Pubblicata in Gazzetta Ufficiale dell’Unione europea dell’11 maggio 2021, il parere del Garante europeo della protezione dei dati (GEPD) sulla strategia in materia di cibersicurezza e sulla Direttiva NIS 2.0 (Network and Information Security).
Per quanto riguarda la strategia in materia di cibersicurezza evidenzia il GEPD, è necessario:
- tenere conto del fatto che il primo passo per attenuare i rischi per la protezione dei dati e la vita privata associati alle nuove tecnologie per il miglioramento della cibersicurezza, come l’IA, consiste nell’applicare i requisiti in materia di protezione dei dati fin dalla progettazione e per impostazione predefinita di cui all’articolo 25 del regolamento generale sulla protezione dei dati, che contribuiranno a integrare le garanzie adeguate, quali la pseudonimizzazione, la cifratura, l’esattezza dei dati, la minimizzazione dei dati, nella progettazione e nell’uso di tali tecnologie e sistemi;
- tenere conto dell’importanza di integrare la prospettiva della protezione della vita privata e dei dati nelle politiche e nelle norme in materia di cibersicurezza nonché nella gestione tradizionale della cibersicurezza, al fine di garantire un approccio olistico e consentire sinergie alle organizzazioni pubbliche e private nella gestione della cibersicurezza e nella protezione delle informazioni che trattano senza inutili moltiplicazioni di sforzi;
- valutare e pianificare l’utilizzo delle risorse da parte delle IUE per rafforzare la loro capacità di cibersicurezza, anche nel pieno rispetto dei valori dell’UE;
- tenere conto delle dimensioni della protezione della vita privata e dei dati nella cibersicurezza investendo in politiche, prassi e strumenti in cui la prospettiva della protezione della vita privata e dei dati sia integrata nella gestione tradizionale della cibersicurezza e che preveda garanzie efficaci in materia di protezione dei dati nel trattamento dei dati personali nell’ambito delle attività di cibersicurezza.
Per quanto riguarda la definizione di cibersicurezza è necessario chiarire il diverso uso dei termini «cibersicurezza» e «sicurezza delle reti e dei sistemi informativi»; utilizzare il termine «cibersicurezza» in generale e il termine «sicurezza delle reti e dei sistemi informativi» solo quando il contesto lo consente (ad esempio un contesto puramente tecnico, senza tenere conto dell’impatto anche sugli utenti dei sistemi e su altre persone).
Per il contenuto completo del parere si rinvia al documento indicato tra i contenuti in allegato.