A gennaio 2026 entrano in vigore gli obblighi di notifica previsti dal D.Lgs. 138/2024 (NIS 2). Da quella data, le organizzazioni classificate come soggetti essenziali e importanti dovranno notificare gli incidenti significativi al CSIRT Italia entro 24 ore dalla loro conoscenza.
Il problema: molte di queste organizzazioni trattano anche dati personali e sono già soggette agli obblighi di notifica del GDPR. Quando un incidente è contemporaneamente “significativo” per la NIS 2 e “data breach” per il GDPR, scattano due percorsi di notifica paralleli, con tempistiche diverse, autorità diverse e criteri di valutazione diversi.
A due mesi dall’entrata in vigore, le organizzazioni devono chiedersi: siamo pronti a gestire un incidente notificabile entro 24 ore? CISO e DPO hanno procedure comuni o lavorano in silos separati?
Esperta in diritto delle nuove tecnologie, e-privacy, e-government e GDPR.
È docente presso enti universitari, pubbliche amministrazioni e società private. È autrice di articoli e pubblicazioni nelle materie di sua competenza. Svolge attività di consulenza sul trattamento dei dati personali per società private, pubbliche amministrazioni ed enti pubblici.