Gestione dei rischi, privacy e sicurezza delle informazioni, i ruoli chiave richiedono nuove sinergie, processi condivisi e governance di sistema fino ai livelli più alti
La direttiva NIS2 rappresenta una delle novità più dirompenti degli ultimi anni in materia di sicurezza informatica. Il quadro normativo spinge le organizzazioni a migliorare i propri assetti di governance. Ne deriva un coinvolgimento maggiore di figure centrali: il data protection officer (DPO) e il chief information security officer (CISO), a cui si aggiunge la figura sempre più emergente del risk manager (RM). Mentre il DPO è stato introdotto dal Regolamento Europeo sulla protezione dei dati (GDPR), come garante del rispetto delle norme sulla privacy, il CISO ha storicamente guidato la sicurezza delle informazioni aziendali.
Con la NIS2, i confini tra privacy e sicurezza si fanno più sfumati, e le due funzioni sono chiamate a lavorare insieme su fronti comuni, come la gestione dei rischi cyber, la compliance integrata e la risposta agli incidenti, mentre l’RM, figura ancora molto rara nelle aziende, valuta e gestisce i rischi che possono minacciare tutti gli obiettivi aziendali. La NIS2 coinvolge più funzioni, ma il CISO, con l’applicazione della normativa, si trova a dover supervisionare l’intero ciclo di vita della sicurezza informatica dalla prevenzione alla risposta, fino al recupero e alla resilienza operativa, sia per le componenti infrastrutturali che applicative, oltre a promuovere programmi di formazione continua in materia di sicurezza, rivolti a tutto il personale.
Inoltre, assume un ruolo chiave, insieme al RM nella mappatura e mitigazione dei rischi non solo IT, ma anche organizzativi e di filiera, coinvolgendo fornitori e partner, che devono essere maggiormente monitorati. Dall’altro lato il DPO vede il proprio ruolo espandersi con la NIS2, in quanto la protezione dei dati personali non può più essere vista come un compartimento stagno rispetto alla sicurezza informatica. Partendo dai suoi compiti di base il DPO sarà sempre più chiamato a collaborare con il CISO per garantire che i requisiti di privacy by design e by default siano integrati nei processi di sicurezza informatica.
Nel suo supporto all’analisi delle valutazioni d’impatto sulla protezione dei dati (DPIA), dovrà tener conto anche dei nuovi rischi cyber introdotti dalla NIS2, incrementando quindi le proprie competenze trasversali. Inoltre, dovrà lavorare a stretto contatto con il CISO per garantire una corretta segnalazione (comunque distinta) alle autorità competenti, rispettando i tempi ridotti previsti sia dal GDPR (72 ore) che dalla NIS2 (24 ore), e assumerà un ruolo sempre più consulenziale, orientato alla prevenzione e al supporto strategico di tutte le funzioni aziendali coinvolte nella gestione dei dati.
Questa sinergia si deve tradurre nella creazione di processi di risk management condivisi e una governance della sicurezza che coinvolge la dirigenza e l’organizzazione aziendale fino ai livelli più alti, interagendo sempre più con la figura del risk manager, coordinando insieme la valutazione e la gestione dei rischi relativi alla sicurezza informatica e supervisionando l’adozione di misure tecniche e organizzative.
In questo orizzonte delineato DPO, CISO e RM diventano architetti della resilienza, non più solo figure “di controllo” ma veri e propri promotori del cambiamento. Collaborazione, proattività, resilienza e supporto al top management diventano le parole chiave nell’operatività quotidiana di questi ruoli e la loro sinergia non è solo un valore aggiunto ma diventa la condizione imprescindibile per garantire la competitività e la conformità normativa.
Enzo Veiluva comitato direttivo CLUSIT
