Argomenti trattati
Negli ultimi anni la relazione tra cybersicurezza e protezione dei dati è passata da tema tecnico a priorità politica. Il pacchetto presentato dalla Commissione europea il 20 gennaio 2026 e la successiva consultazione formale avviata il 21 gennaio 2026 hanno innescato un confronto istituzionale che ha visto EDPB ed EDPS adottare un parere congiunto il 18 marzo 2026, reso pubblico il 19 marzo 2026. In questo contesto, le autorità ribadiscono che la resilienza digitale non può essere perseguita a scapito dei diritti fondamentali, e che serve un approccio integrato per evitare sovrapposizioni normative e inefficienze operative.
Il documento delle due autorità mette in evidenza come l’obiettivo sia duplice: consolidare la capacità difensiva dell’Unione e semplificare gli oneri di conformità per le organizzazioni, mantenendo elevati standard di tutela. Tra le richieste principali c’è l’attenzione al principio di data protection by design and by default, già sancito dal GDPR, e la proposta di adottare strumenti operativi che riflettano questa integrazione. Le osservazioni sottolineano inoltre la necessità di una governance chiara che eviti ambiguità nelle competenze tra agenzie e autorità nazionali.
Ruolo rafforzato di ENISA e meccanismi di consulenza
Tra gli elementi più rilevanti del parere vi è il sostegno all’ampliamento del ruolo dell’ENISA previsto dal Cybersecurity Act 2 (CSA2). Le autorità apprezzano l’orientamento verso meccanismi di certificazione e la maggiore attenzione alle catene di approvvigionamento ICT, comprese le criticità non tecniche. Tuttavia, EDPB ed EDPS chiedono chiarimenti su come ENISA debba supportare diversi stakeholder e raccomandano che l’Agenzia consulti sistematicamente il Garante europeo prima di adottare schemi relativi alla sicurezza del trattamento dei dati personali, per evitare duplicazioni con le certificazioni previste dal GDPR e garantire coerenza normativa.
Pareri e cooperazione istituzionale
Il testo del pacchetto prevede che ENISA rilasci pareri su richiesta preventiva dell’EDPB, ma le autorità propongono di estendere questa facoltà anche all’EDPS. Questo aggiustamento punta a rafforzare il coordinamento tra sicurezza e tutela dei dati, prevedendo un riferimento esplicito all’EDPS tra gli organismi con cui ENISA collabora. In pratica, la raccomandazione mira a definire una catena decisionale che unisca competenze tecniche e garanzie di privacy, riducendo il rischio di orientamenti contraddittori per le organizzazioni.
Certificazione, competenze e notifiche
Un altro nodo chiave riguarda il Quadro europeo di certificazione della cybersicurezza e il suo rapporto con gli schemi di certificazione del GDPR. Il parere sottolinea la necessità di chiarire ambiti e interazioni operative affinché gli schemi per prodotti, servizi e processi usati nel trattamento dei dati personali riflettano controlli di sicurezza utili a dimostrare il rispetto del GDPR, in termini di accountability e gestione del rischio. Parallelamente, viene proposta l’estensione del Quadro delle competenze anche oltre gli specialisti, per diffondere una cultura della sicurezza tra tutta la forza lavoro.
Notifica unica delle violazioni e semplificazione
EDPB ed EDPS riaffermano il sostegno a un punto di accesso unico per la notifica delle violazioni di dati personali, misura che ridurrebbe gli oneri amministrativi per le organizzazioni che operano in più Stati membri. La soluzione proposta punta a una gestione coordinata degli incidenti a livello europeo senza ridurre la protezione per gli interessati, velocizzando la risposta e migliorando la condivisione di informazioni tra autorità competenti.
Implicazioni settoriali: la sanità come banco di prova
Le osservazioni istituzionali hanno ricadute concrete in settori critici come la sanità, dove i data breach hanno impatti clinici ed economici significativi. Rapporti come quello di CLUSIT 2026 e studi condotti da centri come il Ponemon Institute evidenziano un aumento degli attacchi e conseguenze dirette sulla cura dei pazienti: ritardi nelle procedure, prolungamento delle degenze e, in casi estremi, aggravamento degli esiti clinici. Per questo motivo, la designazione dei fornitori di portafogli digitali europei come “entità essenziali” nella proposta di modifica a NIS2 è vista come un passo necessario per garantire livelli elevati di sicurezza e affidabilità.
In sintesi, il parere congiunto di EDPB ed EDPS traccia una strada in cui sicurezza e privacy si rafforzano a vicenda se sostenute da una governance chiara, meccanismi di certificazione coerenti e una cultura organizzativa diffusa. La sfida adesso è trasformare queste indicazioni in norme operative che semplifichino la compliance senza ridurre le tutele per i cittadini, mantenendo alta l’attenzione su settori vulnerabili come la sanità e sulle nuove infrastrutture digitali.