Implementazione della NIS 2: un piano d’azione per il DPO

Valutazione dell’applicabilità della NIS 2 all’organizzazione

Prima di intraprendere qualsiasi azione, il DPO dovrebbe accertarsi se e in che misura l’organizzazione rientri nel perimetro di applicazione della NIS 2. Questa valutazione comporta:

1. un’analisi normativa: occorre identificare i criteri di classificazione tra soggetti essenziali e soggetti importanti ai sensi della Direttiva NIS 2 e del relativo Decreto di recepimento nazionale;
2. una valutazione dell’infrastruttura IT e dei processi aziendali: bisogna determinare se i servizi offerti dall’organizzazione rientrino tra quelli ritenuti critici per il funzionamento dello Stato o per la società;
3. una mappatura delle intersezioni con il GDPR: vanno individuate le aree di sovrapposizione tra i requisiti di cybersecurity della NIS 2 e le misure di protezione dei dati personali imposte dal GDPR;
4. la predisposizione di un piano di compliance: va poi elaborata una roadmap dettagliata per l’adeguamento dell’organizzazione, garantendo la coerenza tra le due normative.

Coordinamento con il punto di contatto NIS 2

Il punto di contatto dell’ACN per la NIS 2 svolge un ruolo chiave nella gestione e nel monitoraggio delle minacce cyber. Il DPO, pur avendo competenze differenti, dovrebbe instaurare un canale di comunicazione efficace con questa entità al fine di:

1. accedere a informazioni aggiornate sulle minacce emergenti e sulle vulnerabilità del settore;
2. coordinare la risposta agli incidenti, evitando incongruenze o sovrapposizioni con i processi di data breach notificabili ex art. 33 GDPR;
3. integrare le best practice di cybersecurity nel Modello Organizzativo Privacy (MOP);
4. contribuire alla creazione di una cultura aziendale di sicurezza, sensibilizzando il management e gli stakeholder sui requisiti congiunti delle due normative.

Monitoraggio del piano di implementazione della NIS 2

L’effettiva adozione delle misure richieste dalla NIS 2 richiede un monitoraggio costante da parte del DPO, con un focus specifico sui seguenti aspetti:

1. accesso alla documentazione strategica: dovrebbe ottenere visibilità sulle policy aziendali di cybersecurity e sulle misure di sicurezza implementate;
2. supervisione dell’attuazione delle misure di sicurezza: dovrebbe anche verificare che le azioni intraprese siano coerenti con gli obblighi della Direttiva e che abbiano un impatto positivo sulla protezione dei dati personali;
3. intervento tempestivo in caso di criticità: dovrebbe, inoltre, segnalare eventuali non conformità e suggerire azioni correttive per garantire un allineamento continuo tra cybersecurity e data protection.

Partecipazione alle attività di audit

L’audit rappresenta uno strumento essenziale per valutare l’efficacia delle misure di sicurezza adottate.

Il DPO dovrebbe collaborare con gli auditor interni ed esterni per verificare che le politiche di cybersecurity siano conformi sia alla NIS 2 che al GDPR.

L’attività di audit dovrebbe essere combinata e condotta in conformità con la norma ISO 19011, al fine di garantire un controllo integrato delle misure di protezione adottate e delle eventuali vulnerabilità.

Integrazione della gestione degli incidenti

La NIS 2 e il Decreto di recepimento impongono un framework dettagliato per la gestione degli incidenti di sicurezza, il quale supera in complessità le disposizioni del GDPR in materia di data breach.

Il DPO dovrebbe essere coinvolto nella revisione e nell’adeguamento delle procedure di gestione degli incidenti, garantendo che il protocollo aziendale sia in linea con le disposizioni della Decreto NIS 2 e con le linee guida dell’ACN sulla notifica degli incidenti (edizione luglio 2024).

Un’adeguata gestione degli incidenti riduce il rischio di esposizione ai cyber attacchi e migliora la capacità di risposta dell’organizzazione.

Una procedura unica per la gestione degli incidenti

La coesistenza di due normative con requisiti diversi può generare frammentazione nelle procedure aziendali.

Per evitare incongruenze, il DPO dovrebbe promuovere l’adozione di una procedura unificata che contempli sia gli incidenti di sicurezza informatica (NIS 2) sia le violazioni dei dati personali (GDPR).

Questa integrazione consente un approccio più coordinato, riducendo il rischio di confusione operativa e migliorando l’efficienza nella risposta agli incidenti.

Supervisione delle vulnerabilità dei sistemi

Anche quando un incidente non riguarda direttamente dati personali, esso può rivelare falle nella sicurezza aziendale che compromettono l’infrastruttura informatica nel suo complesso.

Il DPO dovrebbe essere informato di qualsiasi vulnerabilità rilevata, al fine di adottare misure correttive tempestive e prevenire future minacce.

La supervisione costante dei rischi permette di rafforzare la postura di sicurezza dell’organizzazione e di proteggere in modo più efficace l’integrità dei dati trattati.

Conclusioni

La NIS 2 rappresenta per il DPO un’opportunità di estendere il proprio ruolo oltre la mera protezione dei dati personali, assumendo una posizione chiave nella governance della cyber security.

L’integrazione delle misure previste dalla Direttiva con il GDPR consente di costruire un sistema di protezione più robusto, resiliente e allineato agli standard europei.

Piuttosto che essere percepita come un onere burocratico, la NIS 2 potrebbe/dovrebbe essere sfruttata come un vantaggio strategico per migliorare la sicurezza complessiva dell’organizzazione.

L’adozione di un piano d’azione ben strutturato consente al DPO di operare con maggiore efficacia, trasformando la compliance normativa in un valore aggiunto per la protezione dei dati e dei sistemi informativi aziendali.

Così il DPO, con un piano d’azione ben strutturato, può davvero diventare un protagonista nella costruzione di un ecosistema digitale sicuro e affidabile.