Nel 2025, affidarsi a una checklist GDPR è come consultare una mappa del tesoro del 2018: obsoleta e potenzialmente pericolosa. Con la crescente complessità normativa europea, tra GDPR, NIS2, DORA e altre direttive, le aziende devono affrontare un contesto in continuo cambiamento.
Potremmo dire che pensare a ogni normativa come un silo separato è come chiedere a un idraulico, un elettricista e un muratore di costruire una casa senza mai parlarsi: un disastro garantito.
Come cambia il GDPR 2025? Come cambia la sua visione all’interno dell’ecosistema di leggi che l’unione europea ha già emesso o sta emettendo? Quali cambiamenti portano ciascuna di queste nella visione di insieme? Vediamo insieme.
Il 2025 è l'anno in cui il principio di "adeguatezza" delle misure di sicurezza, sancito dall'articolo 32 del GDPR, viene messo alla prova da minacce informatiche di nuova generazione.
Tutti i giorni vediamo come i cybercriminali stiano sfruttando tecnologie all'avanguardia per superare le difese convenzionali, rendendo, di fatto, le pratiche di cybersecurity obsolete e, di conseguenza, non più sufficienti a garantire la conformità al GDPR. Una ricerca di Gartner evidenzia un dato allarmante: oltre il 35% delle aziende, precedentemente considerate conformi, sono state segnalate per misure di sicurezza inadeguate, e questa non conformità non deriva da negligenza, ma da una mancata capacità di adattamento al panorama delle minacce in continua evoluzione.
L'attività del Garante per la protezione dei Dati Personali in Italia fornisce un esempio concreto di questa tendenza. Nel corso del 2025, l'Autorità ha emesso sanzioni significative che non introducono nuovi obblighi, ma chiariscono l'applicazione rigorosa di quelli esistenti a contesti tecnologici moderni. Tra questi, ricordiamo i provvedimenti relativi alla:
Nel 2025 possiamo dire che alcuni dei principi fondamentali del GDPR, come quello della "Data Protection by Design and by Default" (Art. 25) e quello della "Sicurezza del trattamento" (Art. 32), sono stati tradotti in requisiti tecnici e organizzativi sempre più specifici e avanzati.
La conformità non si esaurisce più nell'adozione di misure generiche, ma richiede l'implementazione di paradigmi di sicurezza moderni, capaci di rispondere efficacemente alle minacce attuali, ovvero:
Alla luce di questi fattori, possiamo dire che la conformità al GDPR nel 2025 ha superato il modello "a checklist" per evolvere verso un modello di resilienza adattiva.
Non è più sufficiente implementare una serie di controlli e considerarli statici, ma le organizzazioni devono dimostrare di aver messo in atto un programma di sicurezza dinamico, basato su un monitoraggio continuo del panorama delle minacce e su una valutazione costante dell'adeguatezza delle proprie misure.
Il GDPR non opera in isolamento. La NIS2 mira a garantire un livello comune di cybersecurity per reti e sistemi informativi a supporto dei servizi essenziali, mentre il GDPR tutela i dati personali e i diritti fondamentali. Entrambe condividono un approccio basato sul rischio e responsabilizzano il vertice aziendale nella gestione della sicurezza.
Il Regolamento DORA, specifico per il settore finanziario, integra questi principi rafforzando la resilienza operativa e la gestione dei fornitori ICT, senza sostituire il GDPR. La notifica degli incidenti ICT secondo DORA avviene entro 24 ore, più rapida rispetto alle 72 ore del GDPR.
L’AI Act introduce obblighi sulla sicurezza dei sistemi di IA, richiedendo trasparenza, equità e supervisione umana per i sistemi ad alto rischio. I sistemi che trattano dati personali devono rispettare entrambe le normative, creando sinergie ma anche complessità operative.
Il Cyber Resilience Act (CRA) estende la sicurezza “by design” a hardware e software, fornendo il supporto tecnico per l’applicazione dei principi GDPR e riducendo il rischio derivante da prodotti digitali intrinsecamente insicuri. Allo stesso modo, il Data Governance Act e il Data Act promuovono la condivisione sicura dei dati non personali e misti, armonizzandosi con il GDPR in caso di dataset contenenti informazioni personali.
Infine, lo European Health Data Space (EHDS) consente ai cittadini un maggiore controllo sui propri dati sanitari elettronici, rafforzando i diritti previsti dal GDPR e introducendo strumenti di accesso regolamentato per scopi di ricerca e innovazione.
La complessità normativa richiede di superare l’approccio a silo. Lo sviluppo di nuovi prodotti digitali deve essere valutato simultaneamente rispetto a GDPR, CRA, AI Act e altre normative, creando un framework integrato che trasformi la conformità in un pilastro della governance operativa.
L'adozione di servizi di Managed Detection and Response (MDR) è diventata una strategia cruciale per le organizzazioni che cercano di rafforzare la propria postura di sicurezza. Questi servizi, erogati da fornitori specializzati, offrono monitoraggio continuo, rilevamento avanzato delle minacce e capacità di risposta agli incidenti 24/7, colmando un divario critico di competenze e risorse interne per molte aziende; tuttavia, è opportuno ricordare che l'esternalizzazione di queste funzioni di sicurezza introduce una complessità significativa dal punto di vista della protezione dei dati.
Per svolgere il loro compito, i fornitori MDR devono necessariamente accedere e analizzare enormi volumi di dati operativi (log di sistema, traffico di rete, attività degli endpoint, metadati) che inevitabilmente includono dati personali di dipendenti, clienti o utenti. Un fornitore MDR maturo deve essere in grado di offrire soluzioni che bilancino queste esigenze, ad esempio avvalendosi tecnologie che permettono analisi efficaci operando su dati pseudonimizzati o aggregati, e offrendo un elevato livello di personalizzazione delle regole di monitoraggio per allinearle alle specifiche esigenze di compliance del cliente.
Accanto ai servizi MDR, è imprescindibile dotarsi oggi di un piano preventivo strutturato per la risposta agli incidenti (IRP), fondamentale non solo per la protezione dell’organizzazione, ma anche per soddisfare i requisiti di conformità normativa.
È un documento sia strategico che operativo, che stabilisce come l’organizzazione si prepara, rileva, analizza, contiene, elimina e si riprende da un incidente di sicurezza. Non può restare statico o relegato in archivio: deve essere un piano vivo, costantemente testato attraverso esercitazioni pratiche (come tabletop exercise e simulazioni di attacco) e aggiornato regolarmente in base alle lezioni apprese e all’evoluzione continua delle minacce.
Una struttura efficace per un IRP, ispirata a standard internazionali come quelli del NIST o della serie ISO/IEC 27035, si articola tipicamente nelle seguenti fasi:
Il 2025 consolida una transizione irreversibile: la cybersecurity non è più una funzione IT, ma un pilastro della governance aziendale e della strategia di business.
La convergenza tra GDPR e tutto il quadro normativo che l’Europa sta implementando non deve essere interpretata come un mero accumulo di oneri burocratici, ma come la definizione di un framework europeo per una resilienza digitale integrata e sostenibile.
Le organizzazioni che sapranno interpretare questa convergenza come un'opportunità per abbattere i silos interni e costruire un approccio olistico alla gestione del rischio digitale non solo garantiranno la propria conformità, ma acquisiranno un significativo vantaggio competitivo basato sulla fiducia e la sicurezza.
Come diceva Sun Tzu, come l'acqua adatta il suo movimento al terreno, la vittoria si consegue adattandosi al nemico. Oggi, prendendo in prestito il suo pensiero, potremmo dire: nel 2025 la resilienza digitale si ottiene plasmando la strategia non sulle singole normative, ma sull'ecosistema interconnesso che esse creano.
Di Luca Benatti - Head Of Business Development