sicurezza e data protection

Nis 2, il ruolo del DPO nella gestione obblighi

Home Sicurezza digitale Privacy
Indirizzo copiato

L’apporto del DPO agli obblighi richiesti dalla NIS 2 può costituire un fattore di successo per le strategie di sicurezza cibernetica, ma occorre avere consapevolezza della capacità d’intervento e dei limiti d’azione di tale funzione, la quale è comunque destinata principalmente a provvedere agli aspetti di data protection

Pubblicato il 18 set 2023
Stefano Gazzella

Responsabile Comitato Scientifico, Privacy Officer Associazione Italiana Influencer

dpo formazione

La necessità di adottare un approccio integrato fra sicurezza informatica e data protection è una tematica di particolare rilievo soprattutto per le infrastrutture critiche in ragione della sensibilità delle informazioni e per l’impatto significativo nei confronti degli interessati.

A differenza delle strategie di sicurezza attuate su base volontaria, nel caso delle infrastrutture critiche che rientrano nell’ambito di applicazione della NIS 2 le strategie di sicurezza informatica non sono attuate su base volontaria ma devono seguire una logica di accountability rispetto agli adempimenti richiesti dalla normativa che investono principalmente gli aspetti di governance.

Data Protection Officer, un ruolo complesso: il decalogo per evitare errori

Considerata tale premessa, dunque, è corretto chiedersi quale possa essere il ruolo che il DPO può – o meglio: deve – assumere nella gestione di tali obblighi nell’ipotesi di un’organizzazione o già precedentemente soggetta alla Direttiva NIS o che altrimenti si troverà ad essere destinataria degli obblighi della NIS 2. Bisogna infatti considerare che i costituiti o costituendi “gruppi di lavoro NIS” per la programmazione degli interventi da attuare all’interno delle organizzazioni non possono prescindere dal coinvolgere il DPO in ragione dell’impatto che le nuove procedure e la riorganizzazione comporteranno anche nella gestione degli adempimenti in materia di protezione dei dati personali.

Infrastrutture critiche e data protection

Sebbene in ragione della propria funzione il DPO non possa mai essere un soggetto attuatore degli adeguamenti richiesti dalla norma, certamente se ne può fare promotore pur rimanendo nella propria posizione di terzietà ed indipendenza affiancando e supportando altri soggetti che avranno un ruolo di responsabilità nello svolgere gli adempimenti richiesti. Più che essere un soggetto meramente responsivo alle richieste da parte dei vertici aziendali o di soggetti da questi delegati, quali un advisor o un CISO, il DPO deve attenzionare che le specifiche garanzie adottate a tutela degli interessati vengano mantenute nel nuovo assetto organizzativo. Ad esempio, che venga mantenuta una proporzionalità fra le esigenze di maggiore sicurezza interna e il diritto alla protezione dei dati personali degli operatori.

Particolarmente emblematico nella ricerca di un corretto equilibrio fra esigenze di sicurezza e di tutela degli interessati è infatti l’ambito dei controlli interni di sicurezza, i quali inevitabilmente pongono gli operatori nel ruolo di subire determinate attività di trattamento dei propri dati personali che devono comunque rispettare tutte le garanzie del GDPR e i limiti, se del caso, dell’art. 4 dello Statuto dei Lavoratori.

In questo caso è proprio il gruppo di lavoro NIS che deve svolgere un’opera di bilanciamento e avvalersi della consulenza del DPO dovendone tenere conto e, se del caso, motivare eventuali scelte difformi rispetto al parere fornito. Insomma: occorre sempre tenere conto che l’esigenza di aumentare la sicurezza dell’infrastruttura la quale ha naturalmente come conseguenza un generale rafforzamento della protezione dei dati personali di alcune categorie di interessati, non vada a compromettere in modo significativo le altre categorie di interessati coinvolte.

Da qui, l’esigenza continua anche nell’attività di sorveglianza successiva del DPO di ricercare delle alternative di controllo parimenti efficaci ma meno invasive per profondità e persistenza.

L’intervento del DPO nella gestione del rischio

Le misure di gestione del rischio richieste dalla NIS 2 riguardano «misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi e per altri servizi.» (art. 21 Dir. 2022/2555), nonché gli obblighi di segnalazione all’ACN in quanto struttura CSIRT per l’Italia. Già nella fase preliminare di analisi e valutazione dei rischi il contributo del DPO può fornire un apporto considerevole per quanto riguarda la gravità degli impatti nei confronti delle persone fisiche in quanto egli stesso già è chiamato a ragionare secondo un approccio risk-based per lo svolgimento dei propri compiti[1]. Non solo: nelle proprie valutazioni dovrà considerare, qualora l’organizzazione sia stata inserita fra le infrastrutture critiche, quali nuove minacce emergenti possono essere configurate in ragione del contesto esterno.

La fase successiva di implementazione e controllo delle misure, poi, richiede necessariamente una cooperazione da parte del DPO in quanto le politiche e le singole procedure operative rientrano già nelle aree di sua competenza in quanto coinvolgono inevitabilmente anche delle attività di trattamento di dati personali. Se non di interessati esterni, quanto meno degli operatori interni, come precedentemente evidenziato.

Un’organizzazione che già ha affrontato un percorso di adeguamento al GDPR, infatti, si troverà ad affrontare alcuni aspetti in materia di sicurezza già noti in attuazione delle prescrizioni di cui all’art. 32 GDPR, che però vengono richiamati e rafforzati dalla NIS 2:

  • le politiche di analisi dei rischi e di sicurezza dei sistemi informatici;
  • una valutazione di efficacia delle misure adottate e le verifiche di sicurezza della supply chain;
  • la gestione degli incidenti che tenga conto della continuità operativa e degli obblighi di notifica;
  • l’impiego di tecnologie di sicurezza quali ad esempio crittografia o cifratura o soluzioni di autenticazione a più fattori;
  • la gestione delle risorse umane.

L’accortezza del DPO sarà dunque accogliere un riesame di politiche e procedure già esistenti, tenendo conto del campo di applicazione e, se del caso, la predisposizione di un modello organizzativo della sicurezza maggiormente approfondito. Gli interventi minimi necessari dovranno riguardare un’analisi dei ruoli e delle responsabilità, procedure e delle istruzioni operative redatte e da redigere anche per formalizzazione delle prassi consolidate, un censimento delle tecnologie presenti e il coinvolgimento di tutti gli operatori che intervengono sui sistemi informatici. Diventa importante però non dimenticare che gli aspetti di sicurezza delle informazioni di cui si occupa il DPO riguardano i dati personali comunque trattati su qualsiasi supporto anche al di fuori dei sistemi informatici, così da non cadere nell’errore ritenere esaurita ogni esigenza nello svolgimento dei soli adempimenti della NIS 2, a conferma dell’esigenza di provvedere ad un approccio integrato e non sostitutivo.

L’apporto del DPO alle misure tecniche e organizzative di sicurezza

Nella selezione ed implementazione delle misure di sicurezza, siano esse tecniche o organizzative, il DPO è chiamato a svolgere il proprio ruolo di consulenza, informazione e successiva sorveglianza con l’unico limite del mantenere la propria posizione di terzietà ed evitare ogni conflitto d’interessi, anche potenziale. Deve essere chiaro però che per quanto il suo parere abbia un rilievo significativo, la decisione finale è comunque rimessa all’organizzazione, la quale è il soggetto responsabile nella determinazione dei mezzi del trattamento.

L’acquisizione, sviluppo e manutenzione dei sistemi informatici e di rete, compresa la gestione delle vulnerabilità, è un’attività posta in evidenza dalla NIS 2 ma che già rientra nelle best practices di sicurezza e dunque fra i compiti del DPO, in quanto l’art. 32 GDPR richiama, fra i criteri di cui tenere conto, anche quello dello stato dell’arte e dunque degli standard di settore applicabili e disponibili. Anche nella gestione della sicurezza organizzativa, il DPO già interviene sul fattore umano e dunque può contribuire tanto all’implementazione quanto al controllo delle prescrizioni specifiche riguardanti le pratiche di igiene informatica di base e formazione in materia di cibersicurezza e la sicurezza delle risorse umane.

Diventa così evidente che la funzione del DPO deve essere vista come un elemento estremamente utile per le organizzazioni che si troveranno a dover affrontare gli adempimenti della NIS 2, le quali ove non rientrino in un obbligo di designazione potrebbero ben valutare una designazione facoltativa nell’ottica di conferire maggiore efficacia alla propria accountability. Bisogna però considerare che può costituire un valido fattore di successo non solo se è adeguatamente coinvolto. Occorre pertanto che venga inserito all’interno dei gruppi di lavoro e dei flussi informativi, ma soprattutto che sappia agire di iniziativa, sollecitando e assumendo un ruolo proattivo.

Per quanto riguarda le eventuali esigenze di formazione ulteriore di un DPO già presente, emergenti dal nuovo contesto normativo e degli scenari di rischio, è bene infine ricordare che sta all’organizzazione provvedere a fornire le risorse necessarie per svolgere i compiti, ivi incluso il ricorso ad ulteriori professionalità, e a mantenere la propria conoscenza specialistica[2].

Note

[1] Art. 39 par. 2 GDPR.

[2] Art. 38 par. 2 GDPR.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • scenari

    IA, privacy a rischio? Come tutelarla, le strategie UE e USA

    23 Gen 2024

    di Filippo Benone, Anna Cataleta e Aurelia Losavio

    Condividi

  • l'analisi

    Cyber security leva di competitività: il sostegno che serve alle imprese

    04 Mar 2024

    di Luca Celotto e Lorenzo Tavazzi

    Condividi

Prossimo

IA, privacy a rischio? Come tutelarla, le strategie UE e USA

Articolo 1 di 3