Definire le procedure di segnalazione
Stabilire percorsi chiari di escalation per gli incidenti
Assegnare responsabilità per la segnalazione e la documentazione delle violazioni
Garantire che il team possa rispettare le scadenze rigorose (24–72 ore)
4 Formare regolarmente i dipendenti
Integrare la protezione dei dati nella cultura quotidiana, non solo nelle policy IT
Affrontare sia i rischi digitali (phishing, gestione password) sia quelli cartacei (archiviazione, distruzione)
5 Controllare il ciclo di vita dei documenti
Introdurre una policy di distruzione dei documenti cartacei obsoleti
Conservare i documenti sensibili in sicurezza fino allo smaltimento
Conservare solo ciò che è necessario – rivedere regolarmente gli archivi e distruggere in sicurezza i documenti scaduti
Soluzioni Fellowes
Strumenti pratici
per rafforzare la conformità
Dalla distruzione sicura all’archiviazione organizzata e ai filtri privacy per schermo, le soluzioni Fellowes aiutano a proteggere le informazioni in ogni fase del loro ciclo di vita, supportando la conformità a NIS-2 e GDPR.
Sfida:
Prevenire le violazioni dei dati dai documenti cartacei
Soluzione:
Distruggidocumenti – Integrarli nella policy documentale riduce il rischio di violazioni. Distruggere copie cartacee non più necessarie in modo che i dati sensibili non possano essere recuperati o utilizzati impropriamente.
Esplora i distruggidocumenti
Sfida:
Conservare i documenti fisici in modo sicuro e sistematico
Soluzione:
Soluzioni di archiviazione – Mantenere archivi ordinati con prodotti BANKERS BOX® chiaramente etichettati e ben organizzati, per un trasporto sicuro fino al momento della distruzione.
Esplora la gamma di soluzioni per l'archiviazione e l'organizzazione a casa e in ufficio.
Sfida:
Proteggere i dati a schermo da occhi indiscreti
Soluzione:
Filtri privacy – Prevengono il furto visivo dei dati sugli schermi, ideali per lavoratori ibridi e uffici condivisi.
Filtri per la privacy PrivaScreen™
Sfida:
Proteggere i dispositivi in movimento o in spazi condivisi
Soluzione:
Protezione laptop – La custodia Breyta™ due-inuno con serratura protegge laptop, documenti importanti e accessori e funge anche da supporto per laptop.
Fellowes presenta Breyta™
La protezione dei dati non è più solo responsabilità IT È un impegno a livello aziendale. Allineandosi a GDPR e NIS-2 e integrando pratiche sicure di gestione dei documenti e dei dati nelle attività quotidiane, la tua azienda può evitare multe, costruire fiducia e rimanere resiliente.
Fai della protezione dei dati parte del tuo lavoro quotidiano.
