DPO e NIS2, una opportunità di miglioramento continuo

Dal 16 ottobre 2024, col Decreto Legislativo n. 138/2024, è stata recepita in Italia la Direttiva NIS2 (Direttiva (UE) 2022/2555), seconda versione del Network and Information Security (NIS). Riassumendoli, i minimi termini potrebbero essere questi: una Autorità competente per la NIS, ACN, un punto di contatto fisico unico tra l’azienda e l’autorità e sanzioni massime dell’ordine di diversi milioni di euro. Si possono, fatte le dovute differenze, notare analogie con il GDPR: l’Autorità garante, il DPO e le sanzioni milionarie. Sono mondi in contatto in cui deve crearsi uno scambio continuo di informazioni ed esperienze, ex ante, per proteggere il patrimonio aziendale, ed ex post in caso di evento sinistro, come violazioni e databreach.

Sinergie

Il GDPR e NIS2 sono parte dei fondamenti che garantiscono la resilienza e la sovranità digitale. Verificare che il patrimonio informativo personale sia protetto è uno dei compiti del DPO. Dopo circa dieci anni dalla pubblicazione del GDPR termini come “privacy by default”, “privacy by design” e far sì che “misure tecniche e organizzative” siano “adeguate” in relazione a ciò che il mercato offre così da rendere sicuro il perimetro, sia aziendale che nazionale, diventano termini che si possono declinare via norme specifiche con significati nell’ambito della cybersicurezza. Quindi non più solo una serie di “buone pratiche” spesso facoltative, bensì direttive e conseguenti sanzioni.

NIS2 ha il vantaggio di poter guardare la strada che il GDPR ha percorso dalla sua introduzione nella società, ai suoi successi, ma anche agli intralci che ha incontrato per evitarli in tempo.

La NIS2, ha un effetto positivo perché spinge il DPO a crescere professionalmente, trovandosi nella situazione di prepararsi ancora di più e meglio nelle tematiche cyber e di rischio informatico. Un DPO che verificasse solo basi giuridiche, le informative o che chiedesse passivamente al CISO o al punto di contatto di “difendere dati e perimetro” senza essere un contraltare critico e consapevole, non sarebbe oggi un valore aggiunto, e poco porterebbe in più all’azienda.

Il principio di consapevolezza si declina dunque nella possibilità di parlare anche la lingua della cybersicurezza e rendersi parte attiva. In primo luogo, l’analisi del rischio contiene in sé la valutazione del rischio cyber, e a seguire le policy, la continuità operativa, i backup disponibili in caso di restore, che sia a causa di aggressione informatica, accessi non autorizzati o hacking o cracking.

L’obbligatorietà della notifica degli incidenti di sicurezza fa capire che esiste un percorso comune da seguire tra le figure che si occupano della protezione del perimetro aziendale, percorso che inizia da un assesment e da una conoscenza della realtà aziendale, dei suoi servizi, dei suoi punti deboli, del capitale umano.

L’evoluzione del GDPR ha portato alla creazione di possibili modelli organizzativi per la protezione dei dati personali, per ridurre la complessità di gestione e questo rappresenta una esperienza spendibile anche in ambito NIS2, rendendo più rapido il raggiungimento degli obiettivi della cyber sicurezza.

I due mondi hanno necessità di una governance con strategie nazionali e sovranazionali, perché i temi sono trasversali ed obbligatori in campo comunitario e con riflessi anche internazionali.

Entra prepotente anche il tema della IA, che per il DPO era solo legato alla dignità, ai diritti della persona e a evitare che giudizi automatici potessero lederli, ma con la guerra cibernetica diventa anche strumento ulteriore di aggressione.

La NIS2 arriva in tempo utile e si erge a linea di difesa, e questo riguarda anche il DPO. Il modello organizzativo privacy va aggiornato. Chi poi ha già approntato un modello organizzativo per la protezione dei dati personali che regola e gestisce la realtà aziendale e i suoi processi, può con più facilità crearne uno analogo in ambito NIS2, mettendo a terra i decreti relativi aggiungendo le declinazioni successive della famiglia ISO 27000.

Specialisti cyber, punti di contatto e DPO devono iniziare a lavorare “prima” per essere pronti a gestire le emergenze “poi”. Quello che farà la differenza sul campo sarà possedere dei modelli organizzativi con una regia armonica.

Lucio Badiali | DPO e Istituto nazionale di geofisica e vulcanologia

Altre news

AI compliance: guida operativa alle raccomandazioni dell’EDPS per il risk management

Applicare la ISO 31000 al contesto dell’AI Il documento “Guidance for Risk Management of Artificial Intelligence systems”, del Garante [...]

Intelligenza artificiale sul lavoro: come strutturare un’informativa completa?

Una molteplicità di fonti normativeL’impiego di sistemi di Intelligenza Artificiale (AI) nel contesto lavorativo è al centro di un intenso e [...]

AI Act e GDPR: quali interazioni impattano sull’attività dei DPO? Analisi pratica su DPIA, FRIA, legittimo interesse e obblighi

Scopo dello studio: le tre domande di ricercaLo studio, condotto dal Dipartimento per la trasformazione, l’innovazione e la salute, mira ad esaminare la [...]

Procedimento disciplinare e privacy: il Tribunale di Brescia annulla la sanzione di 20.000 inflitta al Comune di Lonato

Descrizione dei fattiLa sanzione trae origine da un procedimento disciplinare avviato dal Comune di Lonato del Garda nei confronti di un proprio dipendente. Il [...]