L’adeguamento a normative e standard internazionali per garantire alti livelli di cybersecurity e data protection è una sfida per le aziende di ogni settore: un sistema di GRC supporta le imprese nel garantire la compliance. Una piattaforma di Governance, risk & compliance management, infatti, sfruttando i punti in comune tra le diverse leggi e regole permette di ottimizzare i processi di adeguamento, nonostante la specificità degli ambiti di applicazione delle diverse norme. Vediamo qual è la situazione e in che modo le aziende possono trarre beneficio da queste soluzioni.
Cybersecurity e data protection, perché serve un sistema GRC
Negli ultimi anni, le normative sulla sicurezza informatica e sulla protezione dei dati sono diventate sempre più stringenti. Le aziende devono affrontare una serie di regolamentazioni che richiedono la messa in atto di misure adeguate a proteggere i propri dati e le infrastrutture digitali con cui li gestiscono. Tra le principali normative in questo ambito troviamo:
- la Direttiva NIS2 (Network and Information Security Directive 2),
- il DORA (Digital Operational Resilience Act),
- il GDPR (General Data Protection Regulation)
In particolare, la direttiva NIS2 in questi giorni è particolarmente rilevante, perché dal 18 ottobre è richiesto a tutte le imprese europee l’adeguamento, con un rilevante impatto sul fronte della sicurezza della supply chain e l’ampliamento del perimetro delle aziende interessate.
Tuttavia, oltre a tali normative vi sono anche una serie di standard internazionali che le aziende possono decidere di adottare come strumento di accountability rispetto a requisiti di sicurezza, qualità e continuità operativa, come:
- ISO 27001 (Gestione della sicurezza delle informazioni),
- ISO 22301 (Gestione della continuità operativa)
- ISO 9001 (Gestione della qualità)
Le certificazioni di tali standard hanno impatti positivi sulle imprese, in quanto indicatori di affidabilità.
È evidente però come garantire la compliance a tutti questi regolamenti sia un processo difficile da affrontare e da gestire, per le aziende di qualsiasi dimensione. Un aiuto arriva dall’innovazione: una soluzione di GRC, infatti, è in grado di favorire l’ottimizzazione dei processi di compliance, sfruttando i punti in comune tra le varie norme e i diversi standard.
Sicurezza e protezione dei dati, i punti in comune tra norme e standard
Per fare chiarezza, ecco un piccolo vademecum sui punti in comune tra le normative e gli standard internazionali in materia di cybersecurity e data protection. Aspetti su cui un sistema GRC si basa per creare processi di compliance ottimizzati.
1. Gestione della sicurezza delle informazioni – Tutte queste normative e standard pongono un’enfasi significativa sulla protezione delle informazioni. La ISO 27001 fornisce un quadro per implementare un sistema di gestione della sicurezza delle informazioni (ISMS), fondamentale anche per la conformità alla Direttiva NIS2 e al DORA, che richiedono misure rigorose per proteggere le reti e i sistemi IT. Il GDPR, sebbene focalizzato sulla protezione dei dati personali, impone l’adozione di misure di sicurezza per garantire la riservatezza, l’integrità e la disponibilità dei dati.
2. Responsabilità e governance – Le normative pongono enfasi sulla responsabilità e sulla governance all’interno delle organizzazioni. Le ISO richiedono la definizione di ruoli e responsabilità nell’ambito del sistema di gestione adottato. La Direttiva NIS2 e il DORA richiedono che le aziende implementino strutture di governance per garantire la conformità e la sicurezza delle operazioni. Il GDPR, infine, introduce la figura del Data Protection Officer (DPO), responsabile della conformità alle norme sulla protezione dei dati.
3. Risk management – La gestione del rischio è un elemento centrale di tutti questi standard e normative. La ISO 27001 e la ISO 22301 richiedono l’identificazione e la gestione dei rischi legati alla sicurezza delle informazioni e alla continuità operativa. Analogamente, la Direttiva NIS2 e il DORA impongono alle aziende di valutare e mitigare i rischi relativi alla sicurezza informatica e alla resilienza operativa, compresi quelli che derivano dalla supply chain. Anche il GDPR richiede un’analisi dei rischi per valutare l’impatto delle operazioni di trattamento dei dati sulla privacy degli individui.
4. Continuità operativa e resilienza – La ISO 22301 si concentra specificamente sulla gestione della continuità operativa, ma anche la Direttiva NIS2 e il DORA prevedono requisiti per garantire la resilienza delle infrastrutture critiche e dei servizi finanziari. L’obiettivo comune è assicurare che le organizzazioni siano in grado di continuare a operare anche in caso di incidenti gravi o disastri, proteggendo al contempo le informazioni sensibili.
5. Qualità e miglioramento continuo – La ISO 9001 si concentra sulla gestione della qualità e sull’implementazione di processi che garantiscano il miglioramento continuo. Questo principio è condiviso anche dalla ISO 27001 e dalla ISO 22301, che richiedono un miglioramento continuo dei sistemi di gestione attraverso audit regolari, anche nei confronti dei fornitori e revisioni della Direzione. Anche normative come il GDPR incoraggiano il miglioramento continuo delle misure di protezione dei dati per rispondere alle nuove minacce e ai cambiamenti normativi.
6. Obblighi di notifica degli incidenti – La notifica tempestiva degli incidenti è un requisito comune alla Direttiva NIS2, al DORA e al GDPR. Queste normative richiedono alle organizzazioni di segnalare rapidamente qualsiasi violazione della sicurezza o dei dati personali alle autorità competenti. Sebbene gli standard ISO come la ISO 27001 e la ISO 22301 non impongano direttamente la notifica agli enti regolatori, essi includono requisiti per la gestione efficace degli incidenti e la comunicazione all’interno dell’organizzazione.
GRC per la compliance aziendale: come funziona
Per affrontare efficacemente i requisiti di queste normative e standard, le aziende devono adottare un sistema integrato di GRC. Un sistema GRC, infatti, fornisce un quadro complessivo che permette alle organizzazioni di gestire i rischi, garantire la conformità e promuovere una governance efficace.
Gli step per utilizzare al meglio il GRC per essere compliant sono:
- Implementazione di un sistema integrato di GRC – Le aziende dovrebbero adottare un sistema GRC che integri i requisiti della ISO 27001, della ISO 22301, della ISO 9001 e delle normative come la Direttiva NIS2, il DORA e il GDPR. Questo sistema, anche attraverso la produzione di documentazione e reportistica, permette di monitorare e gestire i rischi, garantire la conformità normativa e supportare decisioni strategiche basate su dati concreti.
- Valutazione e gestione del rischio – Le imprese possono utilizzare il GRC per centralizzare e standardizzare i processi di valutazione del rischio. Le aziende devono essere in grado di identificare, analizzare e mitigare i rischi in modo coerente con le diverse normative e standard, mantenendo una visione complessiva dei rischi aziendali.
- Coordinamento della continuità operativa e della resilienza – Importante assicurarsi che il sistema GRC supporti la gestione della continuità operativa e la resilienza organizzativa. Questo include la pianificazione della business continuity secondo la ISO 22301 e la garanzia che i requisiti della Direttiva NIS2 e del DORA siano soddisfatti.
- Monitoraggio e reporting – Si può implementare un sistema di monitoraggio continuo all’interno del GRC per rilevare e rispondere agli incidenti di sicurezza e alle non conformità. Le aziende, infatti, devono essere pronte a notificare gli incidenti alle autorità competenti, come richiesto dalla NIS2, dal DORA e dal GDPR.
- Formazione e consapevolezza – Il GRC può essere impiegato per gestire programmi di formazione e sensibilizzazione sui requisiti normativi e sugli standard internazionali.
- Audit – Le aziende devono utilizzare il GRC per pianificare e condurre audit regolari, anche nei confronti dei fornitori, in linea con i requisiti della ISO 9001 e della ISO 27001. Un approccio che porta a un ciclo di miglioramento continuo.
GRC, a chi serve
Gli step appena descritti devono essere adottati anche da quelle aziende a cui non si applicano direttamente le normative in oggetto, ma che fanno parte della catena di fornitura di imprese che invece ricadono nel perimetro di adozione di tali norme. Questo perché anche ai fornitori sono richiesti alti livelli di attenzione alla cybersecurity e alla data protection: in particolare le direttive NIS2 e DORA richiedono alle aziende di gestire i rischi legati alla supply chain.
GRC per la compliance aziendale: l’esempio di Asystel-BDF & Getsolution
In questo contesto, dalla collaborazione tra la società di consulenza GetSolution e la società Asystel-BDF del gruppo Econocom, specializzata nella trasformazione digitale delle imprese, è nata Complidoo. Si tratta di un’applicazione integrata, modulare e scalare per supportare le aziende nella gestione end-to-end dei loro processi organizzativi in ambito GRC, integrando i diversi sistemi di gestione adottati dall’azienda, gestendo così in modo efficiente tutti gli adempimenti richiesti da normative e standard internazionali.
Complidoo è una soluzione personalizzabile in base alle specifiche esigenze delle aziende, per cui può essere utilizzata da imprese di settori differenti. L’applicazione si adatta facilmente alle diverse fasi della gestione del rischio, della valutazione delle misure di sicurezza e della compliance degli elementi della supply chain, attuando anche un monitoraggio costante delle performance. È disponibile onPrem o in SaaS ed è integrabile con i sistemi legacy già a disposizione dell’azienda. Consente di monitorare ogni aspetto legato a risk and compliance management, grazie alla definizione di task che vengono affidati a diverse funzioni aziendali. Un sistema di notifiche avvisa in caso di mancate azioni da parte dei soggetti interessati, interni o esterni all’organizzazione, oltre che a inviare warning in caso di scostamento dai KPI.
Contributo editoriale sviluppato in collaborazione con Asystel-BDF & Getsolution
